Renforcement de la cybersécurité : M. Vincent Strubel, directeur général de l’Agence
nationale de sécurité des systèmes d’information (ANSSI) et de M. Gaëtan Poncelin de
Raucourt, sous-directeur « Stratégie »
nationale de sécurité des systèmes d’information (ANSSI) et de M. Gaëtan Poncelin de
Raucourt, sous-directeur « Stratégie »
Catégorie
🗞
NewsTranscription
00:00:00– Sous-titrage FR 2021
00:00:30...
00:01:00...
00:01:30...
00:02:00...
00:02:02...
00:02:04...
00:02:06...
00:02:08...
00:02:12...
00:02:14...
00:02:16...
00:02:18...
00:02:20...
00:02:22...
00:02:24...
00:02:26...
00:02:28...
00:02:30...
00:02:32...
00:02:34...
00:02:36...
00:02:38...
00:02:40...
00:02:42...
00:02:44...
00:02:46...
00:02:48...
00:02:50...
00:02:52...
00:02:56...
00:02:58...
00:03:00...
00:03:02...
00:03:04...
00:03:10...
00:03:12...
00:03:14...
00:03:16...
00:03:18...
00:03:20...
00:03:22...
00:03:24...
00:03:26...
00:03:28...
00:03:30...
00:03:32...
00:03:34...
00:03:38...
00:03:40...
00:03:42...
00:03:44...
00:03:46...
00:03:48...
00:03:52...
00:03:54...
00:03:56...
00:03:58...
00:04:00...
00:04:06...
00:04:10...
00:04:12...
00:04:14...
00:04:16...
00:04:18...
00:04:22...
00:04:24...
00:04:26...
00:04:28...
00:10:00...
00:10:10...
00:10:12...
00:10:14...
00:12:46...
00:12:48...
00:12:50...
00:12:52...
00:12:54...
00:12:56...
00:12:58...
00:13:00...
00:14:32organisation retenue par le projet de loi français, alors même que de nombreux acteurs
00:14:35publics et privés y sont favorables, notamment dans une optique d'harmonisation européenne.
00:14:40Pourriez-vous nous éclairer sur ce choix et comment nous pourrions construire une convergence
00:14:45européenne sur le sujet ? Deuxième point, le sénateur Kadic au Sénat évoquait récemment
00:14:51le risque qu'une sous-transposition législative génère une sur-transposition administrative.
00:14:56Pensez-vous que le texte issu du Sénat nécessite des modifications car serait trop contraignant
00:14:59ou restrictif ? Comment éviter une inflation de référentiels techniques administratifs
00:15:04parfois contradictoires, source de confusion pour les acteurs concernés ? Je pense notamment
00:15:08au retour formulé lors du Forum international de la cybersécurité à propos des sondes
00:15:12issues de la dernière loi de programmation militaire dont nous avons été assez nombreux
00:15:17à être saisis. Troisième point, le RGPD a prévu la création d'un délégué à la protection
00:15:22des données, DPO, fonction assortie de protection spécifique. De nombreux auteurs universitaires
00:15:27ont proposé la création d'une fonction de type RSSI munie de protections adéquates
00:15:31par analogie au DPO. Cette idée est également reprise par des organisations matures en protection
00:15:36cyber, entreprise Nice, collectivité de grande taille. Pensez-vous que le législateur
00:15:40doit s'emparer de cette proposition et si oui, doit-il l'imposer ou seulement le suggérer
00:15:45pour une partie des entités soumises à Nice 2 ? Quatrième point, comment pouvons-nous
00:15:49selon vous profiter de ce texte de transposition pour permettre la création d'une base industrielle
00:15:54et technologique de cybersécurité française et européenne, BITC, par analogie à la
00:15:58BITD en défense, et qui participe à l'autonomie stratégique française et européenne ?
00:16:03Cinquièmement, quelle interprétation faites-vous de l'avis du Conseil d'État sur la disparité
00:16:08de traitement entre les entités privées soumises à sanctions et les entités publiques dispensées ?
00:16:13Comment envisager de dispenser des entités publiques, par exemple France Travail, de sanctions
00:16:17en cas de manquement avéré en matière de cybersécurité ? Quelle est plus largement l'exemplarité
00:16:22que doit avoir l'État et plus largement les entités publiques en la matière ?
00:16:26Et enfin, sixième point, et c'est une question qui nous a beaucoup occupés lors de la loi
00:16:32sur le narcotrafic, que pensez-vous de la rédaction de l'article 16 bis sur le chiffrement ?
00:16:37Monsieur le Directeur Général, je vous laisse désormais la parole, avant que notre rapporteur
00:16:41général, nos rapporteurs thématiques et l'ensemble de nos collègues puissent vous interroger.
00:16:45La réunion répondra aux modalités de prise de parole définies lors de la réunion constitutive,
00:16:48durée d'intervention fixée à trois minutes pour les rapporteurs, à deux minutes pour
00:16:52les orateurs de groupe et à une minute pour les prises de parole individuelles.
00:16:55Je vous remercie.
00:16:58Merci Monsieur le Président, Mesdames et Messieurs les députés.
00:17:01Je suis tout d'abord très honoré d'ouvrir quelque part avec de vos côtés cet examen
00:17:07de ce projet de loi qui est important et j'y reviendrai.
00:17:12Je m'efforcerai d'être bref dans ce propos liminaire, d'en donner quand même quelques éléments
00:17:16sur la genèse, sur ce qui a guidé nos travaux et effectivement sur le bilan que nous tirons
00:17:19des travaux au Sénat et sur ce que nous faisons par ailleurs pour préparer l'atterrissage
00:17:23de ce texte, tout en m'efforçant de répondre à vos questions, Monsieur le Président, mais
00:17:28je ne doute pas que si j'en oublie certaines, vous me relancerez.
00:17:32Sur la genèse du texte, peut-être pour revenir à la base de tout ça, et je me concentrerai
00:17:37dans cette allocution sur le titre 2 qui transpose les directives NIS 2, les titres 1 et 3
00:17:42transposant les directives REC et DORA, étant très complémentaires, très cohérent avec
00:17:47tout cela, mais étant moins du ressort de l'ANSI, même si je pourrais m'avancer un peu
00:17:52sur l'articulation de tout cela.
00:17:54La genèse de la directive NIS 2, c'est quelque chose qui nous a été imposé par l'évolution
00:17:59de la menace.
00:18:00Nous traitons, comme toutes les agences nationales de cybersécurité et l'espace européen,
00:18:04depuis des années, une menace étatique d'espionnage, potentiellement de sabotage, mais
00:18:10s'y ajoute depuis le tournant des années 2020 ce que nous avons appelé en jargon technocratique
00:18:14la menace systémique, c'est-à-dire celle portée par des acteurs principalement du crime
00:18:18organisé, des acteurs de l'activisme, qui se caractérisent par le fait qu'elle n'est
00:18:24pas ciblée, en tout cas pas autant que la menace portée par les Etats, et que finalement
00:18:29cette menace systémique finit par toucher tout le monde.
00:18:32En premier lieu, les entités les plus vulnérables, les moins matures en termes de cybersécurité
00:18:36qui étaient épargnées jusqu'à présent, les PME, les ETI, les collectivités, les
00:18:40associations, j'en passe, et malheureusement, j'allais dire des meilleures, mais plutôt
00:18:44des pires dans le terme, mais en termes de conséquences.
00:18:48Cette tendance, elle existe depuis 2020, elle ne fait que se confirmer année après
00:18:52année, vous avez rappelé les chiffres de notre panorama de la menace, monsieur le
00:18:54président, qui là encore confirme ce constat que nous posons depuis quelques années.
00:18:59Ce constat, partagé à l'échelle de l'Union européenne, nous a amenés collectivement,
00:19:04mais avec une forte impulsion française, à porter cette directive Nice 2, qui complète
00:19:09un paysage normatif européen déjà préexistant avec la directive Nice 1 et d'autres textes,
00:19:14mais qui s'inscrit dans une logique différente.
00:19:17Un changement d'échelle dans le nombre d'entités régulées, on va passer de quelques
00:19:20centaines à quelques milliers d'entités régulées à l'échelle de la France, de
00:19:23500 à plus de 15 000, mais les mêmes proportions se retrouvent chez les autres et les Etats
00:19:27membres.
00:19:28Changement de paradigme dans le niveau d'exigence, parce qu'on ne va pas porter un même niveau
00:19:33d'exigence pour une moyenne entreprise que ce qu'on peut faire auprès d'un opérateur
00:19:36d'importance vitale, dans la logique de désignation par seuil plutôt que par désignation individuelle,
00:19:42dans la logique de sanctions également administrative et financière.
00:19:44Donc ce texte, il répond à une nécessité, une nécessité sur laquelle j'insiste, essentielle
00:19:53pour la résilience de notre économie, de notre société face à une menace qui n'épargne
00:19:57plus personne et qui pour le moment est très opportuniste, mais qui à l'extrême
00:20:02pourrait un jour être coordonnée avec des menaces plus étatiques dans un contexte géopolitique
00:20:06qui déborde un peu sur le cyberespace.
00:20:08C'est une nécessité, mais c'est aussi une opportunité, j'en suis convaincu, opportunité
00:20:12de sensibiliser à très grande échelle l'ensemble de ces structures petites qui ont été relativement
00:20:19loin de ces enjeux de cybersécurité jusqu'à présent, qui ne peuvent plus les éviter.
00:20:23Opportunité de définir de manière simple et compréhensible les bonnes pratiques de cybersécurité
00:20:29pour ces entités, de définir aussi en filigrane leurs limites de responsabilité et opportunité
00:20:34derrière tout cela, et ça répondra peut-être à la question, de mobiliser en premier lieu
00:20:39l'écosystème de cybersécurité national et européen qui est florissant, qui est riche
00:20:45et nous avons cette chance-là, mais qui sera positionné assez naturellement en proximité
00:20:49pour répondre aux besoins de ces plus petites structures.
00:20:53Donc voilà la jeunesse de la directive, nous nous sommes efforcés de la transposer dans
00:20:58le projet qui vous est soumis avec quelques grands principes, celui de co-construction,
00:21:04sans précédent pour l'ANSI, nous avons consulté près de 80 organisations professionnelles,
00:21:09toutes les associations d'élus, et nous poursuivons ces consultations que nous menons
00:21:12depuis septembre 2023 dans la préparation des textes d'application de la déclinaison
00:21:16de tout cela, et nous allons le poursuivre d'ailleurs dans la mise en œuvre.
00:21:19Principe d'harmonisation, qui se traduit par l'absence de surtransposition,
00:21:24alors ça devrait être naturel mais ça va mieux en le disant, nous avons fait une transposition
00:21:28sèche, ni surtransposition ni je ne le pense pas de sous-transposition,
00:21:32et puis recherche d'harmonisation qui se poursuit dans les échanges que nous menons
00:21:37dans le groupe de coopération NIS2 avec la Commission, avec les autres États membres,
00:21:41pour clarifier des points dans la mise en œuvre de tout cela, parce qu'il y en aura forcément
00:21:44des points d'ambiguïté, notamment par exemple sur l'application à des filiales,
00:21:48qui fait l'objet de nombreux débats partagés par l'ensemble des États membres,
00:21:53sur lesquels nous avons demandé un avis consensuel de la Commission pour nous guider
00:21:58dans ces dimensions-là, en ayant la même interprétation de ces zones d'ambiguïté
00:22:01pour éviter de créer de la complexité là où il n'est pas nécessaire.
00:22:05Principe de proportionnalité, qui est prévu par la directive,
00:22:08qui distingue deux types d'entités, les entités essentielles, les plus matures
00:22:12en termes de cybersécurité, les plus critiques, et les entités importantes
00:22:15de taille moindre et de maturité moindre également, sur lesquelles nous n'aurons pas
00:22:19les mêmes niveaux d'exigence. Proportionnalité qui se décline dans le régime de sanctions,
00:22:23qui est différencié, nous avons repris strictement celui de la directive.
00:22:25Dans le régime de contrôle, ex-sante pour les entités essentielles, ex-poste pour les entités importantes,
00:22:31mais également, naturellement, dans le niveau d'exigence technique que nous porterons.
00:22:35C'est quelque chose que nous avons très à cœur dans la déclinaison technique de ces mesures.
00:22:42Et c'est d'ailleurs ce qui guide, je réponds au passage en partie à la question,
00:22:46le fait de ne pas nous aligner strictement sur la même approche qu'ont retenues nos amis belges.
00:22:52Notre diagnostic à date est que ce que font les Belges est peut-être moins exigeant
00:22:58que ce que nous avons en tête pour les entités essentielles, mais probablement plus pour les entités importantes,
00:23:03et notamment l'utilisation d'une norme qui s'appelle l'ISO 27001, reporte sur ces entités-là
00:23:08une quantité significative de travail, d'analyse et de besoin d'expertise que nous ne comptons pas leur imposer.
00:23:15Et pour le dire plus clairement, l'ISO 27001, ça ne couvre pas tous les enjeux
00:23:21et ça n'a pas été pris comme tel par nos collègues belges qui l'ont complété d'autres mesures,
00:23:27mais ça demande un travail d'analyse de risque par l'entité concernée
00:23:30que nous ne comptons pas demander aux entités importantes,
00:23:33parce que ça nécessite une expertise dont elles ne disposent pas nécessairement.
00:23:36Et puis, au-delà de ça, un principe de simplification, de rationalisation
00:23:40qui nous voit aligner tous les cadres normatifs préexistants,
00:23:46celui des opérateurs d'importance vitale, celui applicable aux administrations
00:23:50à travers le référentiel général de sécurité, sur un socle commun de mesure,
00:23:53que nous compléterons d'exigences complémentaires pour des entités spécifiques,
00:23:58notamment les opérateurs d'importance vitale.
00:24:00Et vous avez mentionné la question des sondes de détection
00:24:03qui fait partie du cadre applicable aux opérateurs d'importance vitale,
00:24:07sujet sur lequel nous allons itérer, parce qu'il n'y a pas de décision prise en la matière,
00:24:10mais évidemment, il faut savoir, après dix ans de mise en œuvre
00:24:15du dispositif applicable aux opérateurs d'importance vitale,
00:24:18réexaminer les dispositions et leur applicabilité ou leur efficacité
00:24:22à l'aune de l'état de l'art du moment.
00:24:25Donc voilà les principes qui nous ont guidés.
00:24:26Vous l'avez rappelé, ce texte a été examiné au Sénat au mois de mars.
00:24:31Je peux m'arrêter quelques instants sur le bilan que nous en tirons.
00:24:34D'abord, pour saluer le travail du Sénat, qui a amélioré, clarifié ce texte,
00:24:40qui a aussi contribué, et c'est essentiel, à l'effort de pédagogie sur ces enjeux
00:24:43pour aller toucher les entités qui seront concernées par ce texte
00:24:48et qui ont besoin de se préoccuper de cybersécurité.
00:24:50Et je ne doute pas que l'Assemblée nationale aura le même apport sur le texte,
00:24:54mais aussi sur l'accompagnement et la pédagogie qui doit l'accompagner.
00:25:00Quelques évolutions saillantes qui me semblent pertinentes,
00:25:03qui ont été apportées par le Sénat, qui ont trouvé le bon équilibre.
00:25:06La reprise dans la loi de certains éléments qui n'y figuraient pas,
00:25:09en termes de définition, de champ d'application, de délai,
00:25:11qui apportent de la lisibilité, mais en maintenant, et c'est important,
00:25:14et c'est le bon équilibre, en maintenant pour le pouvoir réglementaire,
00:25:18la possibilité d'apporter certaines précisions,
00:25:20par exemple sur la déclinaison en secteur soumis à la directive Nice 2.
00:25:26Tout ça pour nous permettre de continuer à adapter le déploiement de ce cadre-là,
00:25:31notamment en lien avec les travaux que nous poursuivons avec nos homologues européens
00:25:34pour clarifier certaines définitions ou certaines interprétations.
00:25:37Donc nous aurons besoin de ce pouvoir d'adaptation,
00:25:39mais je pense que nous avons cette possibilité dans le texte qui a été issu du Sénat.
