Passer au playerPasser au contenu principalPasser au pied de page
Assemblée nationale
  • avant-hier
Renforcement de la cybersécurité : Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP)

Catégorie

🗞
News
Transcription
00:00– Sous-titrage FR 2021
00:30– Sous-titrage FR 2021
01:00Sous-titrage FR 2021
01:30Sous-titrage FR 2021
02:00Sous-titrage FR 2021
02:30Sous-titrage FR 2021
02:59Sous-titrage FR 2021
03:29Sous-titrage FR 2021
03:59Sous-titrage FR 2021
04:29Sous-titrage FR 2021
04:59Sous-titrage FR 2021
05:29Sous-titrage FR 2021
05:59Sous-titrage FR 2021
06:29Sous-titrage FR 2021
06:59Sous-titrage FR 2021
07:29Sous-titrage FR 2021
07:59Sous-titrage FR 2021
08:29Sous-titrage FR 2021
08:59Sous-titrage FR 2021
09:29Sous-titrage FR 2021
09:59Sous-titrage FR 2021
10:29Sous-titrage FR 2021
10:59Sous-titrage FR 2021
11:29Sous-titrage FR 2021
11:59Sous-titrage FR 2021
12:29Sous-titrage FR 2021
12:59Sous-titrage FR 2021
13:29Sous-titrage FR 2021
13:59Sous-titrage FR 2021
14:29Sous-titrage FR 2021
14:59Sous-titrage FR 2021
15:29Sous-titrage FR 2021
15:59Sous-titrage FR 2021
16:29Sous-titrage FR 2021
16:59Sous-titrage FR 2021
17:29Sous-titrage FR 2021
17:59Sous-titrage FR 2021
18:29Sous-titrage FR 2021
18:59Sous-titrage FR 2021
19:29Sous-titrage FR 2021
19:59Sous-titrage FR 2021
20:29Sous-titrage FR 2021
20:59Sous-titrage FR 2021
21:29Sous-titrage FR 2021
21:31Sous-titrage FR 2021
21:33Sous-titrage FR 2021
21:35Sous-titrage FR 2021
22:06Concernant l'audition d'aujourd'hui
22:08Je précise que j'interromperai
22:10l'audition quelques minutes
22:12s'il le fallait
22:13pour que les collègues présents ici
22:15qui n'ont pas de délégation
22:16puissent aller voter en hémicycle
22:17le texte qui est en cours
22:19Venons-en maintenant à notre heure du jour
22:22Nous poursuivons nos auditions
22:23sur le projet de loi relatif
22:25à la résilience des infrastructures critiques
22:26au renforcement de la cybersécurité
22:28avec l'audition de la présidente
22:30et du directeur général
22:30de l'autorité de régulation
22:31des communications électroniques
22:32des postes et de la distribution
22:34de la presse, l'ARCEP
22:35Le panorama de la cybermenace 2024
22:37de l'Agence nationale
22:38de la sécurité des systèmes d'information
22:40illustre la diversité
22:41et la gravité des menaces
22:42qui pèsent entre autres
22:43sur le secteur des télécommunications
22:45Sont distinguées
22:46les menaces à visée lucrative
22:48celles à finalité d'espionnage
22:49et enfin celles visant
22:50à déstabiliser nos sociétés
22:51dans lesquelles s'inscrivent
22:53des actes de sabotage
22:54Ainsi, l'ANSI a traité en 2024
22:56la compromission et le chiffrement
22:57par le biais d'un rançongiciel
22:58d'une entité du secteur
22:59des télécommunications
23:00faits marquants de 2024
23:02certaines rares attaques
23:03des doses d'ampleur
23:04visant des infrastructures
23:05de télécommunications
23:06ont eu des conséquences
23:07importantes sur la disponibilité
23:08des services critiques
23:09L'ANSI remarque également
23:11que le ciblage
23:12d'opérateurs de télécommunications
23:13à des fins d'espionnage
23:14est intense
23:15Ces deux dernières années
23:16l'ANSI a ainsi traité
23:18plusieurs incidents
23:19affectant des entités
23:20du secteur des télécommunications
23:21en France
23:21à des fins d'espionnage
23:22Le projet de loi
23:23que la commission spéciale
23:25est chargée d'examiner
23:25comporte trois titres
23:26Le titre premier
23:28consacré à la résilience
