Résilience des infrastructures critiques et renforcement de la cybersécurité

Les entités essentielles ou importantes au titre de la directive NIS2 représentent les cibles les plus

sensibles pour des puissances étrangères ou des groupes malveillants. Or, une grande partie de leurs

systèmes critiques repose aujourd’hui sur des technologies extra-européennes, souvent soumises à

des législations extraterritoriales incompatibles avec les exigences de sécurité nationale.

Le présent amendement vise donc à renforcer le contrôle parlementaire et la transparence en

instaurant l’obligation, pour le Gouvernement, de remettre chaque année un rapport au Parlement

sur le niveau d’exposition des entités régulées à ces dépendances critiques. Ce rapport devra

également documenter les efforts de relocalisation industrielle engagés, les partenariats stratégiques,

et l’évolution du tissu industriel national et européen dans les secteurs clés de la cybersécurité, du

numérique et des infrastructures critiques. Un tel suivi permettra d’évaluer l’efficacité des

politiques publiques de souveraineté, d’identifier les failles persistantes, et d’orienter les futures

actions législatives ou budgétaires de soutien à l’écosystème industriel européen.

Compléter l’alinéa 12 par la phrase :

« Ce rapport intègre une analyse du niveau d’exposition des opérateurs d’importance vitale et des entités essentielles et importantes aux technologies non-européennes, des efforts de relocalisation engagés, de l’évolution du tissu industriel européen dans les secteurs critiques. »

Le présent article prévoit que l’Agence nationale de la sécurité des systèmes d'information (ANSSI)

pourra déléguer la réalisation de contrôles à des organismes indépendants, dans le cadre de

l’application des obligations de cybersécurité prévues pour les entités essentielles et importantes.

Toutefois, la nature hautement sensible des contrôles en question — portant sur la sécurité des

systèmes d'information d’infrastructures critiques, de services essentiels — implique des exigences

particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet

conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des

vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être

connues de puissances étrangères. Dans ce contexte, il est impératif que les organismes auxquels

l’ANSSI pourra déléguer ces missions soient exclusivement européens.

Compléter l’alinéa 4 par les mots :

« dont le siège statutaire, l’administration centrale et le principal établissement sont situés dans un État membre de l’Union Européenne ; »

À l’heure où la menace pesant sur les infrastructures critiques se renforce, il est impératif que les OIV, ainsi que l’État, puissent s’appuyer sur des industriels relevant de l’espace européen, soumis aux mêmes exigences de sécurité juridique, politique et technique.

Actuellement, de nombreux marchés stratégiques échappent à tout critère de préférence géographique, exposant les systèmes vitaux de la Nation à des dépendances à l’égard d’acteurs extérieurs à l’Union européenne. Certaines de ces entreprises, peuvent être soumises à des législations extraterritoriales (comme le Cloud Act américain dans le domaine numérique), ou à des logiques de puissance étrangères incompatibles avec les intérêts fondamentaux de notre pays.

Prioriser les entreprises européennes permettrait de réduire la dépendance technologique de la France à l’égard d’acteurs non-européens dans des domaines sensibles, de favoriser l’émergence et la consolidation d’un tissu industriel européen, et de garantir une meilleure maîtrise des risques de sécurité nationale, en limitant l’exposition à des prestataires soumis à des puissances étrangères.

Cet amendement vise donc à instaurer un principe de priorité européenne pour les marchés publics nécessaires à la conception, la fabrication, la modification, la maintenance ou le retrait des structures, systèmes, matériels nécessaires à la protection des infrastructures critiques de l’opérateur.

Compléter cet article par les trois alinéas suivants :

« Art. L. 1332‑23. – Les opérateurs d’importance vitale qui passent un contrat ou un marché de concession en application des articles L. 1332‑20 et L. 1332‑22 choisissent en priorité des entreprises répondant aux critères suivants :

« 1° Son siège statutaire, son administration centrale et son principal établissement doivent être établis au sein d’un État membre de l’Union européenne ;

« 2° Son capital social et les droits de vote dans la société ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne. »

Le présent projet de loi a été enrichi au Sénat d’un nouvel article obligeant le gouvernement à

élaborer une stratégie de cyber nationale. cette dernière doit notamment permettre une approche

intégrée des enjeux de cybersécurité et de souveraineté numérique.

Toutefois, l’ambition stratégique affichée gagnerait à être explicitement adossée à un soutien clair et

volontariste aux acteurs industriels français et européens du numérique. En effet, notre

cyberrésilience ne peut durablement reposer sur des solutions dépendantes de technologies ou de

prestataires soumis à des législations extraterritoriales, ou à des intérêts étrangers potentiellement

divergents de ceux de la Nation.

Dans ce contexte, il est proposé de préciser que la stratégie nationale de cybersécurité devra intégrer

un axe prioritaire de soutien, de structuration et de montée en puissance de l’offre souveraine.

Compléter l’alinéa 6 par les mots :

« permettant un soutien renforcé aux entreprises nationales et européennes du secteur ; ».

