Question de : M. Aurélien Saintoul
Hauts-de-Seine (11^e circonscription) - La France insoumise - Nouveau Front Populaire

M. Aurélien Saintoul alerte Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique, sur les défaillances en cybersécurité des entreprises françaises. En 2024, une masse très alarmante de données sensibles ont été volées aux Français par le biais de cyberattaques. En février 2024, 33 millions de Français ont été concernés par des attaques visant Viamedis et Almerya, deux entreprises clés du secteur de la santé publique puisqu'elles assurent le fonctionnement du tiers-payant de la Sécurité sociale. Ce genre d'opération met en lumière la faiblesse structurelle des entreprises face à ces menaces qui ne sont désormais plus nouvelles. En mars 2024, c'est France Travail qui a été visée par une attaque touchant 43 millions de Français, permettant aux cybercriminels de revendre ces données à des acheteurs du monde entier. Ces mêmes acheteurs en profitent ensuite pour usurper l'identité des citoyens afin d'alimenter des trafics criminels allant de l'escroquerie au terrorisme. Ce phénomène d'ampleur a aussi touché en 2024 de nombreuses entreprises de la grande distribution telles que Boulanger, Cultura, Fnac, Darty, Picard, Truffaut, Auchan et Intermarché. Des entreprises de télécommunications ont, par ailleurs, été atteintes comme Free et SFR, qui à la suite de cyberattaques cumulent à elles deux, près de 23 millions de données d'utilisateurs volées. Les attaquants ont obtenu les relevés d'identité bancaire des clients de SFR et Free et en ont revendu une partie à des réseaux criminels internationaux selon Les Échos. Pourtant, les entreprises de télécommunications sont des « opérateurs d'importance vitale » (OIV) et sont donc tenues à des obligations de renforcement et de détection des intrusions sur leurs systèmes. Or ces obligations n'ont visiblement pas suffi à protéger les données privées des usagers. La France est désormais particulièrement visée par les cybercriminels : car ces pirates se concentrent d'abord sur les cibles faciles dont les failles et les données sont déjà connues. D'autant plus que la France accuse toujours un retard dans la transposition de la directive européenne Sécurité des réseaux et de l'information 2 (NIS2) dont la date limite de transposition était le 17 octobre 2024 ; et que cette mesure n'a pourtant toujours pas été débattue à l'Assemblée nationale, au Sénat ni même en Conseil des ministres. Ainsi, M. le député voudrait savoir ce que le Gouvernement prévoit pour lutter contre les cyberattaques dans les secteurs public et privé et s'il s'est fixé un calendrier afin de transposer la directive NIS2 dans le droit français dans les plus brefs délais. Il voudrait connaître les accompagnements prévus par le Gouvernement pour les victimes de cyberattaques et pour les entreprises ciblées et sacoir si des mesures de réparations et des campagnes de sensibilisation sont prévues. Il demande si des sanctions sont à l'agenda pour les entreprises négligentes à l'égard de leur système de sécurité.