«Nul n’est à l’abri» des cyberattaques: avec ce constat, le gouvernement a fait adopter mercredi par le Sénat un projet de loi pour «changer d’échelle» face à une menace croissante, qui imposera des exigences de cybersécurité à des milliers d’entreprises et collectivités. «Le renforcement de notre sécurité n’est plus un sujet technique, mais un enjeu géopolitique», a lancé devant les sénateurs la ministre déléguée au Numérique, Clara Chappaz, venue défendre un texte technique mais rendu sensible par l’actualité internationale. Ce projet de loi pour la «résilience des infrastructures critiques» entend transposer trois directives européennes. Parmi elles, la directive «NIS 2», pour «network information security» («sécurité des systèmes d’information»). Votée par le Parlement européen à la fin de l’année 2022, elle devait entrer en application dans les Etats membres en octobre 2024 mais la France a pris un peu de retard, entre dissolution et censure du précédent gouvernement. La transposition de cette directive n’est pas seulement technique: elle va créer une petite révolution pour de nombreuses PME ou mairies. Ces entités seront désormais soumises à diverses obligations en matière de gouvernance de cybersécurité, comme celles de notifier les incidents à l’Agence nationale de la sécurité des systèmes d’information (ANSSI), et de se soumettre à des contrôles assortis de potentielles sanctions. En tout, quelque 15.000 entités stratégiques, dont 1.500 collectivités locales, seront désormais concernées, contre environ 500 «infrastructures critiques» jusque là. Et ce, dans 18 secteurs d’activité. Le gouvernement assume un «changement d’échelle pour une cybersécurité collective», car «nul n’est à l’abri», a insisté Clara Chappaz. «Cela n’arrive pas qu’aux autres. Ces attaques frappent désormais l’ensemble du tissu économique et social: hôpitaux, collectivités, PME, TPE», a-t-elle assuré, rappelant que six attaques sur dix concernaient des «petites structures». Après une année marquée par un haut niveau de menace informatique lié aux JO de Paris, l’Anssi avait pointé mardi une augmentation d’environ 15% en un an des opérations de déstabilisation dans son bilan 2024. Les sénateurs ont globalement accueilli favorablement ce texte, avec une adoption très large. Seul le groupe communiste s’est abstenu. Certains sénateurs ont néanmoins regretté la «complexité» du texte et son «coût» pour les petites mairies, appelant à un «plan d’accompagnement local». Le gouvernement a tenté de les rassurer: pendant trois ans, les collectivités ne seront visées que par des «contrôles à blanc», sans sanctions. Les débats ont brièvement connu un tournant plus politique sur un amendement centriste, adopté contre l’avis des Républicains et malgré les réserves du gouvernement, qui visait à sanctuariser dans la loi l’interdiction des «portes dérobées». Ces mécanismes, qui permettent d’imposer aux plateformes de messagerie chiffrée d’autoriser certains accès aux autorités, ont notamment fait débat dans la loi sur le narcotrafic ces derniers jours: le Sénat avait voté pour permettre un accès très encadré pour les services de renseignement, avant que l’Assemblée ne le rejette en commission. «Ces «backdoors» sont des cadeaux faits aux acteurs malveillants, qu’il s’agisse de cybercriminels, d’Etats hostiles, d’entités privées», s’est inquiété l’auteur de l’amendement Olivier Cadic. Le projet de loi est désormais transmis à l’Assemblée nationale qui doit l’examiner avant l’été.