- Texte visé : Projet de loi n°530, adopté par le Sénat portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission des lois constitutionnelles, de la législation et de l'administration générale de la République
À l’alinéa 1, après la la première occurrence du mot :
« services »,
insérer les mots :
« notamment sociaux, éducatifs, économiques, environnementaux, sanitaires, médico-sociaux et culturels ».
Cet article qui prétend lutter contre les cyberattaques n’est pas assez protecteur. Beaucoup de services essentiels et fondamentaux risquent de ne pas être dûment protégés, comme les hôpitaux, alors même que ceux-ci avaient été les dernières grandes victimes de la dernière grande cyberattaque de mai 2017 (https://www.lesechos.fr/13/05/2017/lesechos.fr/0212077825043_cyberattaques---les-hopitaux-britanniques--principales-cibles-atteintes.htm).
Ainsi, imagine-t-on les perturbations majeures, les conséquences gravissimes sur la santé, l’ordre public si les services essentiels de base ne sont pas protégés contre le risque cyber ?
Concrètement quelles peuvent être les conséquences en cas de paralysie informatique (comme cela était le cas en 2017), par exemple :
- à l’hôpital, on peut imaginer des patients laissés sans soins exposés à un risque mortel ;
- dans des zones avec de nombreuses entreprises à risque de sécurité et environnementaux (AZF à Toulouse, la Fos sur Mer, etc…), une éventuelle menace sur la vie des populations locales et leur santé.
Et tout aussi important : imaginons une paralysie du pays si tous les lycées, privés comme publics font l’objet d’une cyberattaque lors de grands examens nationaux comme le baccalauréat, les conséquences économiques et pour le tourisme si les musées nationaux sont paralysés.
Il est donc nécessaire d’aller au-delà de la seule formule particulièrement vague et englobante de cet article : « (…) des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée (…) » en précisant que celle-ci doit explicitement inclure certains domaines qui sont fondamentaux pour le bien-être collectif : sociaux, éducatifs, économiques, environnementaux, sanitaires, médico-sociaux et culturels. Par la suite, le périmètre précis de ceux-ci devra être précisé par le Premier ministre, comme le prévoit cet article.
Cet amendement va en plus dans le sens de la directive que ce projet de loi vise à transposer. En effet, son article 5 de la directive dispose que : « 2. Les critères d'identification des opérateurs de services essentiels visés à l'article 4, point 4), sont les suivants: a) une entité fournit un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques; b) la fourniture de ce service est tributaire des réseaux et des systèmes d'information; et c) un incident aurait un effet disruptif important sur la fourniture dudit service. ».
Cette précision qui explicite notamment les services publics visés est donc nécessaire. Dans le respect de la répartition des compétences entre pouvoirs législatif et exécutif, ce sera au pouvoir réglementaire (le Premier ministre) de préciser ce qui est spécifiquement entendu comme essentiel dans les domaines ainsi rappelés comme fondamentaux.