00:25:43Le Sénat a apporté la possibilité de créer un label national
00:25:46qui permettra à des entités de se prévaloir d'un tel label pour attester leur conformité à Nice 2,
00:25:53mais ne s'en prévaloir aussi auprès d'autres acteurs,
00:25:55par exemple les assureurs, les banques, leurs clients,
00:25:58pour témoigner d'un niveau de sécurité satisfaisant.
00:26:02Donc là aussi, je pense qu'on peut se réjouir de cette évolution
00:26:06et du bon équilibre qui a été trouvé,
00:26:07en faisant de ce label une possibilité, mais non pas une contrainte,
00:26:11pas quelque chose qui s'impose aux entités assujetties à Nice 2,
00:26:14mais quelque chose qui leur permet d'attester leur conformité
00:26:17et de la faire valoir auprès d'autres.
00:26:19Nous aurons peut-être quelques améliorations à des fins de sécurité juridiques
00:26:22à apporter à cette disposition,
00:26:25mais l'équilibre tel qu'il est sort du Sénat est le bon.
00:26:29Dans le même registre, je vois d'un très bon œil
00:26:31la possibilité apportée par le Sénat
00:26:33de créer une reconnaissance de labels prononcés par d'autres États membres.
00:26:38Et ça répond aussi à la question de l'articulation
00:26:40avec le dispositif belge, par exemple,
00:26:43mais peut-être d'autres dispositifs futurs équivalents
00:26:45que prendraient d'autres États membres.
00:26:48Là aussi, avec le bon équilibre,
00:26:51c'est-à-dire une possibilité,
00:26:53mais pas une automaticité,
00:26:54et une marge d'appréciation qui nous est laissée,
00:26:56qui ne préjuge pas du niveau d'exigence
00:26:59qui pourrait être portée par d'autres labels équivalents,
00:27:01parce que rien ne garantit qu'il serait d'un niveau satisfaisant
00:27:04de notre point de vue.
00:27:05Donc on doit se garder cette marge d'appréciation.
00:27:09Là aussi, je pense qu'on aura quelques éléments
00:27:10à proposer en termes de sécurisation juridique
00:27:12du dispositif, mais il nous va bien en l'État.
00:27:15Quelques points qui me semblent peut-être plus problématiques.
00:27:19Le Sénat a simplifié
00:27:21l'articulation entre DORA et la directive NIS2,
00:27:25ce qui, dans l'esprit, est tout à fait louable,
00:27:29mais en supprimant au passage
00:27:32la notification des incidences cyber
00:27:33qui affecteraient les entités soumises à DORA,
00:27:36leur notification à l'ANSI.
00:27:37Il n'y a plus qu'une notification aux entités de contrôle DORA,
00:27:40c'est-à-dire la CPR ou l'AMF, selon les cas.
00:27:42On en comprend l'intention,
00:27:43mais ça provoque des effets de bord néfastes,
00:27:45en ce sens que, pour le dire crûment,
00:27:47la CPR et l'AMF, à la différence de l'ANSI,
00:27:49ne travaillent pas 24 heures sur 24
00:27:51et 7 jours sur 7,
00:27:53n'ont pas un standard à tout temps,
00:27:55et que, donc, cette simplification,
00:27:58ce passage obligé par les autorités DORA
00:28:00rajoutera un délai de prise en compte
00:28:02de la notification d'incident par l'ANSI,
00:28:06délai qui empêchera l'ANSI de faire
00:28:09ce qu'elle doit faire face à une telle notification,
00:28:10c'est-à-dire porter assistance aux victimes
00:28:13et les aider de toute manière possible
00:28:15et également alerter d'autres victimes potentielles
00:28:17d'une menace émergente.
00:28:18Donc, je pense qu'on vous proposera
00:28:19de rétablir une forme de double notification
00:28:22sur la base d'un même formulaire
00:28:23pour ne pas dupliquer le travail,
00:28:24mais pour permettre l'efficacité
00:28:26dans le traitement des incidents.
00:28:29De même, nous avons quelques interrogations
00:28:30sur des restrictions qui ont été apportées
00:28:32à la commission des sanctions,
00:28:34celle qui sera chargée,
00:28:36qui sera indépendante de l'ANSI,
00:28:37mais qui sera chargée de prononcer,
00:28:38d'examiner, de prononcer le cas échéant
00:28:40des sanctions suite à des manquements.
00:28:42Certaines contraintes qui ont été apportées
00:28:44à la composition de cette commission
00:28:45ou à ces modalités d'instruction
00:28:47nous semblent soulever potentiellement
00:28:49des risques pratiques
00:28:50pour permettre à cette commission
00:28:53de disposer de l'expertise nécessaire,
00:28:55mais aussi soulever des risques juridiques
00:28:57dans les décisions qu'elle prendrait.
00:28:59Donc là aussi, je pense qu'on sera
00:29:01à votre disposition pour travailler
00:29:02sur ces enjeux-là.
00:29:04Et sans doute aussi,
00:29:04quelques clarifications à apporter,
00:29:05mais je ne m'étendrai pas là-dessus,
00:29:07sur la responsabilité des organes
00:29:08de direction des entités assujetties.
00:29:11Pour ne pas déborder trop sur le temps,
00:29:16quelques mots des travaux
00:29:17que nous avons lancés
00:29:18pour préparer le déploiement
00:29:20en parallèle du parcours législatif,
00:29:24pour répondre aussi à deux besoins forts
00:29:25qui ont été exprimés
00:29:26dans les différentes consultations
00:29:27que nous avons menées.
00:29:28Celui d'une mise en œuvre progressive,
00:29:30d'abord.
00:29:30Je réaffirme ici notre souhait
00:29:32de prendre le temps
00:29:34de bien mettre en œuvre ces dispositions
00:29:36en distinguant des obligations simples,
00:29:38celles d'enregistrement auprès de l'ANSI
00:29:40et des entités assujetties
00:29:41de notification d'incidents
00:29:43sur lesquelles nous donnerons
00:29:43un délai de six mois,
00:29:45parce que c'est finalement des choses
00:29:46qui ne sont pas très compliquées
00:29:47à mettre en œuvre
00:29:48et qui sont au bénéfice,
00:29:49là encore, des assujetties,
00:29:51parce que notifier son incident,
00:29:52c'est se donner la possibilité
00:29:53d'avoir de l'aide
00:29:54de la part de l'ANSI
00:29:55et de tous les écosystèmes.
00:29:56Et puis des obligations plus complexes
00:29:58qui prendront trois ans
00:30:01à être mises en œuvre
00:30:02et sur lesquelles nous nous donnerons
00:30:04trois ans après la publication
00:30:05des textes d'application
00:30:05dans une démarche progressive
00:30:07assortie de contrôles à blancs,
00:30:08mais pas de sanctions
00:30:09dans cette période de trois ans.
00:30:12Deuxième besoin évident
00:30:13qui ressort des consultations,
00:30:15c'est l'accompagnement
00:30:15sur lequel nous travaillerons
00:30:16sur trois axes.
00:30:18La constitution d'une offre
00:30:19de services adaptés
00:30:20et clarifiés de la part de l'ANSI,
00:30:22avec différents dispositifs,
00:30:23mon aide cyber
00:30:24qui permet de poser
00:30:25un premier diagnostic
00:30:26pour une structure
00:30:26qui aborde ces sujets
00:30:27de cybersécurité
00:30:28pour la première fois,
00:30:30mes services cyber,
00:30:30portails qui donnent
00:30:31une plus grande lisibilité
00:30:33sur le corpus documentaire
00:30:34et de services de l'ANSI,
00:30:36mon espace NIS2
00:30:36qui permet de se préenregistrer,
00:30:38de tester aussi sa soumission
00:30:39ou pas au cadre NIS2.
00:30:40Donc, des choses
00:30:41que nous commençons
00:30:42à mettre en place
00:30:42plutôt à titre de galop d'essai
00:30:44à ce stade,
00:30:44sans préjuger du texte final,
00:30:47mais qui permettront
00:30:48de faciliter l'embarquement
00:30:49de milliers d'acteurs.
00:30:51Une logique de relais
00:30:52à constituer dans les territoires,
00:30:53dans la proximité,
00:30:54avec une multitude d'acteurs,
00:30:55les services de l'État,
00:30:56les services déconcentrés,
00:30:58les collectivités elles-mêmes,
00:31:00les organisations professionnelles
00:31:02que nous continuons à consulter,
00:31:04mais que nous mobiliserons aussi
00:31:05dans l'accompagnement,
00:31:06l'écosystème naturellement
00:31:08des offreurs de produits
00:31:09et de services français
00:31:10et européens
00:31:11qui sont dans cette proximité
00:31:12et qui vont travailler
00:31:14à travers aussi la logique
00:31:15de Campus Cyber
00:31:15qui permet de faire des rencontres
00:31:17entre offreurs et bénéficiaires.
00:31:21Une logique finalement
00:31:21d'accompagnement
00:31:22qui ne vise à n'exclure personne,
00:31:23mais à partager un cadre commun
00:31:25que permettra d'ailleurs la loi,
00:31:27et une offre lisible
00:31:28au bénéfice d'entités
00:31:29qui ne vont pas devenir
00:31:30des experts de la cybersécurité,
00:31:32mais qui vont avoir besoin d'aide.
00:31:33Et puis une mobilisation
00:31:34de tous les dispositifs
00:31:35de soutien et d'accompagnement
00:31:36public et privé,
00:31:38y compris à travers
00:31:38cette perspective d'un label
00:31:40qui pourrait à la fois
00:31:42aider les entités assujetties
00:31:44à faire valoir leur conformité,
00:31:46mais aider aussi
00:31:47le secteur bancaire,
00:31:47le secteur assuranciel
00:31:48à apprécier des risques.
00:31:50Et donc nous avons déjà commencé
00:31:51les échanges là-dessus.
00:31:52Je terminerai,
00:31:53pour ne pas déborder,
00:31:54par un enjeu transverse.
00:31:57Derrière tout cela,
00:31:58c'est celui de la communication.
00:32:00Il va falloir aller toucher,
00:32:01et je ne pense pas
00:32:01que nous l'ayons réussi
00:32:02entièrement à ce stade,
00:32:03aller toucher tous ces futurs
00:32:05assujetties qui sont parfois
00:32:06très loin de ces enjeux
00:32:06de cybersécurité,
00:32:08qui ont besoin de s'en préoccuper
00:32:09avant que les attaquants
00:32:10ne leur fassent
00:32:11une sensibilisation
00:32:12bien plus désagréable,
00:32:13et donc de les informer
00:32:15de ces nouvelles dispositions.
00:32:16Et je ne doute pas
00:32:17que les travaux
00:32:18que vous allez mener
00:32:19y contribuent.
00:32:19Je vous en remercie par avance
00:32:20et naturellement,
00:32:21l'ANSI se tient
00:32:22à votre disposition
00:32:22pour vous y aider.
00:32:24Et je me tiens
00:32:25dès à présent
00:32:25à votre disposition
00:32:26pour des questions.
00:32:27Merci, M. le Directeur Général.
00:32:31Ce que je vous propose,
00:32:32c'est conformément
00:32:32à ce que nous avions dit
00:32:33qu'on fasse par paquet de questions,
00:32:35en commençant par les rapporteurs,
00:32:36rapporteurs généraux
00:32:37et rapporteurs thématiques.
00:32:38Et puis ensuite,
00:32:39chaque orateur de groupe,
00:32:40on fera un paquet groupé aussi
00:32:42avec une intervention
00:32:43par groupe,
00:32:45ce qui permettra
00:32:45de répondre.
00:32:46Et parfois,
00:32:47s'il y a des réponses communes,
00:32:48de pouvoir les spécifier.
00:32:50Je vous laisse,
00:32:52Mesdames et Messieurs
00:32:52les rapporteurs,
00:32:53la parole.
00:32:53Merci, M. le Président.
00:32:57D'abord,
00:32:58ravi de faire partie
00:32:59de cette équipe
00:32:59avec les rapporteurs thématiques.
00:33:02Ravi aussi
00:33:03d'auditionner
00:33:03et de commencer
00:33:04par l'audition
00:33:04de notre fabuleuse
00:33:07Agence nationale
00:33:08de sécurité
00:33:08des systèmes d'information
00:33:09et son représentant.
00:33:11Tout en suggérant,
00:33:12d'ailleurs,
00:33:12M. le Président,
00:33:13que nous puissions
00:33:13de nouveau auditionner
00:33:15M. le Directeur Général
00:33:17à l'issue de nos travaux
00:33:17parce que je pense
00:33:18que c'est autant intéressant
00:33:19de l'avoir aujourd'hui
00:33:20en introduction de nos travaux
00:33:21qu'après que nous ayons
00:33:22auditionné
00:33:23un certain nombre
00:33:24des acteurs
00:33:25qui ne manqueront pas
00:33:25de nous reporter
00:33:27leurs observations,
00:33:29recommandations
00:33:30en tout genre.
00:33:31Je pense que ça pourrait
00:33:31être très constructif
00:33:32de clôturer
00:33:33notre cycle d'audition
00:33:34par l'audition
00:33:34de notre Directeur Général.
00:33:37Commentaire par rapport
00:33:38à ce que vous avez dit,
00:33:38M. le Président.
00:33:39Moi, j'apprécierais
00:33:39que nous puissions
00:33:40faire les travaux
00:33:40dans la foulée,
00:33:41c'est-à-dire
00:33:41commissions et séances
00:33:43insultenants.
00:33:44Rien de pire,
00:33:45me semble-t-il,
00:33:45que nous commencions
00:33:46en juillet
00:33:47pour achever en septembre.
00:33:48Enfin, c'est un avis personnel,
00:33:49mais s'il était partagé
00:33:52dans mon mandat
00:33:56de rapporteur général
00:33:57à tenter de trouver
00:33:59les équilibres,
00:33:59maintenir les équilibres
00:34:00dans un texte
00:34:01qui se veut harmonieux
00:34:02parce que d'abord
00:34:03de nature européenne
00:34:04et que quand on est
00:34:05attaché à une forme
00:34:06de souveraineté
00:34:07qui ne peut pas se confondre
00:34:08avec du souverainisme,
00:34:09la souveraineté,
00:34:10elle commande effectivement
00:34:11d'avoir un cadre européen
00:34:13plutôt harmonieux
00:34:13plutôt que fragmenté.
00:34:15Et en tant que rapporteur général,
00:34:16je serais vigilant
00:34:18à ce que ces équilibres
00:34:19puissent être respectés.
00:34:21Alors, je vais me prêter
00:34:22au jeu des questions
00:34:23puisque nous sommes ici
00:34:24pour interroger
00:34:25le directeur général.
00:34:26Parfois, nous entendons dire
00:34:27que pourquoi s'embarrasser
00:34:29avec tout ça,
00:34:29l'ISO 27001,
00:34:30ce serait génial,
00:34:31on pourrait tout faire avec
00:34:32et on pourrait se passer
00:34:34de spécificités,
00:34:36de nuances technologiques
00:34:37et de spécificités techniques
00:34:37qui sont rappelées
00:34:38dans ces trois textes.
00:34:39Ensuite, vous avez évoqué
00:34:40ce sujet de l'articulation
00:34:41d'Oranice 2.
00:34:42Plus globalement,
00:34:42j'aimerais vous interroger
00:34:43sur la façon
00:34:45dont vous trouvez
00:34:45les équilibres
00:34:46entre les autres organisations.
00:34:49Je pense avec la CNIL aussi,
00:34:50pas uniquement avec l'ACPR.
00:34:53Et puis, pour terminer
00:34:54par deux points
00:34:55qui peut-être feront écho
00:34:57à la première question
00:34:58du M. le Président
00:34:58sur la BITD versus BITC,
00:35:01plutôt BITC versus BITD.
00:35:03Comment on fait en sorte
00:35:03que l'ISO 2 soit un sujet
00:35:05qui soit un sujet
00:35:06de levier
00:35:07et de démultiplication
00:35:08de notre écosystème cyber
00:35:09plus que finalement
00:35:10d'aller nous ouvrir
00:35:11des cabinets de comptail ?
