- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Compléter la deuxième phrase de l’alinéa 32 par les mots :
« et de sous-traitance ».
L’obligation initialement prévue par le projet de loi, imposant aux opérateurs d’importance vitale d’analyser les dépendances et vulnérabilités de leurs chaînes de sous-traitance, constituait un progrès majeur en matière de sécurité nationale et de résilience des infrastructures critiques. Pourtant, cette disposition a été supprimée lors de l’examen au Sénat, affaiblissant le niveau d’exigence prévu par le texte. Or, il est aujourd’hui largement reconnu — et confirmé par les retours des services de renseignement et de cybersécurité — que les chaînes de sous-traitance constituent l’un des principaux vecteurs de risque, notamment dans les domaines cyber, logistique et technologique. Les cyberattaques récentes démontrent que les attaquants ciblent de plus en plus les fournisseurs de second ou troisième rang, souvent moins protégés, pour compromettre l’ensemble de l’écosystème.
Dans le domaine du numérique, l’exemple de l’attaque SolarWinds, qui a permis à un acteur russe d’infiltrer des milliers d’organisations via un fournisseur logiciel, ou encore celui du ransomware NotPetya propagé par la compromission d’un prestataire comptable ukrainien, illustrent le risque systémique que peuvent représenter des dépendances mal maîtrisées. L’ANSSI, dans son panorama 2024, évoque l’exemple de la compromission d’un sous-traitant informatique étranger intervenant au profit de plusieurs grandes entreprises françaises, permettant à des attaquants de pénétrer les SI de ces dernières, au moyen d’accès légitimes. La suppression de cette obligation va donc à rebours d’une approche rigoureuse de la résilience des activités d’importance vitale. Il s’agit ici de mettre en place une exigence de cartographie et d’évaluation des risques liés aux maillons essentiels de la chaîne de valeur.
En rétablissant cette obligation, le présent amendement contribue directement aux objectifs de la loi : renforcer la résilience nationale face aux menaces complexes et multiformes qui pèsent sur nos infrastructures critiques.