Le projet de loi qui vise à transformer la cybersécurité nationale a été adopté, mercredi soir, par le Sénat. Il est désormais dans les mains de l'Assemblée nationale.
Le Sénat a validé, le mercredi 12 mars en première lecture, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Ce texte, qui bénéficie d'une procédure accélérée et donc d'un unique aller-retour entre les deux chambres, transpose dans le droit français trois directives européennes adoptées en décembre 2022.
Il s'agit de la directive REC (résilience des entités critiques), de la directive NIS2 (cybersécurité) et de la directive DORA (résilience du secteur financier). Jusqu'à présent, seules 500 infrastructures critiques étaient réglementées en matière de cybersécurité. Désormais, ce sont environ 15 000 organisations qui seront concernées, classées en deux catégories : « entités essentielles » et « entités importantes »
Une réponse stratégique face à des cyberattaques de plus en plus sophistiquées
La menace cyber atteint désormais des niveaux alarmants en France, et justifie évidemment la réforme. Les rançongiciels, ces logiciels malveillants qui verrouillent les données et exigent une rançon, ont augmenté de 30% entre 2022 et 2023. Ces attaques ciblent principalement les TPE/PME (34%), les collectivités territoriales (24%), les entreprises stratégiques (10%) et les établissements de santé (10%).
En 2024, l'ANSSI (Agence nationale de la Sécurité des Systèmes d'Information) a traité 218 incidents cyber touchant uniquement les collectivités territoriales. L'impact financier de ces attaques est et a été considérable. Selon le cabinet Asterès, les cyberattaques ont coûté environ 2 milliards d'euros à l'économie française en 2022, en sachant qu'une cyberattaque représente en moyenne 5 à 10% du chiffre d'affaires d'une organisation.
Concrètement, cela se traduit par un coût moyen de 466 000 euros pour une TPE/PME, de 13 millions d'euros pour une ETI et jusqu'à 135 millions d'euros pour une grande entreprise. Ces coûts se répartissent entre les pertes d'exploitation (50%), les prestations externes d'accompagnement (20%), la remise en état des systèmes (20%) et l'impact réputationnel (10%).
12 mars 2025 à 13h06
La désignation de 15 000 entités « essentielles » ou « importantes »
Le projet de loi adopté par les sénateurs établit un nouveau système de classification des organisations. Les « entités essentielles » sont celles qui appartiennent à un secteur « hautement critique ». Elles dépassent certains seuils : elles comptent ainsi plus de 250 employés ou un chiffre d'affaires supérieur à 50 millions d'euros, couplé à un bilan annuel dépassant 43 millions d'euros.
Les « entités importantes », elles, concernent les organisations de taille moyenne (50 à 250 employés) dans des secteurs critiques ou hautement critiques, avec des seuils financiers adaptés (chiffre d'affaires et bilan compris entre 10 et 43 millions d'euros). Au total, elles seront 15 000, auxquelles on peut ajouter 1 500 collectivités territoriales, organismes sous tutelle et groupements de collectivités.
Les entreprises devront signaler tout incident cyber à l'ANSSI
La commission spéciale du Sénat, présidée par Olivier Cadic (Union des centristes), avait substantiellement modifié le texte de départ en adoptant des dizaines d'amendements. Ces modifications visaient quatre objectifs principaux : compléter les définitions légales, clarifier les obligations des entités, éviter les différences de traitement injustifiées entre entreprises, et simplifier les démarches administratives.
Parmi les innovations majeures du texte figure l'obligation pour les entités concernées d'élaborer un « plan de résilience opérateur » qui détaille leurs mesures de cybersécurité. Le texte prévoit également un système de notification obligatoire des incidents cyber à l'ANSSI, comme on peut le faire auprès de la CNIL en cas de fuite de données, et la création d'un guichet unique pour simplifier ces déclarations.
Un régime de sanctions administratives est aussi instauré, pouvant atteindre 2% du chiffre d'affaires ou 10 millions d'euros en cas de manquement, avec une commission des sanctions spécifique pour les appliquer.
Conscients des défis d'implémentation, les sénateurs ont formulé plusieurs recommandations. Ils ont souhaité différer les contrôles et les sanctions pendant au moins trois ans, créer une « labellisation NIS2 » permettant aux entreprises de valoriser leurs efforts, et accompagner spécifiquement les collectivités territoriales qui font face à des contraintes budgétaires et de compétences.
Le destin du projet de loi repose sur la décision de l'Assemblée nationale
Le secteur financier, particulièrement vulnérable, fait l'objet d'un encadrement spécifique via la directive DORA. Selon un rapport de la Banque de France de décembre 2024, le risque cyber dans ce secteur est classé comme « très élevé ». Il surpasse même le risque climatique et le risque de marché.
Les 22 000 entités financières européennes devront renforcer leur protection contre les menaces que sont les attaques par déni de service distribué (DDoS), le hameçonnage (ou phishing), les attaques sur les infrastructures de trading, et la compromission des algorithmes de négociation.
Le projet de loi doit maintenant être examiné par l'Assemblée nationale. Son application concrète nécessitera encore l'adoption de multiples décrets en Conseil d'État, qui confirmeront la complexité technique de cette réforme majeure de la cybersécurité française.