23:29des activités d'importance vitale
23:30procède à la transposition
23:31de la directive REC
23:32il est rapporté
23:33par la madame Hervieux
23:34Le titre 2
23:35vise à renforcer
23:35notre cadre juridique
23:37en matière de cybersécurité
23:38procède à la transposition
23:39de la directive NIS2
23:39sa rapporteur thématique
23:41est madame Le Hénanf
23:42Enfin le titre 3
23:43est consacré à la résilience
23:44opérationnelle numérique
23:45du secteur financier
23:46et procède à la transposition
23:47de la directive DORA
23:48il est rapporté par monsieur Boulou
23:49Eric Bottorel
23:51et le rapporteur général
23:52du projet de loi
23:52Madame la Présidente
23:54je vous laisse la parole
23:54pour une courte intervention liminaire
23:56d'environ 10 minutes
23:56sur les aspects
23:57de ce projet de loi
23:58qui concerne le secteur
23:59que vous êtes en charge
23:59de réguler
24:00avant que notre rapporteur général
24:01nos rapporteurs thématiques
24:02et l'ensemble de nos collègues
24:03puissent vous interroger
24:04pour une plus grande interactivité
24:06nous privilégierons
24:07des questions
24:07et des réponses assez courtes
24:08permettre d'aborder
24:10tous les sujets
24:10qu'il faudra aborder
24:11je vous cède la parole
24:12Merci monsieur le président
24:16monsieur le rapporteur général
24:18messieurs les députés
24:19merci pour cette audition
24:22de l'ARCEP
24:23qui montre l'intérêt
24:24que vous portez à l'autorité
24:25je suis venue accompagnée
24:26d'Olivier Coroller
24:27directeur général
24:28et de Virginie Mato
24:30ma conseillère
24:31à la présidence
24:32le premier point
24:36que je voudrais soulever
24:37dans mon introduction
24:38préliminaire
24:39c'est que l'ARCEP
24:41a été saisie pour avis
24:42sur ce projet de loi
24:43et nous nous sommes concentrés
24:46en fait sur les mesures
24:47s'appliquant de manière spécifique
24:48au secteur que nous régulons
24:50et à savoir la transposition
24:52de la directive
24:53NIS2
24:54l'accès aux fréquences
24:55par les terminaux
24:56satellitaires terrestres
24:58et les sanctions
24:59contre les auteurs
25:00de brouillages
25:01préjudiciables
25:02et au regard
25:03notamment
25:04des aspects
25:05qui pourraient avoir
25:05un impact
25:06d'une part
25:06sur le bon fonctionnement
25:07des réseaux
25:08et des services
25:09de communication électronique
25:10et d'autre part
25:11sur la sécurité juridique
25:13dont doivent bénéficier
25:14les opérateurs
25:15dans la mise en oeuvre
25:17de leurs obligations légales
25:18vous savez
25:21un NIS2
25:21par rapport
25:22à NIS
25:23c'est
25:24un élargissement
25:26très important
25:28des opérateurs
25:30qui sont
25:31assujettis
25:32à cette nouvelle directive
25:33et l'ensemble
25:34du secteur
25:35des communications
25:36électroniques
25:38est concerné
25:38tous les opérateurs
25:39de communication électronique
25:41quelle que soit leur taille
25:43en fait
25:43sont concernés
25:44par l'application
25:45des mesures NIS2
25:46ce qui est
25:47très différent
25:49de ce qui était
25:49auparavant
25:50parce que
25:51auparavant
25:51dans NIS
25:52je ne parle pas
25:53des opérateurs
25:54d'infrastructures
25:58vitales
26:00ou d'importance vitale
26:02que
26:03je fais un pas de côté
26:04dans mon
26:05nous n'avons
26:06ces secrets défense
26:07et l'ARCEP
26:08n'en a pas à connaître
26:09donc on ne sait pas
26:10qui
26:10et nous n'en avons
26:12pas à connaître
26:13et c'est
26:14auprès du gouvernement
26:15qu'il faut
26:15obtenir cette question
26:16donc en revanche