00:35:12Et le dernier point,
00:35:14c'est celui du chiffrement,
00:35:15parce que je ne pense pas
00:35:15que vous ayez répondu
00:35:16à la question
00:35:16de M. le Président
00:35:18et je suis autant attaché
00:35:20que lui
00:35:20à ce point-là.
00:35:21Merci.
00:35:27Madame la rapporteure,
00:35:30je vous propose
00:35:30qu'on fasse un poul...
00:35:31Les sénateurs en commission
00:35:36ont inscrit directement
00:35:39dans la loi
00:35:39la liste des secteurs
00:35:40en considérant
00:35:41qu'il y avait des secteurs
00:35:42hautement critiques,
00:35:43d'autres qui étaient critiques.
00:35:45Et c'est le décret
00:35:46en Conseil d'État
00:35:46qui lui précisera
00:35:48les sous-secteurs
00:35:49et les types d'entités
00:35:49relevant de ces deux catégories.
00:35:51J'aimerais avoir votre avis
00:35:52là-dessus
00:35:53sur la position des sénateurs
00:35:54et ce qu'ils ont fait voter.
00:35:56Deuxième question
00:35:56concerne le budget.
00:35:57Le budget pour se mettre
00:35:59en conformité.
00:36:00non seulement l'accompagnement
00:36:02des territoires
00:36:02des entités
00:36:03qui seront concernées
00:36:04mais également
00:36:05évidemment la mise en oeuvre
00:36:06de la directive
00:36:07directement par
00:36:08ces mêmes entités.
00:36:10Est-ce que vous avez parlé
00:36:11à un moment
00:36:11de moyens financiers
00:36:13ou voilà
00:36:15est-ce que ça restera
00:36:17à définir nous
00:36:18dans le cadre
00:36:19d'un budget
00:36:20et le projet
00:36:21de loi de finances ?
00:36:23Madame Vanina Paoli-Gagin
00:36:26donc la sénatrice
00:36:27a effectivement
00:36:29également parlé
00:36:30beaucoup
00:36:31des critères
00:36:32de sélection
00:36:32des contrôleurs.
00:36:34Est-ce que vous pouvez
00:36:34nous en dire
00:36:35un petit peu plus
00:36:35et notamment
00:36:36elle a insisté
00:36:36en disant
00:36:36qu'il fallait
00:36:37qu'absolument
00:36:38les contrôleurs
00:36:38soient français
00:36:40et qu'il n'y ait pas
00:36:41de cabinet
00:36:41avec des contrôleurs
00:36:43d'origine étrangère
00:36:44pour éviter
00:36:45des ingérences.
00:36:46J'aimerais avoir
00:36:46votre avis
00:36:47là-dessus.
00:36:49Pourquoi vous avez été
00:36:49défavorable au Sénat
00:36:50il me semble
00:36:52sur ce point.
00:36:53J'aimerais quelques précisions.
00:36:54Et enfin
00:36:54dernière question
00:36:55pouvez-vous nous parler
00:36:55du niveau de protection
00:36:56des mesures
00:36:57mises en place
00:36:57dans la transposition
00:36:58de Nice 2
00:36:59par rapport
00:36:59aux exigences
00:37:01actuelles
00:37:02en vigueur
00:37:02appliquées aux OIV
00:37:03notamment dans le cadre
00:37:04de la LPM 2013.
00:37:06Merci beaucoup.
00:37:07Monsieur Boulou.
00:37:15Allez, je commence.
00:37:16Non, mais on est trois.
00:37:18C'est pour ça,
00:37:18je ne sais pas
00:37:18dans quel sens.
00:37:19Merci, monsieur le président.
00:37:22Merci tout d'abord,
00:37:23monsieur le directeur général
00:37:24pour cet exposé
00:37:26et les réponses
00:37:27que vous allez bientôt
00:37:28nous apporter, évidemment.
00:37:31Pour ma part,
00:37:32je suis rapporteur thématique
00:37:33pour ce qui concerne
00:37:34le titre 3 du projet de loi.
00:37:37Celui-ci porte,
00:37:38comme vous le savez,
00:37:38sur la résilience opérationnelle
00:37:40numérique du secteur financier
00:37:41puisqu'il s'agit d'articles
00:37:43de transposition
00:37:44de la directive DORA
00:37:50du 14 décembre 2022
00:37:53qui elle-même modifie
00:37:54plusieurs directives sectorielles
00:37:56déjà transposées
00:37:58dans notre droit interne
00:37:59pour les mettre en conformité
00:38:00avec le règlement du même nom.
00:38:02Il va de soi
00:38:02que le titre 3 du projet de loi
00:38:04ne concerne pas autant
00:38:05l'ancien que la transposition
00:38:07de la directive NIS 2
00:38:08sur laquelle vous avez pu apporter
00:38:09un certain nombre de développements
00:38:11et qui fait l'objet
00:38:12du titre 2 du projet de loi
00:38:13dont je salue
00:38:14l'excellent rapporteur thématique.
00:38:17Néanmoins,
00:38:18j'aurais quand même
00:38:18quelques questions
00:38:19à vous poser
00:38:19sur le rôle de votre agence
00:38:21dans la résilience
00:38:21des entités financières.
00:38:22En plus,
00:38:22vous l'avez abordé également.
00:38:23J'avais cette question.
00:38:24Vous avez déjà commencé
00:38:25à y répondre.
00:38:28Donc,
00:38:28avant d'en venir
00:38:29à certaines dispositions
00:38:30du titre 3 du projet de loi,
00:38:31deux questions plutôt générales
00:38:33pour commencer.
00:38:33Premièrement,
00:38:34pourriez-vous donner
00:38:35quelques exemples récents
00:38:37de cybermenaces
00:38:38auxquels sont exposés
00:38:39les acteurs du système financier ?
00:38:42On cite souvent
00:38:43la recapitalisation
00:38:45de la filiale américaine
00:38:46de la banque chinoise
00:38:47ICBC
00:38:48comme un exemple
00:38:49dans le monde.
00:38:50Mais j'ai lu
00:38:51dans votre dernier panorama
00:38:52que le logiciel financier
00:38:54XTrader
00:38:54avait aussi été compromis.
00:38:57Deuxièmement,
00:38:57compte tenu
00:38:58des menaces potentielles,
00:38:59pensez-vous que le règlement
00:39:00et la directive d'Aura
00:39:02seront décisives
00:39:03pour assurer
00:39:04la résilience
00:39:05du secteur financier ?
00:39:07Enfin,
00:39:07j'ai une autre interrogation
00:39:08qui concerne plus précisément
00:39:09les articles additionnels
00:39:10du titre 3 du projet de loi.
00:39:12On l'a abordé un peu tout à l'heure.
00:39:13Le Sénat a ajouté
00:39:14deux articles
00:39:15afin de désigner
00:39:16une seule autorité compétente
00:39:18pour recevoir
00:39:18de la part des entités financières
00:39:20les déclarations obligatoires
00:39:21d'incidents majeurs
00:39:22et les notifications volontaires
00:39:23de cybermenaces importantes
00:39:25afin de respecter
00:39:26l'article 19
00:39:27du règlement d'Aura.
00:39:28Vous l'avez dit tout à l'heure,
00:39:32ça part d'un bon sentiment,
00:39:34c'est d'éviter le risque
00:39:35de double assujettissement
00:39:36entre Nice 2 et Dora.
00:39:38Le gouvernement avait émis
00:39:39d'ailleurs un avis défavorable
00:39:41à ces amendements
00:39:41qui ont été quand même adoptés.
00:39:45Et je pense,
00:39:46mais enfin remarquez,
00:39:46vous avez déjà...
00:39:47En fait,
00:39:47vous militez pour qu'on revienne
00:39:49à ce que l'ANSI
00:39:51puisse aussi être prévenu.
00:39:53Vous avez donné
00:39:54les raisons.
00:39:55donc peut-être
00:39:57qu'en tant que rapporteur
00:39:59thématique,
00:40:00on en discutera.
00:40:01Je pourrais porter
00:40:02ce point
00:40:03parce que je suis assez
00:40:04convaincu comme vous
00:40:05que c'est quand même
00:40:06un bon moyen
00:40:07de mieux répondre.
00:40:10Merci.
00:40:11Et puis,
00:40:11Madame Hervieux,
00:40:14je vous cède la parole.
00:40:14Oui,
00:40:17Monsieur le Président,
00:40:19Monsieur le Directeur,
00:40:20merci de votre réactivité
00:40:22pour cette audition.
00:40:24Il se trouve que moi,
00:40:25je suis rapporteur,
00:40:26pas rapporteur,
00:40:27pas rapporteuse,
00:40:28rapporteur pour le titre 1,
00:40:29résilience des activités
00:40:31d'importance vitale
00:40:33pour l'ensemble des thématiques
00:40:35qu'on abordera
00:40:36à travers ce sujet.
00:40:39Là, plus précisément,
00:40:40la cybersécurité de l'État
00:40:42doit être également renforcée
00:40:43afin de protéger nos données
00:40:45et nos secteurs critiques,
00:40:46les secteurs critiques.
00:40:48Et donc,
00:40:48l'objectif stratégique
00:40:49numéro 4,
00:40:50une résilience cyber
00:40:51du premier rang
00:40:52de la RNS de 2022
00:40:54est plus que jamais
00:40:55d'actualité.
00:40:57On le sait,
00:40:58le niveau de cybersécurité
00:41:00de l'ensemble
00:41:00des entités importantes
00:41:02doit être encore rehaussé
00:41:03et ça s'accélère,
00:41:05les besoins s'accélèrent,
00:41:06semble-t-il,
00:41:07tous les jours.
00:41:08Donc,
00:41:08la mise en place
00:41:09d'une stratégie nationale
00:41:10en matière de cybersécurité
00:41:12primordiale
00:41:12pour une question
00:41:13de défense nationale.
00:41:16Et pas que.
00:41:17Mais bon,
00:41:17je n'ouvre pas le débat là-dessus.
00:41:19La directive Nice 2
00:41:21permet d'avancer
00:41:22de manière significative
00:41:23pour nous assurer
00:41:24un niveau élevé
00:41:25commun de cybersécurité
00:41:26dans l'ensemble
00:41:27de l'Union.
00:41:27Elle participe
00:41:28à une transformation
00:41:29de l'ANSI
00:41:29qui modifie de fait
00:41:31vos méthodes de travail
00:41:32et vos échanges
00:41:33avec vos interlocuteurs.
00:41:35Votre rôle est central
00:41:36pour informer,
00:41:36accompagner les acteurs
00:41:37de notre territoire
00:41:38en matière de cybersécurité
00:41:40et des entités importantes.
00:41:42Donc,
00:41:43là,
00:41:43j'ai deux questions.
00:41:44Quelles sont les conséquences
00:41:45du texte
00:41:46sur les collectivités territoriales
00:41:48qui ont des moyens
00:41:49très hétérocliques ?
00:41:50Nous le savons.
00:41:52Aussi bien sur le plan humain
00:41:53que financier.
00:41:55Et comment,
00:41:56puisque vous avez évoqué
00:41:58avec les collègues
00:41:59les possibilités
00:42:00d'accompagnement,
00:42:01mais plus précisément
00:42:03les concernant
00:42:04comment vous pouvez
00:42:06vous déployer
00:42:07en tenant compte
00:42:10des contextes territoriaux.
00:42:13Par ailleurs,
00:42:14le soutien et la facilitation
00:42:15de la coopération stratégique,
00:42:17l'échange d'informations
00:42:18entre les États membres
00:42:19ainsi que le réseau
00:42:20des CR-IRT
00:42:23qui favorisent
00:42:23une coopération opérationnelle
00:42:25rapide et efficace
00:42:26entre les entités nationales
00:42:28sont des moyens
00:42:29d'améliorer la cybersécurité
00:42:31à tous les échelons
00:42:32et pourriez-vous développer
00:42:33vos besoins
00:42:34en matière de coopération
00:42:35avec les États membres
00:42:37de l'Union européenne ?
00:42:39Et puis,
00:42:39dernière question
00:42:40qui touche
00:42:41aux évolutions technologiques
00:42:43qui sont en évolution exponentielle.
00:42:46On pense notamment
00:42:47à l'intelligence artificielle.
00:42:49Comment appréhendez-vous
00:42:51notre prise en compte
00:42:52de ces enjeux,
00:42:53en particulier
00:42:54pour les technologies de rupture ?
00:42:56Je vous remercie d'avance.
00:42:58Merci.
00:42:59Je vous propose
00:42:59de répondre
00:43:00à ce pool de questions
00:43:01et ensuite,
00:43:02on passera aux orateurs de groupe.
00:43:03Je vous remercie.
00:43:04Je vais essayer
00:43:04de n'en oublier aucune
00:43:05en essayant de les regrouper
00:43:08un petit peu
00:43:08et en cochant
00:43:09au fur et à mesure.
00:43:10Je n'ai pas d'intention
00:43:11d'oublier la question
00:43:12sur l'article 16 bis
00:43:13dont je ne doutais pas
00:43:15qu'elle reviendrait.
00:43:17En commençant
00:43:18sur les exigences.
00:43:22ISO 27001,
00:43:23l'ANSI n'a rien
00:43:24contre ISO 27001.
00:43:25Il n'y a pas d'objection
00:43:26de notre part.
00:43:27Je pense que la plupart
00:43:28de nos référentiels
00:43:29de prestataires qualifiés
00:43:31déclinent d'une manière
00:43:32ou d'une autre
00:43:33la même architecture
00:43:33que l'ISO 27001.
00:43:34C'est quelque chose
00:43:35que nous connaissons
00:43:35et que nous appliquons.
00:43:36En revanche,
00:43:37ce n'est pas le bon outil
00:43:38pour répondre
00:43:40aux exigences de Nice 2.
00:43:42Nos amis belges
00:43:42ne disent pas autre chose
00:43:44parce qu'ils se sont
00:43:45inspirés d'ISO 27001
00:43:46mais ils ont complété
00:43:47d'autres exigences.
00:43:48Un exemple très simple,
00:43:50ISO 27001 ne dit rien
00:43:52en matière de sauvegarde.
00:43:53Pour autant,
00:43:55c'est peut-être
00:43:55la première manière
00:43:56de répondre efficacement
00:43:56à un risque
00:43:58de rançongiciel
00:43:59pour une petite entreprise
00:44:00que d'avoir des sauvegardes
00:44:01et ce sera
00:44:02dans nos exigences
00:44:03et c'est des choses
00:44:04que les Belges
00:44:05ont rajoutées
00:44:06en plus de la norme
00:44:09ISO 27001.
00:44:09Donc on n'est pas
00:44:10dans la simple déclinaison
00:44:11d'une norme sur étagère
00:44:12qui serait pratique
00:44:13pour tout le monde
00:44:14mais c'est évidemment
00:44:15un peu plus compliqué que ça.
00:44:16L'autre précaution
00:44:17que nous avons vis-à-vis
00:44:18d'ISO 27001
00:44:19c'est que c'est une méthode
00:44:20pour élaborer
00:44:22des objectifs de sécurité
00:44:23et se mettre en conformité
00:44:24avec ces objectifs de sécurité.
00:44:25Ça ne dit pas précisément
00:44:26quoi faire
00:44:26pour répondre
00:44:27à un niveau de menace précis
00:44:28parce que tout ce travail
00:44:29reste à mener
00:44:29par l'entité
00:44:30qui applique ISO 27001.
