- Texte visé : Texte de la commission sur le projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, d’orientation et de programmation du ministère de l’intérieur (n°343)., n° 436-A0
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
Après l’alinéa 30, insérer l’alinéa suivant :
« La commande publique dans le domaine du cyber devra être dirigée exclusivement vers des entreprises dont la société mère est établie en France ou dans un État membre de l’Union européenne, afin de favoriser l’écosystème français et européen et éviter tout risque d’espionnage, de vol de données ou de piratage provenant d’un État extra-européen. Il s’agit aussi d’éviter de contracter avec des entreprises soumises à des législations hors Union européenne. »
Dans le cadre du développement de la menace cyber plusieurs constats peuvent être faits.
On observe d’abord, une progressive convergence dans les techniques et outils employés par les groupes cybercriminels et les attaquants travaillant au profit d’intérêts interétatiques. Les acteurs sont plus furtifs, plus compétents et disposent d'outils plus sophistiqués.
En outre, les tentatives de pré-positionnement intervenant au sein d’infrastructures nationales appartenant à des domaines critiques (transport, énergie, approvisionnement) vont croissant. Celles-ci pourraient offrir, à terme, des marges de manœuvre à d’éventuels assaillants souhaitant entreprendre des activités de sabotage.
Par ailleurs, les tentatives de compromission de cible(s) de haute valeur augmentent également. L’utilisation d’outils sophistiqués complique la détection de ce type de compromission et l’attribution des attaques à leurs commanditaires. Les pratiques décrites ci-dessus concernent également les attaquants répondant à des intérêts étatiques, dans un but d’espionnage.
A la vue de ces inquiétantes évolutions, il est nécessaire d'avoir recours à des entreprises françaises et européennes pour assurer la cybersécurité intérieure, afin de limiter au maximum les risques d'ingérence ennemie. Cela permettra aussi de stimuler l'écosystème tech français et européen et de faire émerger des géants du numérique, des acteurs avec lesquels l'Etat pourra passer des contrats en toute confiance.
Il s'agit aussi d'éviter de contracter avec des entreprises soumises à des législations extra territoriales telles que le cloud act aux Etats-Unis par exemple. Le cloud act permet aux autorités américaines d’accéder aux données stockées par des entreprises américaines ou étrangères présentes sur le sol américaines. Cette intrusion met en péril les données des Français au bout de la chaine. Une vigilance accrue sur ce point est donc particulièrement nécessaire.