26:17dans le cadre
26:18de Nice
26:19le secteur
26:21des communications
26:22électroniques
26:23il n'y avait
26:24que les fournisseurs
26:26DNS
26:26et les points
26:27d'échange
26:27internet
26:28IXP
26:29qui étaient
26:30considérés
26:31susceptibles
26:32de relever
26:32du périmètre
26:33des acteurs
26:33régulés
26:34au titre
26:34des opérateurs
26:36de services
26:37essentiels
26:37maintenant
26:38vous savez
26:39que dans
26:39Nice 2
26:40on parle
26:41d'entités essentielles
26:42et d'entités
26:42importantes
26:44des entités
26:45mais tout
26:46le secteur
26:47de communication
26:48électronique
26:49est concerné
26:49par Nice 2
26:50donc c'est un champ
26:51profondément
26:53changé
26:54qu'adresse
26:55Nice 2
26:56et en plus
26:58dans les secteurs
27:00que nous régulons
27:01à l'ARCEP
27:02est inclus aussi
27:03les fournisseurs
27:04de services
27:05d'informatique
27:06en nuage
27:07ils font partie
27:08du secteur
27:09hautement critique
27:10des infrastructures
27:10numériques
27:11et donc
27:11seront assujettis
27:13aux mêmes mesures
27:13dans le cadre
27:14de Nice 2
27:14ainsi que les entités
27:16du secteur
27:17des services
27:17postaux
27:18et du courrier
27:19donc ça
27:23c'est la première
27:24remarque
27:27que nous pouvons faire
27:28c'est qu'il y a
27:29une très grande
27:30diversité
27:31des entités
27:31régulées
27:32que dans le secteur
27:33que nous régulons
27:34ça va de très grand groupe
27:36à des entreprises
27:37qui sont de toute petite taille
27:39et que
27:41et comme toutes les entreprises
27:43du secteur
27:45des communications
27:45électroniques
27:46seront visées
27:47par Nice 2
27:47quelle que soit
27:49la taille
27:50nous avons appelé
27:51l'attention
27:52enfin
27:53nous portons
27:56à votre attention
27:57l'exigence
27:58de proportionnalité
28:00présente
28:01dans la directive
28:03et d'ailleurs
28:03rappelée par le Sénat
28:04dans le projet de loi
28:06à l'article 14
28:07et nous estimons
28:09qu'elle devra être
28:10appréciée finement
28:11en cohérence
28:11avec les moyens réels
28:13des entités
28:14assujetties
28:15deuxième point
28:17que nous avons mis en avance
28:18c'est le délai
28:19de mise en conformité
28:20ça nécessite
28:22la mise en conformité
28:24nécessite
28:24un effort conséquent
28:25en raison de l'ampleur
28:27des adaptations
28:27requises
28:28pour beaucoup
28:29d'acteurs assujettis
28:30c'est valable
28:32aussi bien
28:33dans le cas
28:34des entités
28:34nouvellement assujetties
28:35donc les TPE
28:36et les PME
28:37qui sont généralement
28:38les moins matures
28:38en matière de cybersécurité
28:40mais cela peut l'être
28:42aussi pour
28:42les OIV
28:43ou les anciens
28:45opérateurs
28:46de services essentiels
28:48parce que
28:49le champ
28:50d'application
28:51de Nice 2
28:51est beaucoup plus important
28:52qu'avant
28:53c'est l'ensemble
28:53des systèmes
28:54d'information
28:55de l'entreprise
28:56qui est concerné
28:58et non pas
28:59les systèmes
29:00d'informatique
29:01des infrastructures
29:04numériques
29:05sensibles
29:06donc ça
29:07élargit
29:09le champ
29:12de l'application
29:14des obligations
29:16sur l'ensemble
29:18des SI
29:18des acteurs
29:19régulés
29:19et donc
29:21à cet effet
29:23dans notre avis
29:24nous avions
29:25appelé
29:26le gouvernement
29:27à une entrée
29:28en vigueur
29:28différée
29:29du projet de loi
29:30non pas
29:30du fait
29:33de
29:34moindre risque
29:36mais du fait
29:37de
29:38pouvoir
29:39laisser le temps
29:40aux acteurs
29:41pour mettre
