- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Compléter cet article par l’alinéa suivant :
« Les exigences spécifiques mentionnées à l’alinéa 2 peuvent prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d’information, par l’Autorité nationale de sécurité des systèmes d’information ou par d’autres services de l’État désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre. »
Cet amendement vise à garantir le maintien des exigences en matière de sécurité et de confiance des systèmes et prestataires des détections des incidents de sécurité des Opérateurs d’Importance Vitale au niveau équivalent à celui en vigueur. En effet, depuis la loi de programmation militaire de 2013, les OIV doivent avoir recours à des systèmes et prestataires de service de détection des incidents de sécurité et les prestataires qualifiés par l’ANSSI. Ces systèmes doivent par ailleurs être exploités sur le sol national. Actuellement, l’ANSSI délivre aux produits et prestataires qualifiés un Visa de sécurité, accessible après une procédure de qualification particulièrement exigeante.
Or à l’article 16 du projet de loi, ces dispositions sont remplacées par des exigences spécifiques qui ne concernent plus uniquement les systèmes de détection mais plus généralement tout dispositif matériel ou logiciel ou prestataire de service dont le recours peut être prescrit aux OIV. Surtout, les critères retenus ne sont pas aussi exigeants que le dispositif en vigueur : il peut s’agir de dispositifs et prestataires certifiés ou agréés (et non plus uniquement qualifiés) et ces derniers ne doivent plus obligatoirement être exploités sur le sol national.
Pour des raisons de sécurité nationale, nous proposons donc de maintenir les exigences pour les systèmes et prestataires de détection des incidents de sécurité des OIV en reprenant la rédaction actuellement en vigueur à l’article L1332‑6‑1 (article qui sera supprimé par les aliénas 55 et suivants de l’article premier du présent projet de loi).
Amendement travaillé avec des entreprises de cybersécurité membres de fédérations ad hoc.