00:44:32Et c'est pour ça
00:44:32que nous nous faisons
00:44:33l'hypothèse
00:44:36que ce sera trop compliqué
00:44:37à mettre en œuvre
00:44:38par des petites structures
00:44:39notamment parmi
00:44:39les entités importantes
00:44:40certaines pourraient
00:44:41sans doute
00:44:41mais elles ne se doteront
00:44:43pas toutes
00:44:44d'un RSSI
00:44:45et du coup
00:44:46je rebondis
00:44:46sur une question
00:44:46que je n'ai pas
00:44:47oubliée non plus
00:44:48métier de RSSI
00:44:50il est indispensable
00:44:51je ne suis pas convaincu
00:44:52qu'il ait besoin
00:44:53d'être encadré
00:44:54par la loi
00:44:54en tout cas
00:44:55j'attends d'en avoir
00:44:56le besoin
00:44:58de légiférer
00:44:58en la matière
00:44:59parce que finalement
00:45:00les RSSI
00:45:01il y en a beaucoup
00:45:02aujourd'hui
00:45:03et ils n'ont pas
00:45:03d'ancrage légal
00:45:04ils n'en ont pas
00:45:05forcément besoin
00:45:06en revanche
00:45:06il n'est pas
00:45:07dans notre intention
00:45:08d'exiger
00:45:09la présence
00:45:10d'un RSSI
00:45:11d'un expert
00:45:12en cybersécurité
00:45:13dans chaque entité importante
00:45:14ce ne serait pas raisonnable
00:45:15compte tenu
00:45:16de la taille
00:45:16de certaines de ces entités
00:45:17donc on fera plus simple
00:45:19on fera l'analyse de risque
00:45:20au profit des secteurs
00:45:21d'activité
00:45:21et on leur partagera
00:45:22des choses relativement simples
00:45:24à mettre en oeuvre
00:45:25tant que je suis
00:45:27sur les
00:45:27alors je vais barrer
00:45:28au fur et à mesure
00:45:29tant que je suis
00:45:30sur les exigences
00:45:31le positionnement
00:45:32entre Nice 2
00:45:32et le cadre applicable
00:45:34aux OIV
00:45:35évidemment
00:45:36on sera beaucoup moins
00:45:37exigeant
00:45:38dans les règles
00:45:39Nice 2
00:45:39qu'on ne peut l'être
00:45:40sur les OIV
00:45:41en revanche
00:45:41ça constituera le socle commun
00:45:43pour les OIV
00:45:44dans le cadre
00:45:45de la refonte
00:45:46du dispositif
00:45:47d'activité
00:45:47d'importance vitale
00:45:48porté par le titre 1
00:45:49on complétera ça
00:45:50de quelques mesures complémentaires
00:45:51qui reprendront
00:45:52certaines exigences spécifiques
00:45:53que nous avons
00:45:54sur les OIV
00:45:54aujourd'hui
00:45:55qui ont un sens
00:45:56pour ce niveau
00:45:57d'exposition à la menace
00:45:58y compris stratégique
00:45:59les OIV ne sont pas concernés
00:46:00que par la menace systémique
00:46:01mais aussi par des menaces ciblées
00:46:02des exigences
00:46:04en matière de détection
00:46:05qui figurent
00:46:06dans le cadre existant
00:46:07qu'on devra
00:46:09sans doute remettre à jour
00:46:10pour les faire évoluer
00:46:11au gré de l'évolution
00:46:14de l'état de l'art
00:46:15parce que 10 ans
00:46:15dans le monde
00:46:17de la cybersécurité
00:46:18c'est long
00:46:18donc évidemment
00:46:19il faudra reprendre tout ça
00:46:20mais on va reprendre
00:46:21un niveau d'exigence
00:46:21similaire pour les OIV
00:46:23et un niveau d'exigence
00:46:24moindre
00:46:25pour les entités
00:46:26soumises à NIS2
00:46:27parce qu'elles n'auront pas
00:46:28la même menace
00:46:29et pas les mêmes moyens
00:46:30pour y faire face
00:46:31dans
00:46:33alors j'en profite
00:46:36au passage
00:46:37pour parler
00:46:37d'intelligence artificielle
00:46:38l'intelligence artificielle
00:46:41dans notre analyse
00:46:41et qui a été largement
00:46:42partagée à l'occasion
00:46:43du sommet d'action
00:46:44pour l'IA
00:46:45c'est que
00:46:46c'est pas non plus
00:46:46une rupture fondamentale
00:46:49dans le domaine
00:46:49de la cybersécurité
00:46:50ça ne va pas décupler
00:46:52les capacités des attaquants
00:46:53ça va les améliorer
00:46:55ça va améliorer aussi
00:46:55les capacités des défenseurs
00:46:56donc il s'agit
00:46:57de s'emparer
00:46:58de ces nouvelles technologies
00:46:59au même rythme
00:46:59que les méchants
00:47:01pour les gentils
00:47:02que nous sommes
00:47:02et il s'agit
00:47:04probablement aussi
00:47:05d'accompagner
00:47:06le déploiement de l'IA
00:47:07par des bonnes mesures
00:47:07de cybersécurité
00:47:08mais le rapport
00:47:09d'analyse de risque
00:47:10que nous avons publié
00:47:11à cette occasion là
00:47:11qui est co-signé
00:47:12par 19 partenaires étrangers
00:47:14rappelle que fondamentalement
00:47:16dans le déploiement de l'IA
00:47:18il faut respecter
00:47:18des bonnes pratiques de base
00:47:19qui sont les mêmes
00:47:19que pour tout logiciel
00:47:20avant de se préoccuper
00:47:21d'autres risques spécifiques
00:47:22à l'IA
00:47:23et donc je pense que
00:47:24le socle de base
00:47:24de bonnes pratiques
00:47:25que nous porterons
00:47:26avec Nice 2
00:47:26résistera dans une large mesure
00:47:28à l'épreuve du temps
00:47:29et permettra aussi
00:47:30une prise en compte
00:47:31dans une large mesure
00:47:31de ces enjeux là
00:47:32même si évidemment
00:47:33il faudra savoir
00:47:34le réviser
00:47:37le cas échéant
00:47:37je saute un peu
00:47:40du cocalade
00:47:40mais pas totalement
00:47:41le besoin d'avoir
00:47:42une bonne articulation
00:47:43entre le niveau législatif
00:47:44et le niveau réglementaire
00:47:46découle aussi
00:47:47du besoin de pouvoir
00:47:48ajuster les choses
00:47:49en fonction de l'évolution
00:47:49des technologies
00:47:50la question de madame
00:47:53Le Hénan
00:47:54sur la liste
00:47:55des secteurs
00:47:55qui ont été remontés
00:47:56dans la loi
00:47:56les secteurs
00:47:57qui ont été mis
00:47:58dans la loi
00:47:59par le Sénat
00:48:00sont ceux qui sont prévus
00:48:01par la directive
00:48:01littéralement
00:48:02nous avions fait
00:48:03dans la préparation
00:48:04du projet de loi
00:48:05l'hypothèse que
00:48:06comme ça figurait
00:48:06dans la directive
00:48:07il n'était pas nécessaire
00:48:09pour des raisons
00:48:10de concision
00:48:10de le reprendre
00:48:10dans la loi
00:48:11le Sénat a jugé
00:48:12et nous en respectons
00:48:14naturellement la sagesse
00:48:15que ça contribuait
00:48:17plutôt à la lisibilité
00:48:18que de reprendre
00:48:18cette liste de secteurs
00:48:19dans la loi
00:48:19pas d'avis
00:48:22contre cette inclusion
00:48:25du moment
00:48:25que nous gardons
00:48:26et c'est ce qui
00:48:26figure dans le texte
00:48:28une capacité
00:48:28de préciser les choses
00:48:29en termes de sous-secteurs
00:48:31au niveau réglementaire
00:48:32par exemple
00:48:33pour s'articuler
00:48:34avec les définitions
00:48:34qui seront retenues
00:48:35dans les périmètres ministériels
00:48:36qui peuvent évoluer
00:48:37et qui sont fixés
00:48:38par décret
00:48:39donc avoir là aussi
00:48:40des gages de lisibilité
00:48:41et de retenir
00:48:42les mêmes termes
00:48:42et la même articulation
00:48:44dans la déclinaison
00:48:45des secteurs
00:48:45qui seront repris
00:48:46dans la soumise
00:48:48à Nice 2
00:48:48et faire ça
00:48:49par la voie réglementaire
00:48:50donc le point d'équilibre
00:48:51qui a été trouvé
00:48:51par le Sénat
00:48:52nous semble plutôt
00:48:53le bon
00:48:53à ce stade là
00:48:55ensuite
00:48:57peut-être
00:48:59sur l'articulation
00:49:01avec
00:49:01les entités
00:49:03DORA
00:49:03le cadre DORA
00:49:05et le cadre RGPD
00:49:06donc avec les entités
00:49:07de contrôle DORA
00:49:08et la CNIL
00:49:09déjà sur l'articulation
00:49:11prévue entre DORA
00:49:12et Nice 2
00:49:14telle qu'elle découle
00:49:15d'ailleurs des directives
00:49:15principe de l'ex spécialiste
00:49:17sur lequel
00:49:19j'ai par ailleurs
00:49:20au demeurant
00:49:20un avis
00:49:21consiste à dire
00:49:24que l'enfer
00:49:24peut rapidement
00:49:25être pavé
00:49:25de bonnes intentions
00:49:26et donc à multiplier
00:49:26des lèvres spécialistes
00:49:27on crée plutôt
00:49:28de la complexité
00:49:28verticale
00:49:30plutôt que d'avoir
00:49:30un cadre horizontal
00:49:31ceci étant
00:49:32les directives
00:49:32telles qu'elles existent
00:49:34disent que
00:49:35tout ce qui est
00:49:36dans DORA
00:49:37et qui
00:49:38alors
00:49:39je vais essayer
00:49:41de reprendre ma phrase
00:49:42pour rester clair
00:49:43les entités
00:49:45soumises à DORA
00:49:47et à Nice 2
00:49:47appliquent les règles
00:49:48de DORA
00:49:49et pas les règles
00:49:50de Nice 2 équivalentes
00:49:51quand il y a des règles
00:49:52de DORA
00:49:52équivalentes aux règles
00:49:53de Nice 2
00:49:53et appliquent les règles
00:49:55de Nice 2
00:49:55qui n'ont pas d'équivalent
00:49:56dans DORA
00:49:56ce qui traduit
00:49:58en termes concrets
00:49:58veut dire
00:49:59qu'elles appliqueront
00:50:00toutes les règles
00:50:00de DORA
00:50:01plus deux règles
00:50:02supplémentaires
00:50:02qui sont dans Nice 2
00:50:03et qui ne sont pas
00:50:04dans DORA
00:50:04l'enregistrement
00:50:05auprès de l'autorité
00:50:06nationale de cybersécurité
00:50:07et la notification
00:50:08des incidents
00:50:09de cybersécurité
00:50:10à l'autorité
00:50:10nationale de cybersécurité
00:50:11c'est ce que prévoit
00:50:14l'articulation
00:50:15des deux directives
00:50:16le Sénat
00:50:17a
00:50:18simplifié
00:50:20la deuxième exigence
00:50:22en prévoyant
00:50:22ce principe
00:50:23de simple notification
00:50:24comme j'ai eu
00:50:26l'occasion de le dire
00:50:26je pense que
00:50:27l'intention est louable
00:50:29mais l'effet
00:50:29est potentiellement
00:50:30problématique
00:50:31et des discussions
00:50:32que nous avons eues
00:50:33avec le secteur financier
00:50:34l'idée d'avoir
00:50:35un formulaire commun
00:50:36parce que ça c'est important
00:50:37pour ne pas avoir
00:50:37deux papiers à remplir
00:50:38là on serait dans
00:50:39de la bureaucratie
00:50:40inutile
00:50:41mais avoir un formulaire commun
00:50:42mais qui est envoyé
00:50:42aux deux entités
00:50:43entité de contrôle
00:50:44DORA
00:50:44qui a un travail
00:50:45à mener sur l'impact
00:50:46sur le secteur financier
00:50:47et l'ANSI
00:50:48qui a un travail
00:50:49à mener sur l'assistance
00:50:50aux victimes
00:50:50la prise en compte
00:50:51de la menace cyber
00:50:52je pense que ce serait
00:50:53le bon point d'équilibre
00:50:54et donc on reviendra là-dessus
00:50:55évidemment nous avons
00:50:56entamé par ailleurs
00:50:57de nombreuses discussions
00:50:59avec les entités
00:51:00de contrôle
00:51:01DORA
00:51:02la CPR
00:51:02la AMF
00:51:03pour partager
00:51:04notre compréhension
00:51:05des exigences
00:51:06pour se préparer aussi
00:51:07à mener des contrôles
00:51:08dans ce domaine
00:51:09de recouvrement
00:51:10pour éviter
00:51:10qu'on passe
00:51:11l'un après l'autre
00:51:12à une semaine d'intervalle
00:51:13et plutôt se répartir
00:51:14le travail
00:51:14en bonne coordination
00:51:15je pense que le principe
00:51:17sera le même
00:51:17et là aussi
00:51:19ça fait l'objet
00:51:20de discussions
00:51:20et d'un consensus
00:51:21avec la CNIL
00:51:22sur l'articulation
00:51:23avec le cadre RGPD
00:51:24le projet de loi
00:51:27prévoit
00:51:27un principe
00:51:28de non bis in idem
00:51:29c'est-à-dire que
00:51:30lorsque sanctions
00:51:31il peut y avoir
00:51:32au titre
00:51:32d'une part
00:51:33de Nice 2
00:51:34et d'autre part
00:51:34du RGPD
00:51:35c'est le régime de sanctions
00:51:37en tout cas
00:51:37pour les sanctions pécuniaires
00:51:38parce qu'il peut y avoir
00:51:38des mesures d'exécution
00:51:39préalables
00:51:40qui sont différenciées
00:51:41mais les sanctions pécuniaires
00:51:42sont celles du régime RGPD
00:51:44puisqu'il est plus
00:51:45plus dix ans
00:51:46je vais dire mieux dix ans
00:51:48mais c'est peut-être pas
00:51:48perçu comme ça
00:51:49par les intéressés
00:51:50en termes de
00:51:52de quantum
00:51:53de peine
00:51:54si j'ose dire
00:51:54de pourcentage
00:51:55du chiffre d'affaires global
00:51:56applicable en termes
00:51:58de sanctions financières
00:51:59donc il n'y a pas
00:52:00d'ambiguïté là-dessus
00:52:01évidemment
00:52:02nous aurons une concertation
00:52:03que nous menons déjà
00:52:04au demeurant
00:52:04avec la CNIL
00:52:05sur les modalités
00:52:07de contrôle
00:52:07sur le partage
00:52:08des retours d'expérience
00:52:09sur le partage
00:52:09des exigences
00:52:10et des interprétations
00:52:11sur le traitement
00:52:12des incidents aussi
00:52:13où l'équilibre
00:52:14qui figure dans
00:52:15le projet de loi
00:52:16est le bon
00:52:16c'est-à-dire que nous avons
00:52:17la possibilité de notifier
00:52:18nous-mêmes
00:52:19à la CNIL
00:52:20des manquements
00:52:21à la protection
00:52:22des données personnelles
00:52:23qui nous semblerait évident
00:52:23et sur lesquels
00:52:24l'entité concernée
00:52:27n'aurait pas fait
00:52:27ses diligences
00:52:28auprès de la CNIL
00:52:29mais c'est pas le principe
00:52:30qui s'imposera par défaut
00:52:30et nous privilégions plutôt
00:52:32ce que nous faisons déjà
00:52:32aujourd'hui dans le traitement
00:52:33d'incidents
00:52:33c'est-à-dire que
00:52:34quand nous assistons
00:52:34une victime
00:52:35de cyberattaque
00:52:36nous l'invitons
00:52:37à se préoccuper
00:52:38des enjeux de données personnelles
00:52:39nous lui expliquons
00:52:40le cadre applicable
00:52:41nous la mettons en relation
00:52:42le cas échéant avec la CNIL
00:52:43nous lui donnons accès
00:52:43aux tous les formulaires applicables
00:52:44mais nous ne faisons pas
00:52:45à sa place
00:52:46le travail d'estimation
00:52:47des impacts
00:52:47sur les données personnelles
00:52:48que nous serions en général
00:52:49bien incapables de faire
00:52:50donc c'est cet équilibre-là
00:52:51qui se dessine
00:52:52et qui fait consensus
00:52:53je le crois
00:52:53avec la CNIL
00:52:55sur les critères
00:52:58de sélection