Le présent amendement vise à améliorer sensiblement le degré de préparation des collectivités

territoriales face à la menace cyber en intégrant explicitement le risque de cyberattaque au sein du

Plan Communal de Sauvegarde (PCS).

Alors que les collectivités jouent un rôle essentiel dans la continuité des services publics et la

gestion des crises locales, elles sont devenues ces dernières années des cibles privilégiées des

cybercriminels et d'acteurs étatiques hostiles. Selon l’ANSSI), plus de 350 collectivités ont été

victimes d'une cyberattaque en 2023, dont une majorité de communes de taille moyenne, souvent

démunies en matière de protection informatique.

Les exemples concrets abondent. En septembre 2024, la mairie de Caen a été victime d'une attaque

par rançongiciel paralysant plusieurs de ses services administratifs pendant plusieurs jours. À la

même période, la ville de Chaville (Hauts-de-Seine) a vu son système d'information compromis,

entraînant la perte d'accès à des documents sensibles et des données personnelles. En 2022, la ville

de La Rochelle avait également subi une cyberattaque majeure, impactant la gestion de ses services

numériques.

Ces incidents démontrent la vulnérabilité des collectivités et l'impact potentiel de ces attaques :

paralysie administrative, interruption des services aux usagers, atteinte à la confidentialité des

données des citoyens, voire mise en danger de la sécurité des populations en cas d'atteinte aux

systèmes d'alerte ou de gestion de crise.

Or, le Plan Communal de Sauvegarde, prévu par l'article L.731-3 du Code de la sécurité intérieure,

constitue l'outil de référence permettant d'organiser la réponse opérationnelle de la commune en cas

d'événement grave : catastrophes naturelles, risques technologiques, sanitaires… Il apparaît

aujourd'hui indispensable que les risques cyber soient explicitement intégrés à ce dispositif, au

même titre que les autres menaces susceptibles de désorganiser la vie locale. Le présent

amendement vise donc à améliorer sensiblement le degré de préparation des collectivités en

ajoutant le risque cyber au sein du plan communal de sauvegarde. Cet amendement a été travaillé

avec Hexatrust

La section 3 du chapitre I^er du titre III du livre VII du code de la sécurité intérieure est ainsi modifiée :

I. – Le I de l’article L. 731‑3 est ainsi modifié :

1° À la seconde phrase du premier alinéa, après le mot : « connus », sont insérés les mots : « y compris le risque d’incident informatique ayant un impact important sur la fourniture des services à la population, » ;

2° Après le 7°, il est inséré un 8° ainsi rédigé :

« 8° Assurant des activités de service public dont la continuité est susceptible d’être perturbée par des incidents informatiques, et dont la liste est déterminée par décret en Conseil d’État. »

II. – À l’article L. 731‑5, après le mot : « sauvegarde », sont insérés les mots : « , notamment pour prendre en compte le risque d’incident informatique, ».

III. – Les dispositions du présent article entrent en vigueur à l’occasion de l’actualisation du plan communal ou, au plus tard, à la date de sa révision.

Le présent amendement vise à compléter la liste des définitions figurant à l’article 1^er du projet de

loi en y intégrant celle de la souveraineté numérique, notion centrale du texte.

Alors que le terme de souveraineté numérique irrigue l’ensemble des travaux parlementaires et des

politiques publiques en matière de cybersécurité et de résilience numérique, aucune définition

légale n’en est à ce jour donnée. Or, pour assurer la cohérence de la stratégie nationale et sécuriser

son application juridique, il est essentiel de cadrer ce concept.

La définition proposée s’inspire de celle avancée par M. Thomas Courbe, alors directeur général des

entreprises, dans le rapport parlementaire « Bâtir et promouvoir une souveraineté numérique

nationale et européenne » de juillet 2021. Elle intègre également les enjeux contemporains

identifiés dans de nombreux rapports, notamment ceux du SGDSN, de la Cour des comptes, ou

encore de la commission d’enquête sénatoriale sur la commande publique et la souveraineté

économique.

Elle insiste sur les trois piliers de la souveraineté numérique la capacité normative, pour réguler

l’espace numérique, l’autonomie technologique, indispensable face à la domination des grandes 

puissances extra-européennes (États-Unis, Chine), la protection contre les ingérences, notamment

par le biais de l’espionnage, de l’extraterritorialité juridique ou de la dépendance à des technologies

critiques.

Après l’alinéa 13, insérer l’alinéa suivant :

« 5° Souveraineté numérique : la capacité de l’État à établir les règles qui permettent d’utiliser le numérique, de contrôler les impacts de ses usages et à disposer de l’autonomie sur les technologies qui conditionnent ces usages du numérique tout en se protégeant des ingérences et attaques étrangères. »

Le présent projet de loi a été enrichi au Sénat d’un nouvel article obligeant le gouvernement à

élaborer une stratégie de cyber nationale. Cette dernière doit notamment permettre une approche

intégrée des enjeux de cybersécurité et de souveraineté numérique.

