Tribunes / Administration

Cybersécurité : le Sénat adapte l’ambition européenne aux réalités territoriales

Publiée le 18 mars 2025 à 11h00 - par

Pour le renforcement de la cybersécurité de nos territoires, la transposition de la directive européenne NIS21 marque une étape décisive. Le projet de loi, adopté par le Sénat le 12 mars, pose enfin un cadre ambitieux et cohérent pour protéger nos collectivités et nos entreprises face à des menaces qui ne cessent de croître. En 2024, l'ANSSI2 a traité 4 386 événements de sécurité (12 par jour en moyenne), soit une augmentation de 15 % par rapport à l'année précédente3.
Cybersécurité : le Sénat adapte l'ambition européenne aux réalités territoriales
© DR

Pour tout comprendre

Fiche La cybersécurité dans les collectivités et leurs établissements Fiche Gérer sa communication de crise face aux cyberattaques

Cet article fait partie du dossier :

Cybersécurité et sécurité numérique, de nouveaux enjeux pour les décideurs publics
Cybersécurité et sécurité numérique, de nouveaux enjeux pour les décideurs publics
Voir le dossier

La transposition de la directive européenne NIS2 apporte des avancées concrètes. D’abord avec l’instauration d’une stratégie nationale de cybersécurité qui devra notamment définir le soutien aux collectivités territoriales et prévoir le renforcement des compétences sur l’ensemble du territoire. Le texte établit également une approche proportionnée entre les « entités essentielles » et les « entités importantes », permettant d’adapter les obligations aux réalités du terrain.

Des avancées concrètes pour les territoires

L’un des points forts du projet de loi réside dans son approche équilibrée. Pour les petites structures, un régime centré sur les bonnes pratiques d’hygiène numérique est prévu, avec des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées ». Les entités plus importantes, déjà soumises aux réglementations précédentes, devront respecter des contrôles accrus du fait des risques de conséquences en cascade dans des secteurs connexes.

Des points de vigilance

Cependant, plusieurs points de vigilance méritent une attention particulière. Les auditions menées au Sénat ont mis en lumière des inquiétudes légitimes des associations d’élus4 concernant :

  • Les moyens financiers : avec un coût estimé à 690 millions d’euros par an pour les solutions de sécurité et 105 millions d’euros annuels pour les ressources humaines, l’effort demandé est considérable pour les collectivités sous pression
  • La proportionnalité des obligations selon la taille des structures, avec un besoin d’adaptation plus fine pour les plus petites entités
  • Le manque de ressources humaines qualifiées, dans un contexte de forte tension sur les métiers de la cybersécurité
  • L’articulation complexe entre les différents acteurs cyber
  • La nécessité d’un délai réaliste de mise en conformité, certains acteurs estimant que trois ans pourraient être insuffisants

Des défis à relever

La réussite de cette transformation numérique reposera sur notre capacité collective à accompagner tous les territoires, notamment les plus petits, vers cette mise à niveau indispensable de leur cybersécurité. Le texte prévoit plusieurs leviers :

  • L’agrément par l’ANSSI d’organismes publics ou privés comme relais dans la prévention et la gestion des incidents
  • Un cadre de coopération et d’échange d’informations entre les acteurs
  • Des référentiels d’exigences techniques et organisationnelles adaptés aux différentes entités selon leur taille et leur exposition aux risques

Oubli des territoires ruraux

Pour ma part, je reste perplexe quant à la capacité de certains territoires constitués de communautés de communes dont la plus grande ville fait parfois 4 000 habitants à répondre au référentiel des entités importantes, totalement inadapté pour elles. Je crains que la première marche de progression leur soit tellement inatteignable et donc sclérosante qu’elle ne débute même pas la montée vers une meilleure sécurisation. Je suis surpris que le Sénat ait ainsi oublié les territoires ruraux ou de montagne.

Une mobilisation collective porteuse d’espoir

Face à ces défis, notre confiance est renouvelée envers l’ANSSI et ses relais – CSIRT régionaux, Cybermalveillance.gouv.fr, 17cyber – qui méritent notre reconnaissance pour leur implication dans les territoires. Le renforcement de la présence territoriale de l’ANSSI apparaît aujourd’hui indispensable, comme l’a confirmé son directeur général5, lors des auditions au Sénat, en affirmant : « nous devons renforcer notre présence dans les régions ». Ces acteurs constituent un appui essentiel, particulièrement pour les collectivités dépourvues de RSSI, parfois même de DSI ou d’équipe informatique. Car la réalité du terrain, c’est celle d’élus et de dirigeants souvent seuls face à ces thématiques complexes.

Un enrichissement du texte par les sénateurs

La qualité des débats parlementaires a permis d’enrichir considérablement ce texte, allant bien au-delà de l’étude d’impact initiale. Les sénateurs se sont emparés de sujets complexes et parfois clivants, comme l’interdiction des « backdoors »6 dans les systèmes de chiffrement, démontrant leur parfaite compréhension des enjeux technologiques et sociétaux. Cette séquence parlementaire est une belle démonstration de réussite démocratique, rendant au Sénat sa prérogative de chambre de réflexion et d’amélioration des textes. La Haute Assemblée a su trouver un équilibre subtil entre les impératifs de sécurité nationale et la protection des libertés individuelles, tout en prenant en compte les réalités opérationnelles des territoires.
Le texte poursuivra son parcours législatif dans les prochains mois avec son examen à l’Assemblée nationale. Ce sera l’occasion de continuer à l’enrichir pour répondre au mieux aux préoccupations légitimes des territoires, particulièrement les plus fragiles.

Lionel Pérès, DGS de Vaison-la-Romaine

1. Directive européenne : Network and Information Security 2 (NIS2)

2. Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)

3. « Panorama de la cybermenace 2024 » publié par l’ANSSI en mars 2025

4. Table ronde avec les associations d’élus (Association des Maires de France, Association des départements de France, Association des régions de France, Intercommunalités de France et Métropole du Grand Paris)

5. Audition de M. Vincent Strubel, directeur général de l’ANSSI

6. Une « backdoor » (ou « porte dérobée » en français) désigne ici une fonctionnalité qui permettrait aux autorités d’accéder au contenu des messageries chiffrées. Bien que présentée comme un outil de lutte contre la criminalité, son introduction affaiblirait structurellement la sécurité des communications pour tous les utilisateurs, rendant impossible la garantie d’un chiffrement de bout en bout efficace.

On vous accompagne

Retrouvez les dernières fiches sur la thématique « Institutions et administration territoriale »

Voir toutes les ressources numériques Institutions et administration territoriale

Les + Vus

Augmentation des salaires dans la fonction publique : les pistes évoquées par Laurent Marcangeli

31/03/25

Augmentation des salaires dans la fonction publique : les pistes ...

 Décharges de fonctions des DG : ça n'arrive pas qu’aux autres !

01/04/25

Décharges de fonctions des DG : ça n'arrive pas qu’aux autres !

 Quel est le calendrier des prochaines élections ?

07/04/25

Quel est le calendrier des prochaines élections ?

 Le 1er mai est un jour obligatoirement chômé

09/04/25

Le 1er mai est-il vraiment un jour chômé dans la fonction publique ?

 Jours fériés et ponts de mai 2025 : comment gérer les absences des agents publics ?

15/04/25

Jours fériés et ponts de mai 2025 : comment gérer les absences des ...

Voir tous les articles publiés