29:42en oeuvre
29:43les exigences
29:44de
29:46cette nouvelle
29:47réglementation
29:48le gouvernement
29:49et le parlement
29:50n'ont pas
29:51pour l'instant
29:51donné suite
29:52à cette demande
29:53mais dans
29:54les échanges
29:55que nous pouvons
29:55avoir
29:55avec l'ANSI
29:56nous notons
29:58qu'elle
29:59tiendra compte
30:00en fait
30:00de la
30:01réelle capacité
30:03à mettre
30:03en oeuvre
30:04les obligations
30:04par les entités
30:06soumises
30:08à Nice 2
30:09nous avions
30:11aussi relevé
30:12des difficultés
30:13dans les critères
30:13d'assujettissement
30:14prévus
30:15dans le projet
30:15de loi
30:16notamment
30:17pour les entités
30:18implantées
30:18dans différents
30:19pays
30:19ou exerçant
30:21différentes activités
30:22le projet de loi
30:23se borne
30:24à reprendre
30:24les critères
30:25de la directive
30:25sans apporter
30:27de précision
30:27laissant perdurer
30:29des incertitudes
30:30et cependant
30:30l'ANSI
30:31a indiqué
30:32que les textes
30:33réglementaires
30:33y répondraient
30:34en partie
30:34disons qu'il était
30:35préférable
30:36de laisser ça
30:38aux textes
30:38réglementaires
30:39ce qui me paraît
30:40de bonne
30:41pratique
30:43voilà ce que
30:47nous avons
30:48à dire
30:48en propos
30:49liminaires
30:50on n'est pas
30:51concerné
30:52puisque c'est
30:53directement
30:53l'ANSI
30:54qui va mettre
30:55en place
30:55Nice 2
30:57mais je voulais
30:58vous alerter
30:59sur l'ampleur
31:00de ce changement
31:01pour le secteur
31:02que nous régulons
31:03et notamment
31:03selon la taille
31:04des acteurs
31:05régulés
31:05merci beaucoup
31:08monsieur le rapporteur
31:09général
31:09si je vous laisse
31:10merci monsieur le président
31:11madame la présidente
31:12alors je me suis
31:13me demandé
31:14pourquoi nous
31:14entendions
31:15aujourd'hui
31:15l'ARCEP
31:16je n'ai pas oublié
31:16que je fais partie
31:17de ceux qui
31:17en avaient demandé
31:18l'audition
31:19et puis je me suis
31:20replongé dans vos
31:21compétences propres
31:22comme autorité
31:22indépendante
31:23et j'ai lu
31:24avec plaisir
31:24et gourmandise
31:25notamment votre
31:26manifeste
31:26qui commence ainsi
31:27les infrastructures
31:28numériques
31:29que sont les réseaux
31:30d'échange internet
31:30télécom
31:31fixe mobile
31:31les centres de données
31:32ainsi que les réseaux
31:34postaux et la distribution
31:34de la presse
31:35constituent des infrastructures
31:36de liberté
31:37liberté d'expression
31:38et de communication
31:39liberté d'accès
31:39au savoir
31:40et de partage
31:40liberté d'entreprise
31:41et d'innovation
31:42qui sont autant
31:43d'enjeux
31:43clés pour le développement
31:44économique
31:45et la cohésion
31:45de notre pays
31:46au sein de l'Europe
31:46et je salue
31:47car j'entends surtout
31:48parler en ce moment
31:49de l'interdiction
31:49de contrôle
31:50de sanctions
31:50et de surveillance
31:51légale certes
31:52mais ça fait du bien
31:53de rappeler
31:54les éléments
31:54de liberté
31:55alors comment l'ARCEP
31:56va contribuer
31:57dans nos débats
31:57à ce que nous
31:58œuvrions à la résilience
31:59d'infrastructures
31:59de liberté
32:00vous venez de produire
32:01en mai 2025
32:02une note bien nommée
32:03la résilience
32:04des réseaux
32:04de communication
32:05électronique
32:06dans le cadre
32:07de votre cycle
32:08de réflexion
32:08réseau du futur
32:09vous y pointez
32:10trois familles de risques
32:10organisationnels
32:11technologiques
32:12et naturels
32:13dans le risque
