Un projet de loi décisif pour la cybersécurité en France
La transposition des directives européennes en cybersécurité en France franchit une étape décisive. Le Sénat vient d’adopter, le 4 mars 2025, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Ce projet de loi, essentiel pour la transposition des directives européennes en cybersécurité en France, intègre simultanément trois textes majeurs
- La directive REC (résilience des entités critiques),
- La directive NIS 2 (sécurité des réseaux et des systèmes d’information ➔ en savoir plus sur la directive)
- Et la directive DORA (résilience opérationnelle numérique du secteur financier)
Où en sommes-nous concrètement ?
Initialement prévue pour le 17 octobre 2024, la transposition de la directive NIS 2 a pris du retard en France en raison d’un contexte politique complexe. Après plusieurs rebondissements, dont la dissolution de l’Assemblée nationale et un retard législatif notable, un projet de loi a finalement été présenté au Sénat le 16 octobre 2024.
Ce qu’il faut retenir sur ces trois directives
Directive REC : vers une approche de résilience
La directive REC marque un changement majeur dans la protection des infrastructures critiques. Désormais, la stratégie évolue d’une approche purement défensive vers une logique proactive de résilience. En effet, 11 secteurs (contre seulement 2 auparavant) sont désormais concernés, notamment l’énergie, les transports, les réseaux de chaleur et de froid, l’assainissement et l’hydrogène.
Les opérateurs devront réaliser un « plan de résilience opérateur » et notifier les incidents majeurs aux autorités compétentes. À défaut, ils s’exposent à des sanctions financières allant jusqu’à 10 millions d’euros ou 2 % de leur chiffre d’affaires.
Directive NIS 2 : le changement de paradigme
La directive NIS 2 élargit considérablement le nombre d’entités concernées en France, passant de 600 à près de 15 000. Ce nouveau périmètre intègre désormais de nombreux acteurs tels que les collectivités territoriales et un large éventail d’entreprises privées.
Par ailleurs, les principales cybermenaces visées par NIS 2 sont les suivantes :
- Attaques par rançongiciel,
- Hameçonnage (phishing),
- Exploitation des vulnérabilités web,
- Attaques par déni de service (DDoS),
- Attaques sur la chaîne d’approvisionnement,
- Attaques ciblant les vulnérabilités humaines (ingénierie sociale).
Directive DORA : une protection renforcée pour le secteur financier
Le secteur financier demeure une cible privilégiée pour les cyberattaquants. Cela s’explique par ses enjeux critiques et ses nombreuses interconnexions systémiques. L’année 2024 a vu plusieurs cyberattaques majeures, notamment celle ayant touché la filiale américaine de la banque chinoise ICBC, avec un rançongiciel ayant coûté plusieurs milliards de dollars.
Ainsi, la directive DORA impose des standards de cybersécurité élevés aux 22 000 entités financières européennes concernées, incluant banques, assurances et sociétés d’investissement.
La France face aux exigences de transposition : avancées et incertitudes
Le Sénat, dans son rapport récent, a soulevé plusieurs points nécessitant des clarifications :
- L’absence actuelle de transposition claire pour certaines dispositions,
- La nécessité de préciser les critères de classification des entreprises (entités essentielles ou importantes),
- Le besoin d’améliorer la communication et la pédagogie sur les nouvelles règles, notamment pour les collectivités territoriales et les TPE/PME.
À ce stade, plusieurs amendements ont été adoptés. Ils visent notamment à mieux définir les notions d’incident et de résilience, et à faciliter l’intégration des obligations réglementaires par les entités concernées.
Points essentiels des amendements adoptés :
- Instauration d’une stratégie nationale de cybersécurité par le gouvernement,
- Clarification des obligations et critères d’assujettissement (REC, NIS 2, DORA),
- Création d’un guichet unique pour la notification des incidents,
- Modération temporaire des sanctions et des contrôles afin de permettre une transition plus fluide.
Le rapport insiste également sur la nécessité d’un effort important de sensibilisation et d’accompagnement, notamment auprès des collectivités territoriales, particulièrement ciblées par les cyberattaques en 2024.
Le rôle essentiel des collectivités territoriales
Les collectivités sont particulièrement vulnérables. En 2024, elles représentaient à elles seules une part significative des cyberincidents (218 incidents recensés par l’ANSSI), démontrant une urgence d’action. Le Sénat appelle donc à un soutien spécifique pour ces structures, autant en termes de financement que de formation à la cybersécurité.
En résumé : 2024, une année pivot pour la cybersécurité
L’année 2024 a été marquée par une augmentation notable des cyberattaques. Ce contexte justifie pleinement la mise en œuvre rapide des directives REC, NIS 2 et DORA. Aujourd’hui, pour les entreprises comme pour les collectivités, une approche proactive est indispensable : il ne suffit plus de réagir aux incidents, il faut s’y préparer activement.
L’accompagnement de LPB Conseil
Chez LPB Conseil, nous suivons avec attention ces évolutions réglementaires. Nous restons à votre disposition pour vous accompagner dans votre démarche de mise en conformité. Anticiper, c’est déjà sécuriser !
N’hésitez pas à nous contacter pour en savoir davantage ou échanger sur ces sujets clés pour la sécurité numérique de votre organisation.