00:52:59des contrôleurs
00:53:00je pense que
00:53:00la position
00:53:02qui a été tenue
00:53:03par le gouvernement
00:53:04au Sénat
00:53:04vise à dire
00:53:05que de toute façon
00:53:06le contrôle
00:53:07sera organisé
00:53:08par l'ANSI
00:53:08sur Nice 2
00:53:09qui pourra s'appuyer
00:53:10sur des tiers
00:53:12pour mener les contrôles
00:53:13pourra d'ailleurs
00:53:14demander à mobiliser
00:53:15des agents
00:53:16de la CPR
00:53:16par exemple
00:53:17ou de la CNIL
00:53:18et les inviter
00:53:19à s'associer
00:53:20à des contrôles
00:53:20pour explorer
00:53:21un peu
00:53:22ces angles
00:53:23dans le cadre
00:53:23de recouvrement
00:53:24de deux cadres applicables
00:53:26et éviter
00:53:26les contrôles successifs
00:53:28pourra faire appel
00:53:29à des acteurs
00:53:30du secteur privé
00:53:30mais qu'il n'y avait
00:53:31pas besoin
00:53:32de rigidifier cela
00:53:33au niveau de la loi
00:53:34et que l'ANSI
00:53:35évidemment
00:53:35je pense que
00:53:37ce serait un peu
00:53:37contre nature
00:53:38pour nous
00:53:38d'aller faire appel
00:53:39à des contrôleurs
00:53:41étrangers
00:53:41qui feraient n'importe quoi
00:53:42avec les données
00:53:43je pense que
00:53:44je ne nous imagine
00:53:44pas faire ça
00:53:45et je ne pense pas
00:53:46que ça ait besoin
00:53:46d'être écrit
00:53:47dans la loi
00:53:48et de rigidifier
00:53:48le cadre applicable
00:53:49sur les
00:53:53j'essaie de barrer
00:53:56au fur et à mesure
00:53:56sur l'articulation
00:53:59avec les collectivités
00:54:00alors déjà
00:54:02le choix a été fait
00:54:04effectivement
00:54:05par le gouvernement
00:54:05de ne pas
00:54:06porter un régime
00:54:08de sanctions financières
00:54:09à l'égard
00:54:09des collectivités
00:54:10partant du principe
00:54:11qu'enlever
00:54:13de l'argent
00:54:13aux collectivités
00:54:14ce n'était pas
00:54:15forcément un régime
00:54:16de sanctions
00:54:16naturelles
00:54:18vis-à-vis d'elles
00:54:18ce n'était pas
00:54:19forcément les aider
00:54:20à développer
00:54:22la maturité cyber
00:54:22que de leur ponctionner
00:54:23de l'argent
00:54:24mais que par ailleurs
00:54:26et ça n'avait pas
00:54:27la même applicabilité
00:54:28qu'avec un acteur économique
00:54:29qui finalement
00:54:30s'inscrit dans ce registre-là
00:54:31beaucoup plus naturellement
00:54:32et que finalement
00:54:32les autres mesures
00:54:34de sanctions applicables
00:54:35notamment les mesures
00:54:35de publicité
00:54:37autour des manquements
00:54:38étaient un vecteur efficace
00:54:40pour rappeler à l'ordre
00:54:41des collectivités
00:54:42qui ne joueraient pas le jeu
00:54:43voilà
00:54:44alors c'est un choix
00:54:45évidemment
00:54:45qui peut
00:54:46qui est laissé
00:54:48à votre appréciation
00:54:49mais qui est celui
00:54:50qui a été fait
00:54:50par le gouvernement
00:54:51dans la proposition
00:54:52de ce projet de loi
00:54:52sur la déclinisation
00:54:54aux collectivités
00:54:54de manière plus générale
00:54:55évidemment
00:54:56ça peut être très compliqué
00:54:57de faire de la cybersécurité
00:54:59pour une collectivité
00:55:00nous avons fait des choix
00:55:01que nous pensons raisonnables
00:55:02et qui sont assez comparables
00:55:03à ce fait
00:55:03par d'autres états membres
00:55:04dans l'application
00:55:06entité essentielle
00:55:08pour les collectivités
00:55:09de grosse taille
00:55:10les régions
00:55:10les départements
00:55:11les agglomérations
00:55:13de grosse taille
00:55:14entité essentielle
00:55:15entité importante
00:55:16pour des intercommunalités
00:55:18de plus petite taille
00:55:19et pas de traitement
00:55:20des communes
00:55:21en tant que telles
00:55:21parce qu'on sait très bien
00:55:22qu'imposer des exigences
00:55:24de sécurité
00:55:24à une commune
00:55:25de 500 habitants
00:55:25ça n'a pas beaucoup de sens
00:55:26en revanche
00:55:27travailler avec l'intercommunalité
00:55:28à laquelle elle se rattache
00:55:29c'est un vecteur
00:55:30de mutualisation aussi
00:55:30qui peut aider
00:55:32à tirer ce tissu
00:55:33des collectivités
00:55:33vers le haut
00:55:34le sujet des moyens budgétaires
00:55:37je ne m'aventurerai pas
00:55:40sur ce terrain là
00:55:40sur lequel je ne suis pas
00:55:41forcément légitime
00:55:44à porter la position
00:55:44du gouvernement
00:55:45sur le débat budgétaire
00:55:46avec les collectivités
00:55:47évidemment nous allons
00:55:48mobiliser par ailleurs
00:55:49toutes les possibilités
00:55:52d'accompagnement
00:55:53nous le faisons déjà
00:55:53nous avons accompagné
00:55:54à travers le plan de relance
00:55:56à travers aussi
00:55:56l'accompagnement méthodologique
00:55:59l'incubation
00:56:00le développement par exemple
00:56:01des CISIRT
00:56:02ou CISIRT régionaux
00:56:03qui sont des acteurs
00:56:05très complémentaires
00:56:06de l'action de l'ANSI
00:56:06qui ne traitent pas forcément
00:56:07les mêmes incidents
00:56:08qui font aussi
00:56:08une mission de prévention utile
00:56:09et avec lesquels
00:56:11nous comptons bien travailler
00:56:12et c'est prévu d'ailleurs
00:56:12dans le cadre de la transposition
00:56:14avec une logique
00:56:16d'agrément
00:56:16de centres de réponse
00:56:18à incidents relais
00:56:19avec lesquels nous coopérons déjà
00:56:20mais qui permettra peut-être
00:56:21de les mettre en valeur
00:56:22sans avoir moi-même
00:56:24de solution
00:56:24à la question de leur financement
00:56:25qui reste ouverte
00:56:26au-delà du plan de relance
00:56:28qui a permis
00:56:28une forme d'amorçage
00:56:29sur le volet industriel
00:56:34moi ma conviction
00:56:35c'est que
00:56:37cette directive
00:56:40c'est une opportunité
00:56:41c'est une opportunité
00:56:41pour tout le tissu industriel
00:56:43mais en particulier
00:56:44pour le tissu de proximité
00:56:45pour ceux qui connaissent bien
00:56:46ces acteurs-là
00:56:47pour ceux qui sont au contact
00:56:48des collectivités
00:56:49des petites entreprises
00:56:50pour le tissu
00:56:51qui rigue nos territoires
00:56:53et donc on mobilisera
00:56:55les experts cyber
00:56:55les prestataires
00:56:56que connaît bien l'ANSI
00:56:57par ailleurs
00:56:57pour accompagner
00:56:59dans cette transition
00:57:00et je ne pense pas
00:57:01que ça se fasse
00:57:03en priorité
00:57:03aux bénéfices
00:57:04d'acteurs non européens
00:57:05parce qu'ils ne sont pas
00:57:06forcément positionnés
00:57:07sur ce segment-là
00:57:07par conséquent
00:57:09moi je ne pense pas
00:57:10nécessaire
00:57:10d'aller contraindre
00:57:12de mettre des obligations
00:57:14de recours
00:57:14à des prestataires français
00:57:15c'est pas dans le mandat
00:57:16que donne la directive
00:57:17ce serait peut-être
00:57:18jugé comme non
00:57:21non compatible
00:57:22avec le texte européen
00:57:23mais surtout
00:57:24je ne pense pas
00:57:25que ce soit nécessaire
00:57:25et je pense que l'effet
00:57:26sera obtenu
00:57:27de facto
00:57:27par la mobilisation
00:57:29de tous ceux tissus
00:57:30avec lesquels
00:57:30nous travaillons déjà
00:57:31à concevoir des offres
00:57:32par la mobilisation
00:57:33aussi d'acteurs
00:57:33qui sont importants
00:57:34comme les campus
00:57:35cyber
00:57:35qui sont des lieux
00:57:36de rencontre
00:57:37entre offreurs
00:57:38et bénéficiaires
00:57:39pour faire
00:57:40le travail
00:57:42d'amélioration
00:57:42des offres nécessaires
00:57:43pour s'adapter
00:57:44à ces besoins
00:57:45j'en viens
00:57:47au sujet
00:57:48du chiffrement
00:57:50vous allez croire
00:57:51que je voulais l'éviter
00:57:52mais
00:57:52alors je
00:57:54zut
00:57:56non
00:57:56alors je
00:57:59l'article 16 bis
00:58:02moi j'en comprends
00:58:04la teneur politique
00:58:06il s'inscrit dans un débat
00:58:07que je n'ai pas commenté
00:58:08sur une proposition
00:58:09de loi
00:58:10qui a été examinée
00:58:10par ailleurs
00:58:11sur la réponse
00:58:12au narcotrafic
00:58:12évidemment
00:58:15l'ANSI
00:58:16est très attachée
00:58:17par nature
00:58:18à la défense
00:58:19du chiffrement
00:58:19un chiffrement robuste
00:58:20qui est une de nos premières armes
00:58:21de protection
00:58:21contre les cybermenaces
00:58:23de ce point de vue là
00:58:24l'article 16 bis
00:58:25dit des choses
00:58:27qui nous semblent très bien
00:58:27enfin je veux dire
00:58:28il faut protéger le chiffrement
00:58:29c'est une évidence pour nous
00:58:30est-il nécessaire
00:58:32de le dire dans la loi
00:58:32je ne le sais pas
00:58:34est-il
00:58:35ça avait un sens
00:58:36au sens
00:58:37sur le plan politique
00:58:38je n'en doute pas
00:58:39et je ne le commenterai pas
00:58:39sur le plan juridique
00:58:41c'est
00:58:42c'est une autre question
00:58:43donc
00:58:44faut-il y toucher
00:58:45ou pas
00:58:46je ne me prononcerai pas
00:58:47sur le sujet
00:58:48je dirais simplement
00:58:50que
00:58:51le sujet
00:58:52du chiffrement
00:58:53de sa protection
00:58:54et du pouvoir
00:58:56d'enquête
00:58:56des services judiciaires
00:58:58ou des services enquêteurs
00:58:59sont deux sujets
00:59:00très légitimes
00:59:01qui nécessitent
00:59:02quand même
00:59:02un examen approfondi
00:59:03et ce n'est pas quelque chose
00:59:04qui se traite
00:59:04à la va-vite
00:59:06donc je pense
00:59:06qu'on aura aussi besoin
00:59:07de travailler
00:59:08sur ces sujets-là
00:59:09au niveau technique
00:59:10avant de revenir
00:59:11vers le législateur
00:59:13le cas échéant
00:59:14pour arbitrer
00:59:15ces sujets-là
00:59:15donc
00:59:16je ne sais pas
00:59:17s'il faut toucher
00:59:17ou pas au CESBIS
00:59:19mais c'est pas
00:59:19dans le
00:59:20en tout cas
00:59:21ma conviction personnelle
00:59:21c'est que c'est pas
00:59:22dans l'examen
00:59:22du projet de loi
00:59:23résilience
00:59:24qu'on résoudra
00:59:25le problème fondamental
00:59:26qui a été porté
00:59:26devant le législateur
00:59:28dans l'examen
00:59:28du PPL Narco
00:59:29de la PPL Narco
00:59:30voilà
00:59:30merci
00:59:33merci monsieur
00:59:34le directeur général
00:59:35maintenant
00:59:36j'en passe
00:59:37aux personnes
00:59:39qui vont prendre
00:59:40la parole
00:59:40au titre des groupes
00:59:41j'ai deux inscrits
00:59:43en commençant
00:59:43par Aurélien Lopez-Ligori
00:59:45pour le groupe
00:59:45Rassemblement National
00:59:46merci monsieur le président
00:59:49monsieur le directeur
00:59:49ce texte va entraîner
00:59:52notre pays
00:59:52dans un immense
00:59:53un monumental
00:59:55effort de cybersécurité
00:59:56impliquant des milliers
00:59:57d'acteurs
00:59:58des OIV
00:59:59des hôpitaux
00:59:59des collectivités
01:00:00des entreprises
01:00:01tous vont devoir
01:00:02se mettre en ordre
01:00:03de bataille
01:00:03plus de 14500
01:00:06acteurs
01:00:07et cela
01:00:08dans un contexte
01:00:09de tension internationale
01:00:10majeure
01:00:10les attaques cyber
01:00:11se multiplient
01:00:12les états sont
01:00:13de plus en plus
01:00:13offensifs
01:00:14l'espionnage
01:00:15se généralise
01:00:15par le biais
01:00:16de règles
01:00:17extraterritoriales
01:00:18qui pullulent
01:00:18le numérique
01:00:20est devenu
01:00:20un champ
01:00:21de confrontation
01:00:21direct
01:00:22et dans ce contexte
01:00:23l'effort national
01:00:24demandé
01:00:25doit être
01:00:25un outil
01:00:26de souveraineté
01:00:27mais aussi
01:00:28un levier
01:00:28de développement
01:00:29économique
01:00:29pour notre filière
01:00:31cyber
01:00:31car nous avons
01:00:32en France
01:00:33une industrie
01:00:33cyber
01:00:33d'excellence
01:00:34des entreprises
01:00:35innovantes
01:00:35enracinées
01:00:36sur notre territoire
01:00:37je pense à Tetris
01:00:38je pense à
01:00:39Gatewatcher
01:00:40à ZIOI
01:00:40à Wallix
01:00:41à Arfanglab
01:00:42pour n'en citer
01:00:43que quelques-unes
01:00:44et ces sociétés
01:00:46ont démontré
01:00:48leur solidité
01:00:48technologique
01:00:49ont obtenu
01:00:49des qualifications
01:00:50exigeantes
01:00:51de l'ANSI
01:00:51et contribuent
01:00:53déjà
01:00:53à protéger
01:00:55nos systèmes vitaux
01:00:55ce texte
01:00:57doit
01:00:58je pense
01:00:58nous permettre
01:00:59c'est une occasion
01:00:59de les pousser
01:01:00de faire en sorte
01:01:02que
01:01:02pour leur protection
01:01:05cyber
01:01:05les acteurs concernés
01:01:06se tournent
01:01:06en premier lieu
01:01:07vers des acteurs
01:01:08nationaux ou européens
01:01:09c'est notre rôle
01:01:11en tant que député
01:01:12de la nation française
01:01:13de s'assurer
01:01:14que les retombées
01:01:14économiques
01:01:15les externalités
01:01:16positives
01:01:16profitent avant tout
01:01:18à notre écosystème
01:01:18et non
01:01:20à des sociétés
01:01:20étrangères
01:01:21qui s'empresseront
01:01:22du fait
01:01:22de règles
01:01:23extraterritoriales
01:01:24de nous espionner
01:01:25et de menacer
01:01:26nos intérêts
01:01:26d'où mes trois questions
01:01:28quelles mesures
01:01:29proposez-vous
01:01:30pour que le projet
01:01:31de loi résilience
01:01:31devienne un levier
01:01:32concret de soutien
01:01:33à notre filière
01:01:34cybernationale
01:01:34comment comptez-vous
01:01:36faire en sorte
01:01:36que Nice 2
01:01:38entraîne
01:01:39une certaine forme
01:01:40d'immunité
01:01:41aux règles
01:01:42extraterritoriales
01:01:42à l'espionnage
01:01:45et aux ingérences
01:01:46étrangères
01:01:47et envisagez-vous
01:01:48par exemple
01:01:49que dans les textes
01:01:50d'application
01:01:51il y ait
01:01:51la création
01:01:53de labels
01:01:53de certifications
01:01:54ou de critères
01:01:55de souveraineté
01:01:55permettant de favoriser
01:01:57des prestataires
01:01:58européens et français
01:01:59plutôt que des étrangers
01:02:00merci
01:02:01merci
01:02:03pour ensemble
