Publié le 18 novembre 2021 par : M. Acquaviva, M. Molac, Mme Pinel.
Après l’article L. 4221‑6 du code général des collectivités territoriales, il est créé un article L. 4221‑7 ainsi rédigé :
« Art. L. 4221‑7. – L’État peut déléguer à la région, dans les conditions prévues à l’article L. 1111‑8‑1 du code général des collectivités territoriales, la mission d’assurer, en faveur notamment des entreprises, des collectivités territoriales infra régionales et de leurs groupements, un service de cybersécurité et d’assistance dans le cadre des attaques informatiques dont les personnes morales précitées peuvent être l’objet.
« La convention de délégation signée entre le président du conseil régional et le représentant de l’État dans la région précise les objectifs et les conditions d’exercice et de suivi de la délégation, notamment les moyens affectés par l’État à la région délégataire. »
La cybercriminalité constitue aujourd’hui un enjeu de sécurité nationale et économique. La cybersécurité et l’assistance aux victimes constituent ainsi une mission régalienne en même temps qu’un nouveau service au public.
Dans le cadre de la mobilisation des pouvoirs publics face à l’explosion de la cybermenace (+225 % d’attaque informatiques en 2020), l’État, par
l’intermédiaire de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a proposé, via un appel à manifestation d’intérêt (AMI « CSIRT - Computer security incident response team) aux régions de se positionner en qualité chef de file pour déployer, dans chaque région, un centre d’urgence cyber et d’assistance aux acteurs de taille intermédiaire victimes d’attaques informatiques. Les régions ont répondu favorablement à cette proposition qui complète efficacement les mesures d’accompagnement qu’elles mettent d’ores et déjà en œuvre en faveur des entreprises de leur territoire.
Le niveau régional est par ailleurs un échelon pertinent pour favoriser une action d’appui en matière de cybersécurité.
Au-delà, les enjeux économiques et de sécurité sont importants pour la France et ses territoires. Toutes les futures crises (économique, sanitaire…) auront une dimension cyber, selon les experts. Les CSIRT que les régions sont susceptibles de déployer, dans le cadre d’un dialogue avec l’État, pour répondre à ces défis nouveaux, ont vocation à constituer une mission de service public (service de veille et d’alerte, de référencement des prestataires, de publication de bulletins de sécurité, mais aussi d’audit et d’évaluation, de recueil des incidents et d’orientation).
Les moyens financiers et humains à mobiliser sont importants. L’ANSSI propose aujourd’hui aux régions souhaitant déployer un CSIRT une subvention d’1M€ sur 3 ans. Or le coût annuel moyen estimé par les acteurs est de l’ordre de 500K€ par an pour 5 à 7 ETP.
Et ce d’autant que les CSIRT ont également vocation à assister des cibles multiples (entreprises, collectivités > 5000 hab), avec une demande potentiellement exponentielle. Aussi, afin de formaliser les relations entre l’État et les régions dans ce domaine stratégique, le présent amendement prévoit que l’État peut déléguer à la région la mission d’assurer, en faveur notamment des entreprises, des collectivités territoriales infra régionales et de leurs groupements, un service de cybersécurité et d’assistance dans le cadre des attaques informatiques dont les personnes morales précitées peuvent être l’objet. Les conditions d’exercice de cette délégation de compétence sont renvoyées à la conclusion d’une convention entre le représentant de l’État dans la région et le président du conseil régional.
Aucun commentaire n'a encore été formulé sur cet amendement.