L'Assemblée nationale adopte à l'unanimité la proposition de loi de "cyber-résilience"

L'Assemblée nationale a adopté à l'unanimité, dans la soirée du 16 novembre 2023, une proposition de loi visant à "sécuriser et réguler l'espace numérique". Ce texte, distinct du projet de loi SREN, transpose deux directives européennes majeures (NIS 2 et CER) pour renforcer la sécurité des infrastructures critiques. Il introduit également plusieurs mesures nationales, dont un "cyber-score" pour les plateformes et un filtre anti-arnaque national, malgré des réserves exprimées par le gouvernement sur certains points.

La proposition de loi (PPL) visant à "sécuriser et réguler l'espace numérique", portée par le ministre délégué au Numérique Jean-Noël Barrot (MoDem), a été adoptée en première lecture par 139 voix pour et zéro contre. Ce vote témoigne d'un consensus politique sur la nécessité de rehausser le niveau de sécurité face aux menaces numériques et physiques.

Ce texte ne doit pas être confondu avec le projet de loi SREN (visant à sécuriser et réguler l'espace numérique), qui suit un parcours législatif distinct. L'objectif principal de la PPL adoptée est la transposition en droit français de deux textes européens : la directive NIS 2 (Network and Information Security 2) sur la cybersécurité et la directive CER (Critical Entities Resilience) sur la résilience des infrastructures physiques.

La transposition de la directive NIS 2 constitue le cœur du projet. Elle élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. De nouveaux secteurs, tels que la gestion des déchets, les réseaux sociaux ou certaines administrations publiques, sont désormais qualifiés d'entités essentielles (EE) ou d'entités importantes (IE).

Parallèlement, le régime de sanction est durci. Les entités essentielles s'exposeront à des amendes pouvant atteindre 10 millions d'euros ou 2 % de leur chiffre d'affaires mondial. Pour les entités importantes, le plafond est fixé à 7 millions d'euros ou 1,4 % du chiffre d'affaires.

La loi confère également des pouvoirs renforcés à l'Agence nationale de la sécurité des systèmes d'information (ANSSI). L'agence pourra désormais ordonner des mesures de sécurité spécifiques, comme l'application de correctifs logiciels ou des changements de configuration, en cas de détection d'une vulnérabilité.

La transposition de la directive CER se concentre, quant à elle, sur la résilience physique des opérateurs d'importance vitale (OIV) dans des secteurs comme l'énergie, les transports ou la santé. Ces derniers devront mettre en œuvre des plans de sécurité et signaler les incidents physiques. L'objectif, selon les termes de Jean-Noël Barrot est d'atteindre "un niveau de sécurité physique et numérique équivalent".

Au-delà de la transposition européenne, les parlementaires ont intégré plusieurs mesures spécifiquement françaises comme la création d'un "cyber-score", un indicateur visuel (similaire au Nutri-Score) destiné à informer les utilisateurs sur le niveau de sécurité des plateformes en ligne et des messageries. Cette mesure, issue d'une autre proposition de loi fusionnée, a été adoptée malgré l'avis défavorable du gouvernement, qui la jugeait prématurée et complexe à mettre en œuvre.

Le texte instaure également l'obligation pour les services numériques de proposer une authentification à facteurs multiples (MFA) par défaut pour les "opérations sensibles", telles qu'un changement de mot de passe ou de coordonnées bancaires.

Enfin, la loi prévoit la mise en place d'un filtre anti-arnaque national. Géré par un opérateur d'État (potentiellement l'ANSSI), ce filtre serait proposé de manière optionnelle aux utilisateurs par les fournisseurs d'accès à Internet pour bloquer l'accès aux sites identifiés de hameçonnage (phishing) ou d'escroquerie.

L'adoption de ce texte marque une étape significative dans la régulation du numérique en France, en étendant la "logique de responsabilité" à un plus grand nombre d'acteurs, comme l'a souligné M. Barrot. Le vote unanime illustre une prise de conscience partagée des risques, bien que des divergences subsistent sur les méthodes.

Si l'opposition a soutenu le texte, elle a émis des réserves. Aurélie Trouvé (LFI) a salué l'avancée tout en regrettant qu'elle n'aille "pas assez loin" sur la responsabilité des plateformes. De son côté, Aurélien Lopez-Liguori (RN) a soutenu le principe du filtre national tout en alertant sur un "risque de surveillance". L'enjeu principal réside dans le renforcement notable des prérogatives de l'ANSSI, qui passe d'un rôle de conseil à une capacité d'injonction directe auprès des opérateurs.

L'adoption unanime à l'Assemblée nationale confère une base politique solide à ce texte de "cyber-résilience". En alignant la France sur les exigences européennes tout en y ajoutant des outils nationaux spécifiques, la loi vise à renforcer les défenses du pays. Le texte doit désormais poursuivre son parcours législatif au Sénat, où les mesures ayant fait l'objet d'un désaccord avec le gouvernement, comme le "cyber-score", seront probablement de nouveau débattues.