- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Compléter l’alinéa 32 par la phrase :
« Cette analyse évalue spécifiquement les risques liés à la dépendance envers des fournisseurs de solutions logicielles et matérielles propriétaires, notamment en termes de continuité de service, de coût à long terme et de capacité d’audit indépendant. »
Cet amendement vise à préciser le périmètre de l'analyse des risques de dépendance que doivent conduire les opérateurs d'importance vitale (OIV), afin de prendre en compte la nature de plus en plus numérique de nos infrastructures critiques. L'article L. 1332-4, dans sa rédaction issue du projet de loi, impose une analyse des dépendances à l'égard des tiers et des vulnérabilités des chaînes d'approvisionnement.
Le présent amendement vient utilement clarifier que cette analyse doit explicitement inclure l'un des risques stratégiques majeurs du XXIe siècle : la dépendance technologique vis-à-vis de fournisseurs de solutions logicielles et matérielles propriétaires. Cette démarche s'inscrit dans la continuité des travaux du Parlement. Le rapport d'information de l'Assemblée nationale « Bâtir et promouvoir une souveraineté numérique nationale et européenne » (n°4299, 2021) souligne que la maîtrise technologique et la réversibilité sont des principes fondamentaux de la souveraineté de l'État. De même, cet amendement étend aux OIV l'esprit de l'article 16 de la loi pour une République numérique, qui impose déjà aux administrations de veiller à la « maîtrise, la pérennité et l'indépendance de leurs systèmes d'information ». En effet, l'enfermement propriétaire constitue une vulnérabilité critique pour la Nation.
Cet amendement demande donc que l'analyse des risques évalue spécifiquement trois aspects clés lors du choix d'une solution propriétaire :
1. La continuité de service : Quelle est la pérennité de la solution si le fournisseur disparaît ou cesse de la maintenir ? Existe-t-il une stratégie de réversibilité ?
2. Le coût à long terme : Au-delà du coût d'acquisition, quel est le coût total de possession, incluant les montées en version et les frais de maintenance imposés par des fournisseurs en situation de monopole ?
3. La capacité d'audit indépendant : Est-il possible pour l'OIV ou pour un tiers de confiance mandaté par l'État de vérifier en profondeur le fonctionnement de la solution pour y déceler d'éventuelles failles de sécurité ou des fonctionnalités non documentées ?
Imposer cette analyse de risque, c'est s'assurer que les OIV prennent des décisions éclairées, qui garantissent non seulement leur propre résilience, mais aussi la sécurité et l'autonomie stratégique de la France.