32:14organisationnel
32:15vous pointez
32:15notamment la fragmentation
32:16des acteurs impliqués
32:17dans l'exploitation
32:18des réseaux
32:19de communication
32:19électronique
32:20du point de vue
32:21de l'ARCEP
32:21cela a un impact
32:22sur la cybersécurité
32:23c'est une question
32:24et comment travaillez-vous
32:25ces sujets
32:25par ailleurs
32:27compte tenu de l'émergence
32:28de nouveaux acteurs
32:28impliqués dans l'exploitation
32:29d'infrastructures
32:30de communication
32:30électronique
32:31je pense au TOWARCO
32:32au fournisseur d'offres
32:32telco cloud
32:33vous préconisez
32:34une revue des obligations
32:35de l'ensemble
32:35des acteurs impliqués
32:36qui permettrait
32:37de s'assurer
32:38que tous disposent
32:39d'obligations appropriées
32:40et proportionnées
32:41au regard de l'objectif
32:41de sécurisation
32:42et de résidence
32:43le cas échéant
32:44d'adapter ou préciser
32:45les règles
32:45de votre point de vue
32:46il y aurait des trous
32:47dans la raquette
32:48dans le PGL
32:48pour s'assurer
32:49que tous les opérateurs
32:50auraient bien
32:51les mêmes obligations
32:52puisque vous pourriez
32:53bienvenue le préciser
32:55enfin vous
32:56pour les risques technologiques
32:57vous soulignez
32:57la virtualisation
32:58et programmation
33:00et logiciels
33:00des réseaux
33:01à l'origine
33:01d'une mutation profonde
33:02des architectures opérateurs
33:04c'est un point de vue pertinent
33:05nous parlons y compris
33:06dans ce projet
33:06de loi d'infrastructure
33:08vous semblez inciter
33:08sur la virtualisation
33:10propre à ces nouveaux réseaux
33:11plus précisément
33:13cette ouverture
33:13permet à des tiers
33:14sociétés de services
33:15fournisseurs d'applications
33:16clients industriels
33:18verticaux
33:19et MVNO
33:20d'instancier
33:21et d'orchestrer eux-mêmes
33:21des services virtualisés
33:22elle implique donc
33:23que de nouveaux acteurs
33:24auront accès
33:25à certaines données
33:25et fonctions liées
33:26à l'exploitation de réseaux
33:27notamment celles
33:28de configuration
33:29et de souscription
33:29ce qui relève
33:30du suivi de performance
33:31de la supervision
33:32et de la maintenance
33:32du réseau
33:34qui devrait a priori
33:35rester sous le contrôle
33:36exclusif
33:36de l'opérateur des réseaux
33:37du point de vue de la RCEP
33:38y a-t-il des évolutions
33:39législatives nécessaires
33:41y compris
33:41dans le renforcement
33:43de vos propres compétences
33:44enfin pour les risques naturels
33:46j'ai lu avec intérêt
33:46vos paroles sur l'organisation
33:48les moyens mis en oeuvre
33:49et les retours
33:49d'expérience
33:50pour la gestion de crise
33:51vous citez France Stratégie
33:53dans sa note d'analyse
33:54risque climatique
33:55réseau et interdépendance
33:57le temps d'agir
33:58en insistant
33:59je vous cite
34:00les réseaux d'électricité
34:01de transport routier
34:01ferroviaire
34:02et télécommunication
34:03sont associés
34:03en fonctionnement normal
34:05comme en temps de crise
34:06par de nombreux liens
34:06de dépendance physique
34:07ou découlant des relations
34:09entre les acteurs
34:10je finirai ma liste de questions
34:12par celle-ci
34:12l'ARCEP
34:13a-t-elle des recommandations
34:14sur cette gestion de crise
34:15et plus spécifiquement
34:16l'interpendance
34:17l'interpendance
34:18des réseaux électriques
34:20et de télécommunications
34:21je vous remercie
34:22merci monsieur le rapporteur général
34:24je vous propose
34:25de prendre les questions
