Interventions sur "opérateur"

Dans la logique de mes amendements précédents, j'estime que les Français doivent être certains que leur sécurité est vraiment assurée, et que le Premier ministre contrôle vraiment avec attention les opérateurs. Je demande donc que les parlementaires produisent, tous les deux ans, un rapport sur les failles de sécurité ; ils diraient ainsi aux Français s'ils sont, ou non, protégés. La sécurité des réseaux et systèmes d'information ne doit pas être considérée avec légèreté ; ce serait risquer les pires catastrophes. La sécurité doit être assurée, et je serai très vigilante sur ce point.

Avis défavorable. La loi fixe le cadre mais c'est au pouvoir réglementaire qu'il reviendra d'adopter cette liste d'opérateurs.

L'étude d'impact n'évalue pas précisément le coût supporté par les opérateurs désignés par le Premier ministre, quel que soit leur statut. Nos inquiétudes portent essentiellement sur les investissements qui seraient demandés à des organismes à but non lucratif, notamment des organisations non gouvernementales, s'ils sont qualifiés d'opérateurs de services essentiels. Les Restos du coeur, par exemple, ne pourraient-ils pas être considérés comme un opérateur de services e...

L'étude d'impact indique que le coût la mise en oeuvre des règles de sécurité imposées à ces opérateurs de services essentiels « sera précisé dans la fiche d'impact qui accompagnera le texte réglementaire fixant ces règles ». Ce coût a déjà été évalué pour les organismes d'importance vitale : il s'échelonne entre 1 et 2 millions d'euros par opérateur et par an. Mais il sera nécessairement moins élevé pour les opérateurs de services essentiels, à qui de moindres contraintes seront imposées. La com...

L'amendement vise à renforcer les pouvoirs du Parlement. Vous y serez donc sans doute favorables. Les opérateurs de services essentiels, publics et privés, fournissent des services essentiels au fonctionnement de la société et de l'économie. Ils interviennent dans des secteurs variés mettant en cause la souveraineté : l'énergie, les transports, les banques, les infrastructures de marchés financiers, la santé, l'eau potable, etc. Le projet de loi prévoit d'obliger les OSE à déclarer à l'ANSSI tout incident...

...aires évoqués au premier alinéa de l'article 3. Je continue de penser que ces deux points poseront d'immenses problèmes et que le Parlement ne facilite pas la tâche des administrations en ne codifiant pas assez, comme le Conseil d'État le souligne d'ailleurs en creux. Pouvez-vous m'apporter des précisions sur le quatrième alinéa dont les contours – s'agissant tant du délai que de la relation aux opérateurs – me semblent flous ? L'ANSSI disposera-t-elle d'une latitude suffisante dans ses contrôles ? Sa liberté d'action aura-t-elle été définie avec une précision suffisante pour faire face aux services juridiques pléthoriques des opérateurs ?

Les motifs de cet amendement sont identiques à ceux des amendements présentés aux articles 5 et 6. Il ne me semble pas souhaitable que le Premier ministre détienne, entre ses seules mains, la sécurité des réseaux et des systèmes d'information des opérateurs de services essentiels. Afin de garantir la sécurité et de préserver la liberté de communication des Français, la responsabilité doit être exercée à plusieurs. Je préconise donc que le Premier ministre partage cette fonction.

Je rappelle les termes de l'article 5 : « les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services sont soumis aux dispositions du présent chapitre ». Il s'agit donc d'opérateurs qui jouent un rôle crucial dans notre économie ou da...

Cet amendement vise à prendre en compte la réalité du chiffre d'affaires de nombreux opérateurs concernés par cette loi. Les « GAFA » et les autres grandes entreprises, ainsi que leurs dirigeants, ne seront pas dissuadés par des montants d'amende aussi faibles. Que sera la loi sans réelle force contraignante ? Nous proposons d'augmenter le montant maximal des amendes et de le faire correspondre à un pourcentage du chiffre d'affaires. Le seuil de 4 % du chiffre d'affaires est celui qui a ...

Avis défavorable sur les deux amendements. S'agissant de l'amendement no 53, le montant des amendes a été fixé, à une échelle inférieure, par comparaison avec le régime de sanctions appliqué aux opérateurs d'importance vitale.

...t acquis un rôle prépondérant dans la gestion des flux financiers et des flux d'information. Si des brèches de sécurité existent dans leurs réseaux et systèmes d'information, ils ont un impact sur la nation tout entière. Or on observe que les montants des amendes prévus par ce projet de loi ne sont absolument pas dissuasifs par rapport aux milliards de capitalisation et de profits dégagés par ces opérateurs – ces géants sont généralement américains, états-uniens pour être plus précis – et par certaines entreprises de services du numérique. S'élevant à 850 milliards de dollars, la capitalisation boursière d'Apple est, vous le savez, la plus grosse de l'histoire. Je pourrais donner d'autres exemples. Nous proposons d'établir une échelle modulable de sanctions pécuniaires réellement dissuasives pour ...

Tout d'abord, il nous paraît fondamental que les amendes prévues en cas de méconnaissance des obligations en matière de cybersécurité ne soient pas uniquement acquittées par les dirigeants des opérateurs concernés, mais aussi par les opérateurs eux-mêmes. En effet, de même que les « dirigeants », les « fournisseurs » doivent être responsabilisés, en tant qu'entité collective. À titre de rappel, que penser du jusqu'au-boutisme dans l'illégalité des dirigeants français d'Uber, couverts par leur compagnie mère ? En outre, cet amendement est complété par d'autres amendements, qui visent à uniformis...

