Sélectionner une page

Projet de loi relatif à la résilience et au renforcement de la cybersécurité

par | Actualités

14 Juil 2025

cybersécurité

Dans un environnement mondial marqué par l’augmentation des tensions géopolitiques, des risques naturels et technologiques, les infrastructures critiques font face à des menaces croissantes. Les cyberattaques s’intensifient, ciblant indistinctement tous les secteurs économiques et sociaux. Pour renforcer la résilience des États membres face à ces défis, l’Union européenne a adopté trois directives majeures en décembre 2022 : la directive REC sur les entités critiques, la directive NIS 2 sur la cybersécurité, et la directive accompagnant le règlement DORA dans le secteur financier.

Sécurité des activités d’importance vitale (directive REC)

Le projet de loi français transpose en premier lieu la directive REC, visant à instaurer un standard européen de résilience des entités critiques dans onze secteurs clés : énergie, transports, santé, eau, alimentation, infrastructures numériques, espace, administration publique, banque, etc.

Le code de la défense est modifié pour renforcer le dispositif SAIV (Sécurité des Activités d’Importance Vitale), mis en place en 2006 et piloté par le SGDSN, avec un volet cyber supervisé par l’ANSSI.

Ce dispositif concerne déjà plus de 300 opérateurs, publics ou privés, chargés de sécuriser les installations essentielles au bon fonctionnement national.

L’élargissement inclut de nouveaux sous-secteurs comme les réseaux de chaleur et de froid, l’hydrogène ou l’assainissement.

Les OIV devront élaborer un plan de résilience opérateur, tandis que les PIV (points d’importance vitale), au nombre de 1 500, seront dotés de plans particuliers de résilience.

La directive prévoit également :

  • Une intervention de la Commission européenne pour les entités critiques présentant une importance particulière à l’échelle de l’UE.
  • La création d’une commission des sanctions rattachée au Premier ministre, habilitée à infliger des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Ces sanctions ne s’appliqueront pas aux entités publiques.

Cybersécurité (directive NIS 2)

La deuxième directive, NIS 2, renforce le cadre européen de cybersécurité bâti depuis 2016. Elle vise à mieux protéger les infrastructures numériques contre les cybermenaces persistantes, notamment les attaques étatiques et les campagnes criminelles massives.

En France, sa transposition se traduit par :

  • Une explosion du nombre d’entités régulées : de 500 à près de 15 000. Cela inclut les chaînes d’approvisionnement, les administrations centrales, les grandes entreprises et 1 500 collectivités locales (dont 300 communes de plus de 30 000 habitants).
  • Le nombre de secteurs régulés passe de 6 à 18 (ex : santé, recherche, services postaux, industrie chimique…).
  • Les entités seront classées en entités essentielles (EE) et entités importantes (EI) selon leur criticité.

L’ANSSI jouera un rôle central :

  • Mise en œuvre de la politique gouvernementale en cybersécurité.
  • Pouvoir de contrôle et de sanction : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial en cas de non-conformité.
  • Publication d’un portail dédié NIS2 pour accompagner les acteurs concernés.
  • Les entités devront fournir certaines informations à l’ANSSI et signaler leurs incidents de sécurité.

Résilience numérique du secteur financier (directive DORA)

Enfin, le projet de loi intègre la directive accompagnant le règlement DORA, qui vise à encadrer plus strictement l’usage des technologies numériques dans le secteur financier (banques, assurances…).

Principales dispositions :

  • Harmonisation des procédures de prévention, détection et signalement des incidents.
  • Création d’un cadre européen encadrant le recours des entités financières à des prestataires de services numériques.
  • Adaptation du Code monétaire et financier et du Code des assurances pour intégrer ces nouvelles règles.

Amendements parlementaires

Lors de l’examen du texte, plusieurs ajustements ont été apportés :

  • Extension des missions de l’ANSSI pour soutenir le développement de la filière cybersécurité française.
  • Élaboration d’une stratégie nationale de cybersécurité pilotée par le Premier ministre.
  • Reclassement des communautés d’agglomération ne comprenant pas une commune de plus de 30 000 habitants comme entités importantes plutôt qu’essentielles.
  • Création d’un label de confiance validé par l’ANSSI.

Un article additionnel, l’article 16 bis, a été ajouté pour prévoir une forme de sanctuarisation du chiffrement dans la loi. Il vise à interdire d’imposer aux messageries instantanées l’installation de dispositifs de portes dérobées (backdoors), « clés de déchiffrement maîtresses » ou autres mécanismes d’affaiblissement volontaire de la sécurité. Ces dispositifs présentent, selon les sénateurs auteurs de l’amendement, des risques considérables pour la sécurité informatique et la protection des droits fondamentaux. D’une part, ils créent des vulnérabilités exploitables non seulement par les autorités prévues, mais également par des acteurs malveillants (cybercriminels, États hostiles ou entités privées).

Une disposition inverse a été récemment adoptée au Sénat dans la proposition de loi pour sortir la France du piège du narcotrafic, avant d’être supprimée par l’Assemblée nationale. Elle imposait aux messageries cryptées (comme Signal, Telegram…) de permettre techniquement aux services de renseignement d’accéder aux échanges cryptés des narcotrafiquants et criminels.

La dernière partie du texte a été complétée pour éviter le risque de double assujettissement des entités financières au règlement DORA et à la directive NIS 2 et pour désigner la Banque de France et l’Autorité de contrôle prudentiel et de résolution comme autorités compétentes au titre de l’application du règlement DORA.