34:26du rapporteur général
34:26puis ensuite
34:27on ouvrira les questions
34:28aux députés présents
34:29parce que la liste
34:30est assez conséquente
34:31merci monsieur le président
34:37monsieur le rapporteur général
34:39j'ai commencé en fait
34:43directement sur le projet
34:44de loi préliminaire
34:45en vous faisant une synthèse
34:47de ce qui était
34:48dans notre avis
34:49au gouvernement
34:51mais je voudrais
34:54à la fois rappeler
34:55le rôle de l'ARCEP
34:56nous sommes un régulateur économique
34:58qui intervenons
34:59exantés sur les marchés
35:00alors qu'est-ce que ça veut dire
35:02un régulateur économique
35:03c'est on surveille un marché
35:05et on voit
35:06si ce marché
35:07a des dysfonctionnements
35:08en matière de concurrence
35:10ou en matière de
35:12réponse à des intérêts généraux
35:16de respect d'intérêts généraux
35:18que nous ont confié la loi
35:20en matière de compétences
35:22et que ne respecteraient pas
35:23naturellement les acteurs privés
35:25à partir de ça
35:26on met des obligations
35:28aux opérateurs
35:28de façon très encadrée
35:31finalement
35:31pour respecter
35:33des obligations
35:34d'intérêt général
35:36l'aménagement du territoire
35:37la concurrence
35:38l'innovation
35:42enfin
35:43tous ces sujets-là
35:45et pour faire en sorte
35:46en fait
35:47que les acteurs privés
35:48répondent à ces enjeux
35:51au-delà même
35:52de leur intérêt privé
35:53qui est
35:55comme chaque entreprise
35:57de faire du profit
35:58quand je dis ça
36:00quand je regarde
36:01les enjeux de sécurité
36:03et de cybersécurité
36:04c'est des enjeux
36:06qui sont de la responsabilité
36:07du gouvernement
36:08et pas de l'ARCEP
36:09dans la répartition
36:11des rôles
36:11que nous pouvons avoir
36:12entre services de l'État
36:14pour autant
36:15excusez-moi
36:26l'importance que prennent
36:28les réseaux
36:29l'importance que prend
36:30la connectivité Internet
36:31dans notre vie sociale
36:33dans notre vie économique
36:35est toujours plus importante
36:36et nous avons voulu
36:39en fait
36:39mettre ce sujet
36:40sur la table
36:41en tant qu'expert
36:42des télécoms
36:44dans le cadre
36:45de nos travaux
36:46réseau du futur
36:47qui est un comité
36:49qui prend des sujets
36:51de façon prospective
36:52et qui les mène
36:54qui les porte
36:55dans le débat public
36:56donc là
36:57on est dans notre rôle
36:58non pas directement
36:59de régulateur économique
37:00mais dans notre rôle
37:01d'expert
37:02au service du débat public
37:03c'est dans ce cadre là
37:05qu'a été fait
37:07la note résilience
37:08et dans la suite
37:10de la publication
37:11de cette note
37:12nous avons organisé
37:13un webinaire
37:14avec le gouvernement
37:16avec la direction générale
37:18des entreprises
37:19à destination
37:20des collectivités
37:21pour réfléchir
37:22ensemble
37:23aux actions
37:24à mettre en oeuvre
37:25pour la résilience
37:28c'est aussi
37:29dans
37:29je dirais
37:31dans ce cadre là
37:31qu'on peut
37:32s'intéresser
37:33à des sujets
37:33de cybersécurité
37:35puisque
37:35c'est absolument
37:36indispensable
37:37en fait
37:37que dans la résilience
37:38il y a une partie
37:39qui concerne la cybersécurité
37:40le fait que les réseaux
37:42ne tombent pas
37:42suite à des attaques
37:43des attaques
37:46informatiques
37:47mais encore une fois
37:49c'est le rôle
37:51de
37:52de faire respecter
37:55et de s'intéresser
37:57aux enjeux
37:57de cybersécurité
37:58et plus le rôle
37:59du gouvernement
38:00que l'ARCEP
38:02concernant la virtualisation