Des amendements analogues ont déjà été examinés lorsqu'il a été question des opérateurs de services essentiels. L'argumentation reste la même. Avis défavorable sur les deux amendements.

...ent une amélioration continue contre des attaques ou tentatives d'attaques qui se renouvellent quasi quotidiennement, tant dans leurs méthodes que dans leur ampleur. Nous proposons donc, par cet amendement d'appel, d'envisager la création d'un statut juridique des chasseurs de failles, qui puisse permettre juridiquement l'organisation de bug bounty, pour l'instant dans le périmètre restreint des opérateurs considérés comme essentiels par le code de la défense, que nous souhaitons voir à terme étendu à l'économie en général. Nous proposons que le premier statut juridique de chasseur de failles soit enregistré et autorisé par l'Agence nationale de sécurité des systèmes d'information, l'ANSSI. Si, lors de l'examen en commission des lois ou en séance publique, le rapporteur refuse de se prononcer su...

... bounty, je reviens à la charge. Comme le rapporteur, vous avez répondu à mon collègue sur les white hats, salariés d'entreprises ou citoyens bénévoles, qui trouveraient des failles. Mais il ne s'agit pas de cela : nous souhaitons que l'on apporte une prime à celles et ceux qui détectent les dysfonctionnements dans tous les systèmes d'information de l'État, et pas uniquement dans ceux de certains opérateurs désignés de manière limitative par le code de la défense. Vous l'avez reconnu, ce serait une manière innovante d'encourager et de mettre à contribution les nombreuses personnes bénévoles qui, chaque jour, pourraient contribuer à renforcer notre système, en les récompensant pour leur travail. En outre, contrairement aux white hats qui peuvent être salariés dans les entreprises, certaines de ces ...

Nous revenons à une discussion qui a déjà été abondamment nourrie. Nous avions rappelé en commission que l'interopérabilité existe déjà dans certains secteurs entre les opérateurs européen, américain, canadien et russe. Mais il s'agit ici d'interopérabilité dans un secteur éminemment sensible : le système crypté de Galileo, en matière de défense pour les Américains, civile pour nous. Il est risqué d'aller sur ce terrain. Comme je l'avais fait en commission, je vous invite, mon cher collègue, si la question vous tient particulièrement à coeur, à vous rapprocher de l'Offic...

...tembre 2014 à juillet 2015, date de sa démission. Bien que fonctionnaire à l'origine, M. Turrini a effectué la plus grande partie de sa carrière au contact des entreprises. Avocat d'affaires, il a également été gérant au sein de la banque Arjil & Associés du groupe Lagardère puis a été chargé chez Vivendi de la stratégie des fusions et des acquisitions. Il est aujourd'hui secrétaire général de l'opérateur SFR et il exerce d'importantes responsabilités au niveau du groupe Altice. Monsieur Turrini, votre nomination à l'APE a été décidée alors qu'Arnaud Montebourg était encore ministre du redressement productif. À votre arrivée, en septembre 2014, la vente de la branche énergie d'Alstom à General Electric était en cours de finalisation. Puisque vous êtes le premier des anciens directeurs de l'APE q...

...uvent être rassemblées sous le thème de la sécurité. Il s'agit d'abord de transposer la directive (UE) 20161148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, autrement dit à lutter contre la cybercriminalité au niveau européen et à garantir un niveau de sécurité élevé des réseaux et systèmes d'information des opérateurs de services dits essentiels – sur lesquels je reviendrai dans un instant. Il s'agit ensuite de transposer la directive modifiant la directive 11042011UE relative au contrôle de l'acquisition et de la détention d'armes en mettant en place un système de contrôle de l'acquisition et de la détention des armes à feu, ce qui se traduit par un durcissement de la législation autour de ce socle commun. ...

...ctive européenne Network and Information Security, dite NIS. Cela me donne l'opportunité de saluer le travail de l'ANSSI, agence nationale de la sécurité des systèmes d'information, dont ce texte s'inspire, ainsi que la qualité du travail qui a donné lieu à la réglementation issue de la loi de programmation militaire de 2013. Il renforce les obligations visant deux catégories de structures : les opérateurs économiques essentiels et les fournisseurs de services numériques qui, selon leur caractère plus ou moins stratégique, se verront imposer des obligations et des contrôles contraignants en matière de sécurité informatique, pouvant donner lieu à des sanctions en cas de manquement. Ces structures devront aussi signaler aux autorités nationales compétentes en matière de cybersécurité les incidents ...

...tification : à compter de mai 2018, ces entreprises seront également tenues de notifier les cyber-incidents sérieux aux autorités nationales. Ce faisant, le texte institue un cadre de sécurité pour améliorer la fiabilité et la résilience des réseaux et systèmes d'information, assorti à un contrôle par l'autorité administrative, lequel peut aboutir à des sanctions. L'article 5 définit la notion d'opérateur de services essentiels et confie au Premier ministre la responsabilité de désigner ces opérateurs. Les secteurs concernés seront l'énergie, les transports, les banques et les infrastructures ; le Gouvernement prévoit d'en ajouter d'autres comme le tourisme, l'agroalimentaire, les assurances, les affaires sociales et la construction automobile. Cela étant, plusieurs questions se posent. La notion...