Introduction

Le 12 mars 2025, le Snat a adopté un projet de loi marquant un tournant radical dans la cyberscurit nationale. Le texte basé sur des directives de l'Union Europeenne introduit des mesures robustes pour mettre en place une infrastructure de cyberscurit plus rsiliente face la menace croissante des cyberattaques.

Transposition des directives européennes

Le projet de loi transpose trois directives cls adoptes en dcembre 2022 : la directive REC concernant la rsilience des entits critiques, la directive NIS2 qui concerne la scurit des rseaux et systmes d'information, et la directive DORA relative la rsilience du secteur financier. l'heure actuelle, seulement 500 infrastructures critiques en France taient soumises des rgulations de cyberscurit. Dsormais, ce sont environ 15 000 organisations qui devront se conformer ces nouvelles rglementations, classes en « entits essentielles » et « entits importantes ».

Les enjeux des cybermenaces

La situation devient alarmante car les cybermenaces s’intensifient. Les ransomwares, des logiciels malveillants qui compromettent des donnes essentielles, ont augment de 30 % entre 2022 et 2023, avec 34% des attaques ciblant des TPE/PME. Les collectivites territoriales, les entreprises stratgiques et les tablissements de sant subissent galement des prjudices significatifs.

Conséquences économiques

Les consquences conomiques sont proccupantes : en 2022, les cyberattaques ont cot prs de 2 milliards d'euros l'conomie franaise. Une cyberattaque peut reprsenter entre 5 % 10 % du chiffre d'affaires d'une entreprise, avec un cot moyen de 466 000 euros pour les TPE/PME et jusqu' 135 millions d'euros pour les grandes entreprises.

Classification des entités

Le projet de loi tablit un systme de classification des 15 000 entits susceptibles d'tre impactes : les « entits essentielles » sont celles ayant plus de 250 employs ou un chiffre d'affaires suprieur 50 millions d'euros, tandis que les « entits importantes » sont des organisations de taille moyenne, avec des critres spcifiques.

Plan de résilience et sanctions

De plus, chaque entit doit dvelopper un plan de rsilience dtaillant ses mesures de cyberscurit et notifier l'ANSSI (Agence Nationale de la Scurit des Systmes d'Information) tout incident cyber. Pour s’assurer de l’application des nouvelles rgles, des sanctions administratives pourront aller jusqu' 10 millions d'euros en cas de non-conformit.

Renforcement du secteur financier

Une attention particulire est accorde au secteur financier, jug particulirement vulnrable. Selon un rapport publi par la Banque de France, le risque cyber dans ce secteur dpasse mme celui des risques climatiques ou des marchs. Des mesures spcifiques seront mises en place pour renforcer la protection contre des menaces comme les attaques DDoS, le phishing ou les compromissions algorithmiques.

Conclusion

Le projet doit passer l'Assemble nationale pour recevoir son approbation finale, avant la publication de nombreux dcrets en Conseil d'État qui dtaille la mise en œuvre de cette rforme cruciale. La cyberscurit en France est sur le point de connatre un changement sans prcdent, alors que les dfis technologiques et gopolitiques se multiplient dans cette ère numrique.