Question écrite
✓ Répondue le 29/01/2026
#10#24#
Sécurité informatique des infrastructures critiques
Posée le 15/01/2026 • Ministère interrogé : Industrie
Hervé Maurey UC
Sénateur — Eure
La question
M. Hervé Maurey rappelle à M. le ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargé de l'industrie les termes de sa question n° 06085 sous le titre « Sécurité informatique des infrastructures critiques », qui n'a pas obtenu de réponse à ce jour.
✓ Réponse du gouvernement
Publiée le 29/01/2026
Le 19 juillet 2025, l'éditeur américain Microsoft publiait les correctifs pour la vulnérabilité de type jour-zéro affectant plusieurs offres de la solution SharePoint - outil de travail collaboratif répandu et commercialisé par l'éditeur. Ce dernier estimait alors que la vulnérabilité découverte était activement exploitée, notamment par des attaquants associés par Microsoft à la Chine. L'exploitation de vulnérabilités, en particulier sur les équipements exposés sur Internet, est aujourd'hui un des principaux vecteurs d'intrusion utilisés par les attaquants. Outre certaines menaces sophistiquées qui les identifient et les exploitent avant la publication d'un correctif, les vulnérabilités sont souvent exploitées massivement de façon opportuniste - par les cybercriminels principalement - dans un délai très court après leur publication, mettant en évidence la nécessité d'une application rapide des correctifs. Dans ce contexte, dès la découverte d'une vulnérabilité majeure comme celle ayant affecté les produits SharePoint en juillet 2025, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) entreprend des actions visant à en limiter au maximum les impacts. En premier lieu, dès qu'un correctif est disponible, elle publie et relaie une alerte de sécurité. Elle effectue des actions de scan qui permettent d'identifier des équipements vulnérables sur le périmètre français, permettant d'alerter rapidement leurs propriétaires. Sur le périmètre ministériel, elle peut diffuser une injonction contraignant l'application rapide de correctifs. Enfin, elle accompagne ou conseille les éventuelles victimes françaises : plus la réponse est rapide après l'exploitation d'une vulnérabilité, plus le risque d'une implantation de l'attaquant au-delà de l'équipement vulnérable est réduit. Par ailleurs, le cadre légal associé à la gestion des vulnérabilités a évolué. Le règlement européen dit CRA (Cyber Resilience Act) a été construit comme un pendant de la directive NIS 2 afin d'assurer une meilleure sécurité des produits et in fine d'améliorer le niveau général de sécurité de la chaîne d'approvisionnement. Il fixe des exigences de cybersécurité essentielles à respecter pour tout produit mis sur le marché européen et impose notamment aux fabricants de produits numériques l'intégration de mesures de sécurité par défaut et la fourniture de mises à jour de sécurité gratuites pendant une période minimale annoncée. Il leur impose également la gestion et la notification des vulnérabilités affectant leurs produits, venant renforcer des dispositions mises en oeuvre avec la promulgation de la Loi de programmation militaire 2024-2030, avec un périmètre matériel et temporel plus large.
Source : senat.fr ↗
Autres questions de Hervé Maurey
Améliorations à apporter au processus d'attribution d'un logement social
Question écrite • 02/07/2026
Effets de distorsion économique des prélèvements fiscaux sur le secteur industriel
Question écrite • 02/07/2026
Contractualisation entre l'État et les plus grandes collectivités territoriales
Question écrite • 02/07/2026
Conséquences du financement des aides à l'achat de véhicules neufs par le dispositif CEE
Question écrite • 02/07/2026