01:02:04pour la république
01:02:05monsieur Gassiou
01:02:05merci monsieur
01:02:09le président
01:02:10monsieur le délégué
01:02:11le journal
01:02:11de vous revoir
01:02:13bon vous l'avez dit
01:02:14en introduction
01:02:15moi ce qui m'intéresse
01:02:16c'est qu'effectivement
01:02:16ce texte
01:02:18est pertinent
01:02:20pour des menaces
01:02:20opportunistes
01:02:21mais il est également
01:02:22pour faire face
01:02:23à des menaces
01:02:24plus structurées
01:02:24qui pourraient venir
01:02:25dans le cadre
01:02:26des états tiers
01:02:27menaces qui pourraient être
01:02:28exercées en complément
01:02:30d'autres menaces
01:02:32y compris
01:02:32de nature cinétique
01:02:34ou autre
01:02:35et je vois ce texte
01:02:37finalement comme
01:02:38une opportunité
01:02:38de consolider
01:02:39notre défense
01:02:40face aux menaces
01:02:41hybrides
01:02:41au sens large
01:02:43en complément
01:02:43de la démarche nationale
01:02:44qu'on avait eue
01:02:44notamment dans le cadre
01:02:45de la stratégie
01:02:46nationale de résidence
01:02:47donc ma première question
01:02:49soit de savoir
01:02:50finalement
01:02:50quelle est votre articulation
01:02:51et qu'est-ce qui est prévu
01:02:53dans ce texte
01:02:54avec le com-cyber
01:02:55notamment
01:02:56pour savoir
01:02:57s'il y a des interfaces
01:02:58comment les interfaces
01:02:59fonctionnent
01:03:00et comment sont traitées
01:03:01les infrastructures
01:03:02critiques
01:03:02duales
01:03:04notamment
01:03:04si vous pouvez nous préciser
01:03:06un peu les choses
01:03:06à ce sujet là
01:03:07deuxième point
01:03:09on a parlé de déclinaison
01:03:09territoriale
01:03:10finalement la communication
01:03:12et la déclinaison
01:03:13qui va être faite
01:03:14de ce texte
01:03:15à l'échelle du territoire
01:03:16c'est l'occasion aussi
01:03:17de faire travailler
01:03:18des acteurs à froid
01:03:18dans les territoires
01:03:19qui ne se connaissent
01:03:20pas forcément
01:03:22autour des services
01:03:23déconcentrés de l'état
01:03:24des chambres consulaires
01:03:25des services
01:03:25de l'éducation nationale
01:03:26etc
01:03:27bien entendu
01:03:28il ne faudra pas oublier
01:03:28la chaîne OTIAD
01:03:29l'organisation territoriale
01:03:31interarmée de défense
01:03:32autour des officieuses
01:03:33généraux de zone de défense
01:03:34des délégués militaires
01:03:35départementaux
01:03:36et j'espère finalement
01:03:37qu'une telle démarche
01:03:39peut permettre aux acteurs
01:03:40de mieux se connaître
01:03:41pour potentiellement
01:03:43développer des réflexes
01:03:46qui pourraient être utilisés
01:03:47dans des temps
01:03:47un peu plus graves
01:03:48enfin dernier point
01:03:50concernant l'OSINT
01:03:51je vois que l'OSINT
01:03:52n'est pas spécifiquement
01:03:53mentionné dans le texte
01:03:55c'est pourtant un outil incontournable
01:03:57en matière de cyber
01:03:58ne serait-ce que pour identifier
01:03:59une exposition
01:04:00dans une base de données
01:04:01piratée
01:04:02l'état utilise lui-même
01:04:03l'OSINT
01:04:04que ce soit pour ses services
01:04:05de renseignement
01:04:06pour ses questions de sécurité
01:04:07au niveau fiscal
01:04:08et je note que dans le droit français
01:04:11a priori
01:04:12les choses ne sont pas bien
01:04:13précisées
01:04:13ce qui nous met dans une forme
01:04:14de flou
01:04:14et ce qui incite parfois
01:04:16les acteurs à recourir
01:04:17à des opérateurs étrangers
01:04:18en matière d'OSINT
01:04:19est-ce qu'il y aurait
01:04:20selon vous
01:04:21à muscler un peu le texte
01:04:22en la matière
01:04:23je vous remercie
01:04:23Merci pour la France Insoumise
01:04:27Monsieur Pilato
01:04:28Merci Monsieur le Président
01:04:30Monsieur le Directeur Général
01:04:32chers collègues
01:04:33ce projet de loi
01:04:35relatif à la résilience
01:04:36des infrastructures
01:04:37critiques
01:04:38et au renforcement
01:04:39de la cybersécurité
01:04:40place votre agence
01:04:41l'ENSI
01:04:41au coeur d'un objectif
01:04:43de résilience
01:04:43d'où l'importance
01:04:45de cette première audition
01:04:46trois questions
01:04:47et une remarque
01:04:49nous sommes à un moment
01:04:50où les intelligences artificielles
01:04:51génèrent beaucoup d'interrogations
01:04:53et de craintes
01:04:53avec elles
01:04:54les capacités de nuisance
01:04:56sont démultipliées
01:04:58comment envisagez-vous
01:04:59l'évolution
01:05:00de vos missions
01:05:00face aux attaques
01:05:01qui vont se multiplier
01:05:02avec les IA
01:05:03et changer de nature
01:05:04je pense à la falsification
01:05:06des données par exemple
01:05:07ma seconde question
01:05:09s'attache à votre mission première
01:05:10qui est d'être au service
01:05:11de la protection
01:05:12de la nation
01:05:13votre agence
01:05:14possède une liste
01:05:15d'organismes
01:05:16d'importance vitale
01:05:17auxquelles vous apportez
01:05:18prioritairement des expertises
01:05:20et recommandations
01:05:21en cas de cyberattaque
01:05:22pouvez-vous nous dire
01:05:24combien d'entités
01:05:24touchées par semaine
01:05:25ou par mois
01:05:26apportez-vous votre expertise
01:05:27en appui face aux attaques subies
01:05:29ce projet doit élabore
01:05:31des listes remaniées
01:05:32plus larges
01:05:33en fonction de secteurs
01:05:34hautement critiques
01:05:35pour le fonctionnement
01:05:36de l'économie
01:05:36et de la société
01:05:38par l'intermédiaire
01:05:38des articles 7 à 10
01:05:40pensez-vous avoir
01:05:41les capacités humaines
01:05:42à ce jour
01:05:43pour pouvoir assurer
01:05:44ces recommandations
01:05:45et protéger efficacement
01:05:47la souveraineté de la nation
01:05:48avec ces nouveaux périmètres
01:05:50enfin
01:05:51c'est la remarque
01:05:52que vous pourrez commenter
01:05:53l'agence que vous représentez
01:05:55est placée au service
01:05:56du premier ministre
01:05:57si la stratégie nationale
01:05:58en matière de cybersécurité
01:06:00est une décision politique
01:06:02je m'étonne
01:06:03de cette mise sous tutelle
01:06:04alors que c'est votre indépendance
01:06:06qui devrait être
01:06:07notre garantie
01:06:08je vous remercie
01:06:10merci pour le groupe socialiste
01:06:13et apparenté
01:06:14monsieur Saint-Pasteur
01:06:15merci monsieur le président
01:06:17monsieur le directeur
01:06:18si le soleil est dans mon dos
01:06:19c'est bien l'anci
01:06:20qui doit être le phare
01:06:21qui doit éclairer
01:06:22le chemin de nos travaux
01:06:23et bien plus encore
01:06:25celui des nouvelles entités
01:06:27très nombreuses
01:06:28assujetties
01:06:28à cette transposition
01:06:30parce que dans le monde réel
01:06:32la directive Nice 2
01:06:33est déjà là
01:06:34elle existe
01:06:35sur nos moteurs de recherche
01:06:36avec quelques mots clés
01:06:37vous trouverez
01:06:37full de prestataires
01:06:38via des liens sponsorisés
01:06:39proposant services
01:06:40audits et propositions
01:06:42moyennant bien évidemment
01:06:43de substantielles rémunérations
01:06:45l'effet d'aubaine est réel
01:06:46bien là
01:06:47et malheureusement
01:06:48les prestations
01:06:48dont les coûts se chiffrent
01:06:49en abonnement annuel
01:06:50à 5 chiffres
01:06:51ne correspondent bien souvent
01:06:52ni aux besoins
01:06:53ni aux attentes
01:06:53dans de nombreuses situations
01:06:54ma première question
01:06:56porte donc sur l'information
01:06:57et la sensibilisation
01:06:58monsieur le directeur
01:06:58vous l'avez évoqué
01:06:59qu'aujourd'hui
01:07:00un risque existe
01:07:01celui de prestations non adaptées
01:07:03de contrats signés
01:07:03dans une certaine urgence
01:07:04mais de méconnaissance
01:07:06et donc d'une défiance
01:07:07vis-à-vis de cette régulation
01:07:08nécessaire
01:07:08la question d'une labellisation
01:07:10des structures
01:07:11comme dans le domaine militaire
01:07:12d'un référentiel d'exigence
01:07:13en termes de qualifications
01:07:15se pose évidemment
01:07:16ma deuxième question
01:07:17ensuite portera
01:07:18sur la nécessité
01:07:19de consolider
01:07:20et renforcer
01:07:21les écosystèmes locaux
01:07:22les cybercampus
01:07:23ces centres de réponse
01:07:24aux incidents cyber
01:07:25implantés
01:07:26dans de nombreux territoires
01:07:28j'ai l'honneur
01:07:29d'avoir le siège
01:07:29du cybercampus
01:07:30Nouvelle-Aquitaine
01:07:31sur ma circonscription
01:07:32et vous savez
01:07:33probablement
01:07:33le travail remarquable
01:07:34qui est réalisé
01:07:35en leur sein
01:07:36ne pensez-vous pas nécessaire
01:07:38de renforcer leurs moyens
01:07:39d'action et opérationnels
01:07:40il faut des pompiers
01:07:42venant au secours
01:07:43mais aussi de la médecine préventive
01:07:44les entreprises
01:07:45et collectivités concernées
01:07:46ont besoin
01:07:47dans le cadre
01:07:47de cette nouvelle donne
01:07:48que constitue Nice 2
01:07:49de savoir comment prioriser
01:07:50entre l'accompagnement
01:07:52des utilisateurs
01:07:53ou la sensibilisation
01:07:53des directions
01:07:54et des élus
01:07:55dans une collectivité
01:07:56la sécurité des terminaux
01:07:57ou encore la refonte
01:07:58des systèmes réseaux
01:07:59dans une entreprise
01:07:59deux questions
01:08:00de monsieur le directeur
01:08:01qui visent à éclairer
01:08:02le dernier kilomètre
01:08:03de nos politiques publiques
01:08:04au plus près des besoins
01:08:05là où la menace
01:08:05est malheureusement
01:08:06grandissante
01:08:07je vous remercie
01:08:08merci pour le groupe
01:08:10les démocrates
01:08:11madame Tillet
01:08:12merci monsieur le président
01:08:14monsieur le directeur
01:08:15merci pour vos propos
01:08:17la question a déjà été
01:08:19tout à l'heure
01:08:19plus ou moins posée
01:08:20par un client
01:08:21par un client
01:08:22oh là là
01:08:23je suis fatiguée
01:08:23par un collègue
01:08:24si vous disposez
01:08:28aujourd'hui
01:08:28des ressources humaines
01:08:29techniques nécessaires
01:08:30pour exercer
01:08:31vos missions de contrôle
01:08:32il me semblerait
01:08:33me souvenir
01:08:34que l'ANSI
01:08:34c'est à peu près
01:08:35800 collaborateurs
01:08:37qui devraient
01:08:38augmenter
01:08:39mais bon
01:08:40que ce soit pour vous
01:08:41mais aussi
01:08:42pour toutes ces entités
01:08:43dont on parle
01:08:44il faudrait
01:08:45beaucoup plus de monde
01:08:46or on a quand même
01:08:47un problème
01:08:47de récrutement
01:08:49on a déjà
01:08:50un problème
01:08:51de concurrence
01:08:52entre civils
01:08:52et militaires
01:08:53en ce qui concerne
01:08:54des cyber spécialistes
01:08:57comment va-t-on
01:08:59faire face
01:08:59à ce
01:09:01entre guillemets
01:09:01manque de ressources
01:09:03humaines
01:09:03ensuite
01:09:04la directive
01:09:06européenne
01:09:08sur la REC
01:09:09prévoit
01:09:09à son article 11
01:09:10l'obligation
01:09:11pour les états membres
01:09:12d'organiser
01:09:12une coopération
01:09:13transfrontalière
01:09:15notamment via
01:09:16des consultations
01:09:16or contrairement
01:09:18à la directive
01:09:20le projet de loi
01:09:20ne contient
01:09:21aucune disposition
01:09:22explicite
01:09:23transposant
01:09:24cette obligation
01:09:25est-ce qu'une telle
01:09:27lacune
01:09:27risque-t-elle pas
01:09:28de limiter
01:09:28l'efficacité
01:09:29collectif
01:09:30de la réponse
01:09:30européenne
01:09:31en matière
01:09:31de protection
01:09:32des infrastructures
01:09:34et pareil
01:09:36un peu
01:09:36pour le label
01:09:38la mise en place
01:09:38de labels
01:09:39attestant
01:09:40de la conformité
01:09:41des entités
01:09:42aux exigences
01:09:43de la directive
01:09:44NIST 2
01:09:45est-ce qu'il n'y a pas
01:09:46à craindre
01:09:46que le développement
01:09:47des labels nationaux
01:09:48sans harmonisation
01:09:50européenne
01:09:51entraîne une fragmentation
01:09:52du marché
01:09:53et des surcoûts
01:09:54pour les acteurs
01:09:55dans plusieurs états membres
01:09:56merci
01:09:57merci beaucoup
01:10:00n'ayant plus d'orateurs
01:10:01de groupe
01:10:01je vous laisse
01:10:01la parole
01:10:02pour répondre
01:10:02aussi en essayant
01:10:05de les traiter
01:10:06pas forcément
01:10:09dans l'ordre
01:10:09mais sans en oublier
01:10:10je rebondirai
01:10:11sur la question
01:10:12de la coopération
01:10:13transfrontalière
01:10:13parce que je me rends compte
01:10:14et j'en suis désolé
01:10:15que je n'ai pas répondu
01:10:16à la question
01:10:16de Madame Mervieux
01:10:16sur la coopération
01:10:19je me limiterai
01:10:22au domaine cyber
01:10:23qui n'est pas forcément
01:10:24le seul champ d'application
01:10:25de la directive REC
01:10:27cette coopération
01:10:29elle existe aujourd'hui
01:10:30elle est extrêmement
01:10:31efficace
01:10:32extrêmement active
01:10:33au niveau technique
01:10:34par le CICIRT Network
01:10:35dans lequel la France
01:10:36est représentée
01:10:37par l'ANSI
01:10:38au niveau stratégique
01:10:41par le réseau Cyclone
01:10:42réseau des directeurs
01:10:44d'agences nationales
01:10:45de cybersécurité
01:10:46auxquelles je participe
01:10:46régulièrement
01:10:47sur lesquelles
01:10:48nous nous coordonnons
01:10:48nous avons été
01:10:49extrêmement efficaces
01:10:49par exemple
01:10:50sur l'organisation
01:10:50des jeux olympiques
01:10:51et paralympiques
01:10:51pour la coopération
01:10:53à ces niveaux
01:10:53techniques et stratégiques
01:10:55donc cette coopération
01:10:57elle existe
01:10:57il n'y a pas forcément
01:10:58besoin de dispositions
01:11:01législatives
01:11:01pour l'organiser
01:11:02au-delà de
01:11:03quelques petites choses
01:11:05qui figurent dans le projet
01:11:06de loi
01:11:06pour faciliter
01:11:07ou autoriser
01:11:08ou garantir juridiquement
01:11:09le transfert
