M. Paul Christophe attire l'attention de M. le ministre des armées sur les mesures mises en place concernant la cybersécurité de la France et de ses services publics dans un contexte de montée des cyberattaques. La France a été le théâtre de plusieurs cyberattaques majeures ces dernières années, ciblant principalement ses infrastructures publiques. En mars 2024, une attaque d'une ampleur inédite a frappé près de 800 sites administratifs, dont des ministères et des services gouvernementaux et a entraîné une perturbation significative des services numériques. En décembre 2022, la région Normandie a également été victime d'une cyberattaque d'envergure, où 600 serveurs et 1 500 ordinateurs ont été compromis, affectant notamment les horaires de transport public en ligne. Dans ce contexte, il souhaite l'interroger sur les mesures concrètes et novatrices que le Gouvernement entend mettre en place pour protéger les acteurs publics et privés de ces cyberattaques, notamment dans des secteurs stratégiques tels que l'énergie, la santé et les transports. Par ailleurs, face à l'intensification des cyberattaques à grande échelle, la question de la législation devient primordiale. Il demande quelles sont les initiatives législatives envisagées pour renforcer la lutte contre les cybercriminels, notamment en ce qui concerne la protection des données personnelles et la coopération internationale en matière de cybercriminalité.

Pour faire face à la généralisation de la cybermenace, le Gouvernement a soutenu l'élaboration de la directive NIS2 qui vise à élever le niveau général de cybersécurité au sein du marché européen et qui sera transposée en droit national en 2025. Le périmètre des secteurs réglementés comprendra 18 secteurs « critiques » : administrations publiques ; eaux potables, eaux usées ; énergies ; espace ; gestion des services de technologies de l'information et de la communication ; infrastructures des marchés financiers ; infrastructures numériques ; santé ; secteur bancaire ; transports ; fabrication, production et distribution de produits chimiques ; fournisseurs numériques ; gestion des déchets, industrie manufacturière ; production, transformation et distribution des denrées alimentaires ; recherche, services postaux et d'expédition. L'enjeu est de mieux protéger les réseaux et les systèmes d'information servant à fournir des services essentiels à la Nation. Cette directive prévoit un socle de mesures juridiques, techniques et organisationnelles que les futures entités réglementées devront mettre en œuvre, en fonction du risque existant, afin de mieux se sécuriser et d'accroître leur résilience opérationnelle. Au-delà de cette nouvelle réglementation, dans le cadre du plan France Relance, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a mis en œuvre des « parcours de cybersécurité » permettant d'accompagner plus spécifiquement des secteurs à l'instar des collectivités territoriales et des établissements publics. Depuis, des programmes ont été lancés au sein de secteurs critiques, tels que le plan CaRE du ministère du travail, de la santé, des solidarités et des familles, et témoignent de la robustesse de cette méthode. Le Gouvernement a également soutenu au niveau européen le règlement sur la cyber-résilience (Cyber Résilience Act), en cours de déclinaison nationalement, qui définira des exigences minimales de cybersécurité pour l'ensemble des produits comportant des éléments numériques, disponibles sur le marché européen. Sur le plan international, les coopérations sont fortes, aux niveaux technique, opérationnel et juridique, comme en atteste la dernière opération de coopération judiciaire internationale ENDGAME, qui a permis le démantèlement de plusieurs infrastructures numériques liées à des codes cybercriminels. Cette opération a mobilisé les autorités françaises, allemandes, danoises, néerlandaises, britanniques, canadiennes et américaines. Le Gouvernement soutient le renforcement de ces coopérations. Cet objectif est inscrit dans la stratégie nationale de cybersécurité.