Il ne se passe pas une semaine sans une cyberattaque. Si les hôpitaux et les mairies semblaient plus touchés, des entreprises très mainstream, comme Free ou Picard, sont désormais visées. La menace a-t-elle évolué ?
Je prends souvent l’image du chalutage : aujourd’hui, les cybercriminels s’attaquent à n’importe quelle cible de manière indéterminée. À mesure que les entités les plus critiques se protègent, la menace se déplace de plus en plus vers le grand public.
Le risque est donc plus diffus ?
Oui, et les cyberattaques deviennent la norme. La Bretagne se souvient par exemple des incidents qui ont touché le CHU de Rennes et, plus récemment, la clinique de la Sagesse.
La conscience du sujet évolue-t-elle ?
Cela progresse mais reste insuffisant. Il faut le renforcer et chacun doit veiller à prendre les bonnes mesures. C’est un effort, c’est sûr, il faut investir dans des outils, adapter son organisation, former ses collaborateurs. Mais cela coûtera quand même moins cher que de faire face à un attentat, qui peut coûter jusqu’à plusieurs millions d’euros.
Le 15 octobre, vous avez présenté, en Conseil des ministres, un projet de loi qui transpose la directive européenne NIS 2, afin de renforcer les obligations de cyberprotection. Qu’est-ce que ça va changer ?
Jusqu’à présent, environ 300 entités publiques et privées étaient tenues de se protéger, elles seront plus de 15 000 à l’avenir. Entreprises, collectivités, hôpitaux, etc. Nous passons également de six secteurs d’activité ciblés – énergie, finance, santé, transports, etc. – à 18. Des domaines tels que l’administration publique, l’espace, les services postaux, la gestion des déchets, la chimie, la recherche, les fournisseurs du numérique ou l’industrie agroalimentaire.
Est-ce que tout le monde est informé des changements à venir ?
C’est un point de vigilance. L’Agence nationale de la sécurité des systèmes d’information (Anssi) a déjà réalisé un gros travail et mené 70 consultations pour faire émerger les besoins sur le terrain et sensibiliser. Afin d’orienter les entités concernées, le portail « Mon espace NIS 2 » a été mis en ligne en version bêta et sera progressivement enrichi. Nous veillerons à continuer de renforcer la communication sur cet outil.
Des contrôles et des sanctions sont-ils prévus ?
Nous nous engageons à accompagner les entités concernées. Mais pour que la prise de conscience puisse se faire et que les règles produisent leurs effets, la directive que nous transposons prévoit des sanctions. Le projet de loi en tire les conséquences en conséquence, sans surtransposition.
Chaque année qui passe, c’est prendre le risque de se faire agresser.
Les mesures contenues dans le projet de loi doivent entrer en vigueur dès son adoption, mais les entreprises et les collectivités estiment que le délai est trop court. Que leur répondez-vous ?
Nous sommes conscients que nous devons leur laisser le temps de se mettre en conformité. Ce qui est important, c’est qu’on ne dise pas « il nous reste encore trois ans » et qu’au final, on n’aborde pas le sujet. Au début, il y aura donc des chèques en blanc effectués par l’Anssi, dans sa logique d’accompagnement. Cela doit commencer le plus tôt possible. Chaque année qui passe, c’est prendre le risque de se faire agresser.
Peut-on s’attendre à des évolutions ?
Le texte est équilibré et fidèle à la directive, mais nous restons attentifs au terrain et le gouvernement aura l’occasion de commenter les évolutions qui pourraient être proposées lors des débats au Parlement. Nous veillerons à ce que la mise en œuvre soit proportionnée et très progressive.
Quel est le calendrier du projet de loi au Parlement ?
Le texte a été transmis au Sénat, qui a créé sa commission spéciale la semaine dernière. Il devrait être examiné en session en début d’année, puis à l’Assemblée, pour une adoption définitive au printemps 2025, sous réserve des évolutions qui pourraient survenir dans le calendrier parlementaire d’ici là.