01:11:10de certaines informations
01:11:11nous permettre
01:11:12en toute sécurité juridique
01:11:13d'échanger de l'information
01:11:14avec la commission européenne
01:11:16avec nos homologues européens
01:11:17dans le traitement
01:11:19de crise transfrontalière
01:11:20mais au-delà de ça
01:11:21cette coopération
01:11:22c'est déjà une réalité
01:11:23nous y croyons profondément
01:11:26parce qu'il y a une forme
01:11:27de solidarité
01:11:28qui s'organise
01:11:28à l'échelle européenne
01:11:29et tout le monde
01:11:31est convaincu
01:11:32que les incidents cyber
01:11:33ne s'arrêtent pas
01:11:34forcément aux frontières
01:11:34donc on en a besoin
01:11:35et c'est une réalité
01:11:36quotidienne
01:11:37donc je ne pense pas
01:11:37qu'il y ait besoin
01:11:38de plus dans la loi
01:11:39pour permettre
01:11:40cette coopération
01:11:41sur
01:11:42déjà je rejoins
01:11:46ce qui a été dit
01:11:46par un certain nombre
01:11:47d'entre vous
01:11:47sur l'effort monumental
01:11:48et le besoin
01:11:49de développer notre résilience
01:11:50et l'articulation
01:11:51de tout ça
01:11:51avec un objectif stratégique
01:11:53de la RNS
01:11:54et plus généralement
01:11:55un enjeu de souveraineté
01:11:57ne pas être une victime facile
01:12:00face à ces cyberattaques
01:12:02face à ces cyberattaques
01:12:03qui sont une pression quotidienne
01:12:04mais dont on sait très bien
01:12:05qu'elles peuvent être mobilisées
01:12:06de manière beaucoup plus coordonnée
01:12:08par certains états
01:12:09qui cumulent
01:12:11dans leur territoire
01:12:13ou parmi leurs périmètres
01:12:17des acteurs étatiques
01:12:18des acteurs cybercriminels
01:12:19des acteurs activistes
01:12:20qui cohabitent harmonieusement
01:12:23et ça doit être embêté
01:12:23par des autorités répressives
01:12:24qui par ailleurs
01:12:25sont plutôt efficaces
01:12:26vous voyez à qui je veux penser
01:12:28j'en ai parlé ce matin même
01:12:30dans cette salle
01:12:30donc je vous renvoie
01:12:31à cette autre audition
01:12:32mais
01:12:34la possibilité est bien réelle
01:12:37d'avoir un jour
01:12:37une mobilisation
01:12:38de tout un tissu
01:12:39d'acteurs cybercriminels
01:12:40activistes étatiques
01:12:41pour saboter
01:12:42des pans entiers
01:12:43de notre société
01:12:43et de notre économie
01:12:45donc face à ça
01:12:46le défi de relever
01:12:46le niveau de résilience
01:12:47c'est un défi
01:12:48de souveraineté essentielle
01:12:49et de protection
01:12:50de nos intérêts
01:12:50les plus fondamentaux
01:12:51pour ne pas être une victime facile
01:12:52pour ne pas voir
01:12:53des pans entiers
01:12:54tomber facilement
01:12:55pour voir aussi
01:12:56une forme de résilience
01:12:58même face à des attaques
01:12:58très ciblées
01:12:59c'est pas le coeur de cible
01:13:00de Nice 2
01:13:01que de répondre
01:13:02à des attaques
01:13:02d'APT 28
01:13:03pour ne citer que le groupe
01:13:04qui a fait l'objet
01:13:05d'une attribution formelle
01:13:06par la France
01:13:07la semaine dernière
01:13:08au renseignement militaire russe
01:13:10mais même
01:13:11des petits acteurs
01:13:13peuvent être des victimes indirectes
01:13:15ou des victimes
01:13:16qui sont ciblées
01:13:17non pas pour leur valeur propre
01:13:18mais parce qu'elles permettent
01:13:19d'accéder indirectement
01:13:20des plus grands groupes
01:13:20donc tirer globalement
01:13:21le niveau de résilience
01:13:22vers le haut
01:13:22avec un niveau d'exigence
01:13:24qui soit raisonnable
01:13:25par rapport à la maturité
01:13:26des acteurs
01:13:26c'est un enjeu
01:13:27de sécurité nationale
01:13:27de souveraineté
01:13:29etc
01:13:29il y a quelque chose
01:13:30d'essentiel pour nous préparer
01:13:32à un contexte géopolitique
01:13:33qui ça ne vous aura pas échappé
01:13:34ne va pas en se sadoucissant
01:13:36l'enjeu derrière
01:13:38c'est déjà une réponse
01:13:40en matière de souveraineté
01:13:41quelles mesures de soutien
01:13:42à la filière
01:13:43avons-nous en tête
01:13:44alors moi là encore
01:13:46je ne crois pas
01:13:47à des mesures contraignantes
01:13:48à imposer le recours
01:13:49à des prestataires
01:13:50français, européens
01:13:53c'est d'ailleurs pas
01:13:54la base légale
01:13:54que donne la directive
01:13:56donc ce serait une surtransposition
01:13:57je crois beaucoup
01:13:59à la mobilisation
01:13:59qui existe déjà
01:14:00de l'écosystème
01:14:01au travail que nous menons
01:14:03avec les acteurs
01:14:05qui bénéficient
01:14:06de labels de sécurité
01:14:07de l'ANSI
01:14:07de visas de sécurité
01:14:08de qualification
01:14:09nous avons travaillé
01:14:10sur nos référentiels
01:14:10de prestataires
01:14:11pour notamment prévoir
01:14:12des prestataires
01:14:12d'un niveau d'ambition moindre
01:14:13notre coeur historique
01:14:15d'activité
01:14:15c'est le niveau
01:14:16le plus élevé d'exigence
01:14:16c'est le besoin des OIV
01:14:17nous avons travaillé
01:14:18avec les prestataires d'audit
01:14:19avec tout ce tissu de proximité
01:14:21avec les prestataires de réponse
01:14:22à incident aussi
01:14:22pour prévoir des prestations
01:14:25répondant plutôt
01:14:26aux besoins d'une ETI
01:14:26ou d'une PME
01:14:27parce que c'est ça
01:14:28dont il y aura besoin
01:14:29pour l'application de NIS2
01:14:31travaillons aussi
01:14:32avec des réseaux
01:14:33de prestataires
01:14:33qui ne sont pas directement
01:14:35en lien avec l'ANSI
01:14:35mais dans un univers proche
01:14:37les experts cyber
01:14:38un label décerné
01:14:41par le GIP
01:14:42cybermalveillance.fr
01:14:44que j'ai par ailleurs
01:14:45le plaisir de présider
01:14:46sont aussi dans ce tissu
01:14:48d'accompagnement
01:14:49dans proximité
01:14:49qui répond aux besoins
01:14:50des plus petits
01:14:51donc on va travailler avec eux
01:14:53moi là encore
01:14:53la philosophie générale
01:14:54c'est de n'exclure personne
01:14:56de travailler en proximité
01:14:57avec les acteurs nationaux
01:14:58qui sont déjà mobilisés
01:14:59sur ce sujet
01:14:59en veillant
01:15:01ça a été souligné
01:15:01à ce qui n'est pas
01:15:02non plus d'effet d'aubaine
01:15:02et de vente de prestations
01:15:03un peu mensongères
01:15:05parce que oui
01:15:06ceux qui vendent aujourd'hui
01:15:07des prestations
01:15:07de mise en conformité
01:15:08à NIS2
01:15:08peuvent se demander
01:15:09enfin moi j'ai envie
01:15:10de leur demander
01:15:10s'ils savent des choses
01:15:11que je ne sais pas
01:15:12sur ce que ça veut dire
01:15:13de se mettre en conformité
01:15:14avec NIS2
01:15:14remarque en passant
01:15:19plus vite on aura
01:15:20mais je sais que ça
01:15:21n'appartient à personne
01:15:22ici
01:15:23plus vite on aura posé
01:15:24ce cadre
01:15:24mieux on se portera
01:15:26vis-à-vis de ce type
01:15:27de problématiques
01:15:28parce que ce qui importe
01:15:29c'est de poser rapidement
01:15:30un cadre clair
01:15:31qui soit applicable
01:15:31et déclinable par tous
01:15:32même si on le travaille déjà
01:15:33avec les acteurs
01:15:34de l'écosystème
01:15:35toujours dans ces questions
01:15:38de souveraineté
01:15:39l'immunité aux droits
01:15:40extraterritoriaux
01:15:40évidemment c'est quelque chose
01:15:41qui nous préoccupe
01:15:42qui se décline
01:15:43dans le référentiel
01:15:44CECNUM Cloud de l'ANSI
01:15:45qui se décline
01:15:46dans la stratégie
01:15:47cloud au centre
01:15:47de l'état
01:15:48dans la loi SREN
01:15:49plus récemment
01:15:50donc c'est quelque chose
01:15:52qu'on a à coeur
01:15:52mais dont je ne pense pas
01:15:54que ce soit le coeur
01:15:54de sujet
01:15:55pour les entités
01:15:56de petite taille
01:15:57qui sont concernées
01:15:57par la directive NIS2
01:15:58on est plus sur des préoccupations
01:15:59d'entreprises stratégiques
01:16:00ou de secteurs d'activité
01:16:01bien particuliers
01:16:02plutôt que sur un critère général
01:16:03donc c'est pas quelque chose
01:16:04que nous proposons
01:16:05ce que nous proposons
01:16:06en revanche
01:16:06en termes d'articulation
01:16:07mais qui ne se traduit pas
01:16:08nécessairement au niveau
01:16:09de la loi
01:16:09c'est de mettre en valeur
01:16:12les prestations
01:16:13disposant d'un visa
01:16:14de sécurité de l'ANSI
01:16:15donc d'avoir une forme
01:16:16de présomption de conformité
01:16:17alors le terme
01:16:17a un sens juridique
01:16:19bien précis
01:16:19que je vous demande
01:16:20de prendre avec des pincettes
01:16:21parce que je ne suis pas juriste
01:16:22mais de faire en sorte
01:16:23que le recours
01:16:24à une prestation
01:16:26à un acteur
01:16:27bénéficiant
01:16:28d'un visa de sécurité
01:16:28d'une recommandation
01:16:29de l'ANSI
01:16:30d'un label de confiance
01:16:31ne soit pas imposé
01:16:33mais soit apporte
01:16:34une plus-value
01:16:34aux assujettis
01:16:35dans la satisfaction
01:16:37des exigences
01:16:37de la directive NIS2
01:16:38je saute peut-être
01:16:41un peu
01:16:41du coq à l'âne
01:16:43sur les moyens
01:16:47et les capacités
01:16:48la volumétrie
01:16:49de tout ça
01:16:50aujourd'hui
01:16:51l'ANSI
01:16:51a traité en 2024
01:16:53ça a été rappelé
01:16:53qu'il y a plus de 4000
01:16:54incidents de cybersécurité
01:16:55qui d'ailleurs
01:16:58ne sont pas que
01:16:59des incidents affectant
01:17:00des opérateurs
01:17:00d'importance vitale
01:17:01donc dans la volumétrie
01:17:02d'incidents
01:17:02je pense qu'on a déjà
01:17:03aujourd'hui
01:17:03des entités
01:17:05soumises à NIS2
01:17:06qui nous soumettent
01:17:07de manière volontaire
01:17:09leurs incidents
01:17:10pour bénéficier
01:17:10d'aide
01:17:11évidemment
01:17:12nous aurons besoin
01:17:13de renforcer
01:17:13les moyens
01:17:15de l'ANSI
01:17:15sont exprimés
01:17:16dans le cadre
01:17:17d'un dialogue budgétaire
01:17:18et je pense que
01:17:18nous réexprimerons
01:17:19des besoins
01:17:19en ce sens
01:17:20mais ce n'est pas
01:17:21le lieu
01:17:21pour accompagner
01:17:23notre représentation
01:17:24dans les territoires
01:17:25parce que dans
01:17:25chaque région de France
01:17:26il y a aujourd'hui
01:17:27un délégué territorial
01:17:28de l'ANSI
01:17:28qui accompagne
01:17:29les acteurs
01:17:29de proximité
01:17:30et qui coordonne
01:17:31et qui essaie
01:17:32de passer
01:17:33ce cadre commun
01:17:34pour armer
01:17:35aussi la fonction
01:17:35de contrôle
01:17:36et puis plus généralement
01:17:38nous avons besoin
01:17:38de mobiliser
01:17:39tous les acteurs
01:17:39de proximité
01:17:40mais je pense
01:17:40qu'ils le sont déjà
01:17:41pour un certain
01:17:41nombre d'entre eux
01:17:42la gendarmerie
01:17:43est un relais
01:17:44essentiel
01:17:45dans les territoires
01:17:46qui utilise
01:17:47le même outillage
01:17:48que nous
01:17:48le même cadre
01:17:48mon aide cyber
01:17:49qui est largement
01:17:50déployée par la gendarmerie
01:17:51pour poser
01:17:51des premiers diagnostics
01:17:52donc on l'a fait
01:17:53avec eux
01:17:53et ça marche très bien
01:17:54les campus
01:17:56sont aussi des acteurs
01:17:57que je vois surtout
01:17:59positionnés
01:17:59au point de rencontre
01:18:01entre des offreurs
01:18:01et des bénéficiaires
01:18:02c'est la raison d'être
01:18:03d'un campus
01:18:03on va parler
01:18:04de lieu totem
01:18:05ou de lieu de rencontre
01:18:05mais ce lieu partagé
01:18:07où les gens
01:18:07peuvent se rencontrer
01:18:08c'est très bien pour ça
01:18:09vouloir les doter
01:18:10d'autres missions
01:18:12je serais assez prudent
01:18:14là dessus
01:18:14en tout cas
01:18:15je ne pense pas
01:18:17utile de rigidifier
01:18:18et de poser
01:18:19dans la loi
01:18:20des missions spécifiques
01:18:21pour des campus cyber
01:18:22ou pour d'autres acteurs
01:18:23parce que là encore
01:18:24on est aussi dans le respect
01:18:25d'une forme d'organisation
01:18:26à l'échelle locale
01:18:28les campus
01:18:29les campus régionaux
01:18:30ont tous une logique
01:18:31un peu différente
01:18:31qui s'inscrit dans un écosystème
01:18:32particulier
01:18:33à l'échelle locale
01:18:34n'allons pas
01:18:35imposer un modèle unique
01:18:37là où ce qui existe
01:18:39fonctionne déjà très bien
01:18:40je pense
01:18:40l'articulation avec le
01:18:45le
01:18:45le
01:18:46le
01:18:46non j'ai barré
01:18:47abusivement
01:18:48j'y reviendrai
01:18:49l'articulation avec le
01:18:50com cyber
01:18:51elle est une réalité
01:18:54quotidienne pour nous
01:18:55le travail
01:18:57avec le com cyber
01:18:58comme avec d'autres
01:18:58services de l'état
01:19:00s'organise dans la réponse
01:19:01aux menaces du haut du
01:19:02spectre notamment étatique
01:19:03au sein du C4
01:19:04le centre de coordination
01:19:05des crises cyber
01:19:06que je pense que vous
01:19:06connaissez bien
01:19:07monsieur Gassiou
01:19:08et qui nous permet
01:19:10de partager des éléments
01:19:11d'analyse
01:19:12nous permet de partager
01:19:13des éléments de compréhension
01:19:14de la menace
01:19:15mais aussi des éléments
01:19:16d'attribution
01:19:17d'une cyber attaque
01:19:18donc c'est ça qui marche
01:19:19c'est ce qui nous a permis
01:19:21la semaine dernière
01:19:22de faire pour la première fois
01:19:23une attribution formelle
01:19:23au niveau politique
01:19:25de cyber attaque
01:19:26marquante à un acteur russe
01:19:28particulièrement présent
01:19:28donc si on fait ça
01:19:30c'est qu'on a réussi
01:19:31à construire une confiance
01:19:31vraiment absolue
01:19:33sur le fait qu'on n'était
01:19:33pas en train de faire
01:19:34une erreur
01:19:34et d'accuser à tort
01:19:36donc c'est ce travail
01:19:38collectif qui le permet
01:19:39évidemment
01:19:40dès lors qu'une menace
01:19:41touche la sphère
01:19:42de la défense