38:05des réseaux
38:06c'est un bon point
38:07on a soulevé
38:07cet enjeu
38:08les réseaux
38:09progressivement
38:10intègrent
38:11beaucoup de prix
38:13de logiciels
38:13des fournisseurs
38:15différents
38:15et ça amène
38:16de nouvelles
38:17vulnérabilités
38:18par rapport
38:19aux architectures
38:21antérieures
38:21et nous alertons
38:24en fait
38:24là aussi
38:25les gens
38:26qui vont travailler
38:27sur
38:27l'application
38:29de la mise
38:30en application
38:31de Nice 2
38:32mais aussi
38:33directement
38:33les opérateurs
38:34sur un travail
38:36fin
38:36en matière
38:37de détection
38:38des nouvelles
38:39fragilités
38:40dans les réseaux
38:41ce que je vous propose
38:51c'est de passer
38:52aux questions
38:52des collègues
38:53s'ils en ont
38:53en commençant
38:54par une question
38:54que je vais vous poser
38:56lors d'une audition
38:57précédente
38:58avec un nombre
38:59de personnes
39:00qui étaient
39:00notamment représentants
39:01du secteur
39:02des télécommunications
39:03ils nous ont fait part
39:04d'une demande
39:05de modification
39:06ou en tout cas
39:07d'éclaircissement
39:08sur la partie
39:09DORA
39:09puisque dans DORA
39:11les entités
39:12qui sont soumises
39:13à DORA
39:14ont la possibilité
39:15de diligenter
39:15des audits
39:16auprès de leurs
39:17fournisseurs critiques
39:17et un certain nombre
39:18d'opérateurs
39:19de télécommunications
39:20sont des fournisseurs
39:21de critiques
39:22pour ces entités
39:25soumises à DORA
39:25et donc ils nous disent
39:27qu'ils voudraient
39:27deux limitations
39:28la première
39:29c'est que les audits
39:30concernant
39:31les systèmes d'information
39:32soient limités
39:33à la partie critique
39:34de leur système
39:35d'information
39:36pas sur la totalité
39:37de leur système
39:37d'information
39:37est-ce que vous partagez
39:39cette demande
39:39et la deuxième demande
39:41c'est la possibilité
39:41pour ces entités
39:43de pouvoir avoir
39:44un mécanisme
39:45de refus
39:48de l'auditeur
39:49non pas
39:50pour la question
39:51de l'audit
39:51mais parce que
39:52l'auditeur
39:52pourrait être
39:53d'une nationalité
39:54étrangère
39:55et donc du coup
39:55qu'il pourrait y avoir
39:56des informations
39:57importantes ou critiques
39:59sensibles
39:59économiquement
40:00stratégiques
40:02qui pourraient
40:03du coup
40:04être utilisées
40:05par ces cabinets
40:05donc est-ce que vous partagez
40:07cette analyse
40:07et je laisse
40:08s'il n'y a pas de questions
40:10je vous laisse y répondre
40:11et puis on verra
40:12si les collègues
40:13veulent en poser ensuite
40:14Merci monsieur le président
40:16sur la première question
40:19qui est de limiter
40:21les audits
40:23au seul essai
40:24des infrastructures
40:25critiques
40:26en fait
40:26ça me paraît
40:30assez naturel
40:30en fait
40:31pourquoi
40:32les acteurs
40:34soumis
40:35à DORA
40:36auraient besoin
40:36d'avoir accès
40:37aux services clients
40:39aux services de facturation
40:40si c'est suffisamment étanche
40:44aux acteurs
40:45en fait
40:46aux opérateurs
40:49de communication
40:50de prouver
40:51l'étanchéité
40:52suffisante
40:53de leur système
40:53d'information
40:54mais sinon
40:55ça paraît
40:55assez logique
40:56que c'est plutôt
40:57les systèmes
41:00d'information
41:00qui sont
41:01qui pilotent
41:02les coeurs de réseau
41:03et qui pilotent
41:03les équipements
41:04de communication
41:05qui rendent le service
41:06plus que les systèmes
41:08d'information
41:08qui soient des systèmes