La commande publique est l’un des principaux leviers de cette souveraineté. En 2022, la commande

publique représentait 10,4 % du PIB national, soit environ 187 milliards d’euros. Elle constitue

donc un levier stratégique massif pour orienter les choix technologiques, favoriser l’émergence de

champions français et européens, et limiter les dépendances critiques à des acteurs extra-européens.

Pourtant, comme l’a montré le rapport d’information sénatorial de juillet 2025 sur la commande

publique et la souveraineté, ce levier reste sous-utilisé : les critères de sécurité ou de souveraineté

sont peu mobilisés dans les appels d’offres, notamment dans le secteur numérique.

Ce même rapport met en lumière plusieurs failles préoccupantes, notamment l’attribution de

marchés sensibles à des entreprises soumises à des régimes juridiques extraterritoriaux (comme le

Cloud Act américain), ou l’incapacité de nombreuses entités publiques à identifier les solutions

souveraines disponibles. Il recommande explicitement d'intégrer des considérations de souveraineté

dans la stratégie cyber de l’État, et de former les acheteurs publics à ces enjeux.

En conséquence, le présent amendement propose d’intégrer explicitement la commande publique

parmi les dimensions structurantes devant figurer dans la stratégie nationale de cybersécurité, afin

qu’elle soit pleinement mobilisée au service de la résilience, de la sécurité et de l’indépendance

technologique de la France.

Compléter l’alinéa 6 par les mots : 

« notamment en termes de commande publique ; ».

Le présent article prévoit que le référentiel d’exigences techniques et organisationnelles pourra

imposer le recours à des produits, services ou processus certifiés au titre du règlement (UE)

2019/881, dit Cybersecurity Act. Cette faculté vise à renforcer le niveau de sécurité des entités

assujetties à la directive NIS 2, en favorisant l’usage de solutions certifiées selon un standard

européen reconnu. Cependant, une incertitude demeure quant à l’intégration, dans ces schémas de

certification – notamment le futur EUCS - de critères relatifs à l’immunité des fournisseurs aux

droits extraterritoriaux. Plusieurs versions préliminaires du schéma ont montré des hésitations sur ce

point crucial, sous la pression de certains États membres et d’acteurs économiques favorables à une

approche plus souple. Or, l’absence de garanties sur l’immunité aux législations extraterritoriales

(comme le Cloud Act américain) affaiblirait l’ambition même du dispositif. Elle exposerait

potentiellement les données stratégiques d’entités essentielles ou importantes à des ingérences

étrangères. Dans ce contexte, le présent amendement, reprenant la définition du Secnumcloud, vise

à introduire explicitement un critère d’établissement en Europe pour les services certifiés que le

gouvernement peut prescrire pour les entités régulées par Nis 2.

Après l’alinéa 7, insérer les trois alinéas suivants :

« Ces produits, services ou processus certifiés doivent remplir les conditions suivantes :

« 1° Le siège statutaire, administration centrale et principal établissement de la société dont émanent les produits, services ou processus certifiés en cause doivent être établis au sein d’un État membre de l’Union européenne ;

« 2° Le capital social et les droits de vote dans la société dont émanent les produits, services ou processus certifiés en cause ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne. »

L’extraterritorialité de certaines législations étrangères constitue aujourd’hui un risque majeur pour

la souveraineté numérique et la sécurité des systèmes d’information nationaux. De nombreuses lois,

notamment celles adoptées par les États-Unis (comme le Cloud Act, le Foreign Intelligence

Surveillance Act ou encore le Patriot Act), permettent aux autorités de ces pays d’accéder à des

données hébergées à l’étranger dès lors que l’entreprise qui les détient est de droit national,

indépendamment du lieu d’hébergement ou du traitement des données.

Cette situation crée une zone de vulnérabilité juridique pour les entités essentielles et importantes

définies par la directive NIS 2. Ces structures, soumises à des exigences de cybersécurité accrues,

sont parfois tentées de recourir à des solutions étrangères sans mesurer pleinement les risques

induits par le cadre juridique applicable à leurs prestataires.

Il est donc impératif que les entités régulées prennent en compte l'extraterritorialité des droits

auxquels sont soumis leurs prestataires lorsqu'elles choisissent des fournisseurs de services de

cybersécurité, d’hébergement, de cloud ou de traitement de données. Ne pas le faire expose à des

risques concrets d’ingérence, d’espionnage économique, voire de rupture de service en cas de

conflit géopolitique ou de contentieux extrajudiciaire.

L’objectif de cet amendement est d’introduire une référence explicite à l’extraterritorialité dans le

cadre des obligations de cybersécurité des entités assujetties, afin de renforcer la vigilance sur ce  point et d’inciter au recours à des solutions européennes ou française

Compléter l’alinéa 5 par les mots : 

« notamment en adoptant des solutions immunes à l’extraterritorialité de droits extra européens ».