01:19:42nous travaillons étroitement
01:19:43avec le com cyber
01:19:44qui est autonome
01:19:45sur la sécurité
01:19:46du ministère des armées
01:19:47qui n'est pas forcément
01:19:48chargé de la sécurité
01:19:49de la BITD
01:19:50nous travaillons aussi
01:19:51avec la DRSD
01:19:52sur ces sujets là
01:19:52qui porte le CISERT
01:19:54des entreprises de défense
01:19:55donc cette articulation
01:19:56elle se fait bien
01:19:57je ne pense pas
01:19:58qu'il y ait lieu
01:19:58de la spécifier
01:19:59au niveau de la loi
01:20:00parce que finalement
01:20:00ce qui fonctionne bien
01:20:01n'a pas besoin
01:20:02d'être ancré dans la loi
01:20:03plus que ça
01:20:04la déclinaison
01:20:06des bons réflexes
01:20:08de sécurité
01:20:09au niveau territorial
01:20:10est un enjeu fondamental
01:20:12qui sera porté
01:20:14par la loi
01:20:14mais pas que
01:20:15nous nous croyons beaucoup
01:20:17et c'est une conviction
01:20:19qu'on partage d'ailleurs
01:20:19avec nos homologues militaires
01:20:22aux vertus de l'entraînement
01:20:23et aux vertus de l'exercice
01:20:25et donc
01:20:25c'est quelque chose
01:20:26que nous avons déployé
01:20:27largement
01:20:27dans la préparation
01:20:28des Jeux Olympiques
01:20:29et Paralympiques
01:20:30par exemple
01:20:30dans la sécurisation
01:20:31des hôpitaux
01:20:32que nous faisons
01:20:33à grande échelle
01:20:33et que nous allons faire
01:20:34à encore plus grande échelle
01:20:35dans la perspective
01:20:36d'ailleurs
01:20:37du déploiement de Nice 2
01:20:38avec un exercice
01:20:39qui s'appelle Rempart
01:20:39qu'on a organisé
01:20:41une première fois
01:20:41en 2022
01:20:42qui est un exercice
01:20:43à échelle massive
01:20:44et que nous allons réorganiser
01:20:46les ouvertures
01:20:47enfin l'appel à candidature
01:20:48est lancée pour s'inscrire
01:20:49dans cet exercice
01:20:50qui se déroulera
01:20:51en octobre 2025
01:20:51qui va mobiliser
01:20:53des collectivités
01:20:54en premier lieu
01:20:54plutôt au niveau des décideurs
01:20:56parce que finalement
01:20:56entraîner les techniciens
01:20:57on sait le faire
01:20:58et malheureusement
01:20:59la réalité les entraîne
01:21:00au quotidien
01:21:01à balle réelle
01:21:01si j'ose dire
01:21:02mais entraîner les décideurs
01:21:03les mettre en situation
01:21:04de se projeter
01:21:05dans une crise cyber
01:21:06et d'anticiper un peu
01:21:07ce qu'il y aurait à faire
01:21:08le cas échéant
01:21:09plutôt que de tâtonner
01:21:10le moment venu
01:21:10ça a des vertus énormes
01:21:12aussi en termes
01:21:13de sensibilisation
01:21:14et de prévention
01:21:14je termine
01:21:18peu ou prou
01:21:19alors j'ai sans doute
01:21:20oublié
01:21:20d'en barrer au passage
01:21:23mais on me relancerait
01:21:24le cas échéant
01:21:25sur l'OSINT
01:21:25alors l'OSINT
01:21:28évidemment
01:21:29ça fait partie
01:21:29de la panoplie
01:21:30de la réponse
01:21:31ou de l'anticipation
01:21:32des attaques
01:21:33vous l'avez dit
01:21:34c'est très juste
01:21:34l'ANSI pratique l'OSINT
01:21:36comme à peu près
01:21:36tout acteur
01:21:37de cybersécurité
01:21:38l'OSINT étant
01:21:39l'open source intelligence
01:21:40c'est à dire
01:21:40la recherche en source ouverte
01:21:42pour comprendre
01:21:42ce que font les attaquants
01:21:43pour détecter un peu
01:21:44leurs actions
01:21:45donc j'ai rien
01:21:47contre l'OSINT
01:21:48au contraire
01:21:49je ne suis pas sûr
01:21:51qu'il y ait besoin
01:21:51d'une base légale
01:21:52pour faire une démonstration
01:21:55par la contraposée
01:21:56aujourd'hui
01:21:57l'ANSI pratique l'OSINT
01:21:58je ne pense pas
01:21:59que nous le fassions
01:21:59de manière illégale
01:22:00donc
01:22:01la conclusion
01:22:04que j'en déduis
01:22:05c'est qu'il n'y a pas
01:22:05forcément
01:22:06d'illégalité
01:22:07de l'OSINT
01:22:08aujourd'hui
01:22:08est-ce qu'il faut ajuster
01:22:09des choses
01:22:09je reste prudent là-dessus
01:22:11je suis ouvert
01:22:12à des propositions
01:22:13en ce sens
01:22:14mais nous n'avons pas
01:22:15identifié
01:22:15de besoin criant
01:22:16de donner une base légale
01:22:18ou une incarnation légale
01:22:19à l'OSINT
01:22:20en tant que tel
01:22:20donc rien n'empêche
01:22:22je pense que ça viendra
01:22:23naturellement
01:22:23avec le déploiement de Nice 2
01:22:25le recours à des prestations
01:22:25d'OSINT
01:22:26mais il n'y a pas besoin
01:22:27ni de l'imposer par la loi
01:22:28ni dans ma compréhension
01:22:30d'en poser un cadre
01:22:31au niveau légal
01:22:32j'espère avoir
01:22:35couvert
01:22:36les principales questions
01:22:37merci
01:22:41comme nous en étions convenus
01:22:43je vous propose
01:22:44de passer
01:22:44aux interventions
01:22:45individuelles
01:22:46à commencer
01:22:46par monsieur Salmon
01:22:47oui merci monsieur le président
01:22:51monsieur le directeur
01:22:52ma question va aborder
01:22:53un point que vous avez
01:22:54brièvement traité
01:22:55lors de votre propos
01:22:56liminaire
01:22:57depuis 2013
01:22:58la loi impose
01:22:59que les opérateurs
01:23:00d'importance vitale
01:23:01utilisent des solutions
01:23:02qualifiées par l'ANSI
01:23:03et opérées depuis la France
01:23:04c'est un gage
01:23:05de fiabilité
01:23:06et de souveraineté
01:23:07l'article 16
01:23:08du projet de loi
01:23:09résilience
01:23:09revient sur ce principe
01:23:10les OIV
01:23:11utiliseront des produits
01:23:13certifiés
01:23:13ou agréés
01:23:14ou qualifiés
01:23:15la seule qualification
01:23:17plus exigeante
01:23:17n'est plus obligatoire
01:23:19le label actuel
01:23:20serait supprimé
01:23:21remplacé par les exigences
01:23:22issues de cette loi
01:23:23pire encore
01:23:25l'article supprime
01:23:26toute obligation légale
01:23:27de localisation en France
01:23:28pour ces solutions
01:23:29il s'agit d'un grave recul
01:23:30cette mesure
01:23:31affaiblit la protection
01:23:32de nos données
01:23:33les plus sensibles
01:23:34elle pénalise
01:23:35nos entreprises françaises
01:23:36qui ont investi
01:23:36pour répondre à ces standards
01:23:38mes trois questions
01:23:39seront les suivantes
01:23:40pourquoi revenir
01:23:41sur un dispositif
01:23:42éprouvé depuis 10 ans
01:23:43les nouvelles règles
01:23:44seront-elles
01:23:45au moins aussi protectrices
01:23:47et comptez-vous
01:23:48intégrer un critère
01:23:49de souveraineté
01:23:50pour les prestataires
01:23:50amenés à protéger
01:23:51nos infrastructures
01:23:52vitales
01:23:53merci
01:23:55je vous laisse répondre
01:23:56parce que j'ai pas
01:23:57d'autres intervenants
01:23:57inscrit
01:23:58je ne suis pas sûr
01:24:02d'avoir la même lecture
01:24:02que vous de la loi
01:24:03le cadre cyber
01:24:08qui s'impose
01:24:09aux opérateurs
01:24:09d'importance vitale
01:24:10effectivement
01:24:10il est porté
01:24:11par le code de la défense
01:24:12et donc celui
01:24:12qui est rénové
01:24:14à travers la transposition
01:24:15de la directive
01:24:16REC
01:24:16pour nous
01:24:17l'ambition
01:24:18est de porter
01:24:18au niveau de la loi
01:24:19les mêmes exigences
01:24:21et donc finalement
01:24:22l'accroche au niveau
01:24:23de la loi
01:24:23dans le code de la défense
01:24:25dans les articles
01:24:25L1332-6
01:24:28tiré quelque chose
01:24:29de mémoire
01:24:30mais
01:24:31je m'excuse
01:24:33si je suis tombé
01:24:34à côté
01:24:35c'est dans ces âges-là
01:24:36sont relativement
01:24:38sibyllins
01:24:38mais ils sont déclinés
01:24:39ensuite
01:24:40comme naturellement
01:24:41au niveau réglementaire
01:24:43par des décrets
01:24:43décrets 2015-350-351
01:24:46je crois
01:24:46de mémoire
01:24:47et par des arrêtés
01:24:48sectoriels
01:24:49qui portent
01:24:49les exigences
01:24:50spécifiques
01:24:51donc typiquement
01:24:51la loi
01:24:53la loi de programmation
01:24:54militaire
01:24:55de 2013
01:24:55et l'article
01:24:56qu'elle a introduit
01:24:57dans le code de la défense
01:24:57nous permet d'imposer
01:24:59dans certains cas
01:25:00le recours
01:25:01à des solutions qualifiées
01:25:02aux opérateurs
01:25:03d'importance vitale
01:25:04l'esprit
01:25:05de ce qui vous est proposé
01:25:06est le même
01:25:06de nous permettre
01:25:07cette accroche
01:25:08au niveau de la loi
01:25:08qui ensuite est déclinée
01:25:09au niveau réglementaire
01:25:10effectivement
01:25:12au niveau réglementaire
01:25:13et au niveau des arrêtés même
01:25:14il y a aujourd'hui
01:25:16deux choses
01:25:17qui s'imposent
01:25:18plus spécifiquement
01:25:19trois choses
01:25:19qui s'imposent spécifiquement
01:25:20en tout cas
01:25:22trois qui me viennent à l'esprit
01:25:23aux opérateurs
01:25:23d'importance vitale
01:25:24le recours
01:25:25à des prestations
01:25:26d'audit
01:25:26par des prestataires
01:25:28d'audit qualifiés
01:25:29par l'ANSI
01:25:29ce qu'on appelle
01:25:29les PACI-LPM
01:25:30le recours
01:25:33à des prestataires
01:25:33de détection
01:25:34qualifiés par l'ANSI
01:25:35et le recours
01:25:36à des solutions
01:25:37des sondes réseau
01:25:38de détection
01:25:39qualifiées par l'ANSI
01:25:40également
01:25:41il n'est
01:25:43je pense que
01:25:44l'esprit
01:25:44évidemment
01:25:45du travail
01:25:46qui va être mené
01:25:47d'actualisation
01:25:49de tout ce cadre là
01:25:50en lien avec
01:25:51le titre 1
01:25:52est de maintenir
01:25:54un niveau d'exigence fort
01:25:54je pense que
01:25:56nous maintiendrons
01:25:56des exigences
01:25:57de recours
01:25:57à des prestations
01:25:58qualifiées
01:25:58en particulier
01:25:59sur les sondes
01:26:01de détection
01:26:02parce que je devine
01:26:02que c'est aussi
01:26:03un des sous-jacents
01:26:04de cette question
01:26:06nous travaillons actuellement
01:26:08à réexaminer
01:26:10cette question
01:26:10de la détection
01:26:11non pas pour l'affaiblir
01:26:12parce que ce serait
01:26:13un peu contre nature
01:26:14venant d'une autorité nationale
01:26:16de cybersécurité
01:26:16ce serait se créer
01:26:17des problèmes pour plus tard
01:26:18mais plutôt pour l'actualiser
01:26:19au gré de l'état de l'art
01:26:22le cadre qui a été posé
01:26:25en 2013
01:26:25ne se préoccupait
01:26:26que de détection réseau
01:26:27c'est à dire
01:26:28de mettre des sondes
01:26:29qui analysent
01:26:30les flux réseau
01:26:30entre le système
01:26:31d'information
01:26:32d'importance vitale
01:26:33et internet
01:26:33c'est toujours légitime
01:26:37de faire ça
01:26:37c'est toujours important
01:26:38l'ANSI le fait
01:26:38ça ne suffit plus
01:26:39donc aujourd'hui
01:26:40une approche de détection
01:26:42elle doit combiner
01:26:43plusieurs sources de détection
01:26:44de la détection réseau
01:26:45de la détection système
01:26:46de la détection
01:26:47de l'analyse de journaux
01:26:48et nous avons la chance
01:26:49d'avoir d'ailleurs en France
01:26:49des solutions dans tous ces domaines là
01:26:51la détection réseau
01:26:52il y a des sondes qualifiées
01:26:53par l'ANSI
01:26:54dans la détection système
01:26:55il y a ce qu'on appelle
01:26:56des EDR
01:26:57des outils de détection locaux
01:26:59par exemple ceux de la société
01:27:00Airfang Lab
01:27:01qui a été mentionné
01:27:02qui sont également
01:27:03certifiés par l'ANSI
01:27:04ou qualifiés par l'ANSI
01:27:04donc tout ça doit être remis
01:27:07au goût du jour
01:27:07fondamentalement
01:27:08pas démonté
01:27:10parce que ce serait là encore
01:27:11contre nature
01:27:11peut-être ajusté
01:27:13en termes de spécification
01:27:14des exigences
01:27:15mais sans revenir
01:27:16en termes de
01:27:17sur des grands principes
01:27:18qui sont que tout ça doit être
01:27:19et c'est ça le point fondamental
01:27:21un système d'information
01:27:22d'importance vitale
01:27:23d'un opérateur d'importance vitale
01:27:24ça doit être supervisé
01:27:25ça doit permettre
01:27:26de détecter des attaques
01:27:27stratégiques
01:27:28venant de services étatiques
01:27:30donc ça doit être
01:27:31une détection de grande qualité
01:27:32et une détection de confiance
01:27:33donc nous ne reviendrons pas
01:27:35sur ces principes là
01:27:35nous les articulerons
01:27:37au gré de l'évolution
01:27:39de l'état de l'art
01:27:39et avec une obligation
01:27:40de résultat
01:27:41peut-être plus que de moyens
01:27:42si je me projette un peu
01:27:43mais les consultations
01:27:44se poursuivent sur le sujet
01:27:45merci beaucoup
01:27:48merci de vous être rendu disponible
01:27:51pour cette audition
01:27:52monsieur le directeur général
01:27:53on va voir comment est-ce qu'on peut
01:27:56accéder à la demande
01:27:57du rapporteur général
01:27:58et de vous réentendre
01:27:59enfin
01:28:00sachant que
01:28:01vous ne serez par contre
01:28:02pas le dernier
01:28:03puisque nous étions convenus
01:28:05que nous auditionnerions
01:28:06nous auditionnerions
01:28:08en dernier
01:28:10madame la ministre chargée
01:28:11de l'intelligence artificielle
01:28:13et du numérique
01:28:13et que ça servirait de base
01:28:15à notre discussion générale
01:28:16donc vous saurez certainement
01:28:17vous savez l'avant dernier
01:28:19mais je comprends
01:28:21je comprends
01:28:21la volonté du rapporteur général
01:28:23que de reboucler
01:28:24voilà
01:28:25c'était aussi le souhait
01:28:26que nous avions
01:28:26de commencer
01:28:27ce cycle d'audition
01:28:28par votre audition
01:28:30malgré le fait
01:28:31que le SGDSN
01:28:32ne sera auditionné
01:28:33que dans une semaine
01:28:35dorénavant
01:28:35merci à tous
01:28:36formellement
01:28:41la séance est levée
01:28:42je vous remercie
01:28:42merci
01:29:12merci à tous
01:29:13merci à tous
01:29:14merci à tous
01:29:15je vous remercie
01:29:16merci à tous
01:29:17merci à tous