41:09ressources
41:11qui ne seraient pas utiles
41:12au fonctionnement
41:12même du réseau
41:13mais encore une fois
41:15je pense que
41:16le mieux placé
41:18pour répondre
41:18à ce sujet
41:19c'est sans doute
41:20l'Annecy
41:21à la fois
41:21d'un point de vue technique
41:22là peut-être
41:23qu'Olivier
41:23est plus technicien
41:24que moi
41:25mais il faut rentrer
41:28dans la technique
41:28pour pouvoir répondre
41:29à cette question
41:30de façon précise
41:31et là moi je vous dis
41:32je pense que ça me paraît
41:34d'être bon ton
41:35après c'est à l'Annecy
41:36de regarder
41:37ce sujet là
41:38sur le deuxième
41:40refus de l'auditeur
41:41pour des raisons
41:41de nationalité
41:45ou des raisons
41:45qui seraient justifiées
41:47il faut peut-être
41:50donner la possibilité
41:53à un tiers
41:54d'être capable
41:55de prononcer un refus
41:56mais l'entreprise
41:58qui est auditée
41:59elle est forcément
42:00jugée partie
42:00donc vous trouverez
42:03la façon de bien
42:04rédiger ce dispositif
42:06pour l'équilibrer
42:07pour ne pas passer
42:09du tout au tout
42:09il est sûr
42:14qu'il faut aussi
42:20protéger les auteurs
42:21qui sont audités
42:21de risques d'espionnage
42:24ou autres risques
42:24bien évidemment
42:25ou de risques concurrentiels
42:27donc il faut que
42:28les auditeurs
42:29qui soient missionnés
42:30chez eux
42:31respectent un certain
42:32certains critères
42:36de déontologie
42:37et de respect
42:38et ça il faut
42:39l'équilibrer
42:40avec une capacité
42:41d'avoir quelqu'un extérieur
42:42qui puisse vérifier ça
42:43voilà
42:43je
42:44voilà ce que
42:47j'ai à dire
42:48mais encore une fois
42:49là c'est loin
42:49des compétences
42:50de l'ARCEP
42:50c'est ma réaction
42:51par rapport à votre question
42:52j'oublie la question
42:54d'Eric Bottorel
42:56sur le trou
42:57dans la raquette
42:58et je ne sais pas
42:59si tu te souviens
43:00de ce dispositif
43:02Olivier
43:02mais je te donne la parole
43:03non mais sur cette question
43:08je crois que ce que
43:09nous on pointait
43:10principalement dans la note
43:11que vous avez citée
43:12c'était la modification
43:14disons de l'organisation
43:15du secteur
43:15où on est passé
43:16de disons
43:18d'un secteur
43:19avec quelques opérateurs
43:20nationaux
43:20avec la fibre
43:21avec un découpage
43:23de responsabilités
43:24entre opérateurs
43:24d'infrastructures
43:26opérateurs commerciaux
43:28des fonds d'infra
43:29et donc
43:30de façon générale
43:31on était plutôt
43:32sur la mise en oeuvre
43:33d'un dispositif
43:34pour le mettre en oeuvre
43:35de façon pertinente
43:36il faut
43:37disons bien avoir
43:38en tête cette organisation
43:39que ce soit
43:40pour choisir
43:42les opérateurs
43:42d'importance vitale
43:43ou pour définir
43:45des obligations
43:46un peu plus générales
43:48dans Nice
43:49pour nous
43:49il n'y a pas de trou
43:50dans la raquette
43:50dans les champs
43:52des opérateurs
43:52d'importance vitale
43:53pour les raisons
43:54que la présidente
43:55exprime en introduction
43:56on n'a pas la connaissance
43:58exactement des choix
43:58mais il y a eu
43:59des bouleversements
44:00dans l'organisation
44:01du secteur
44:02qu'il faut prendre en compte
44:03dans la désignation
44:04des opérateurs
44:06les plus sensibles
44:06c'était plus dans ce champ
44:09de la mise en oeuvre
44:09le cadre
44:10il paraît quand même
44:11très complet
44:12pour ce qui concerne
44:13les opérateurs
44:14de communication électronique
44:15merci beaucoup
44:17monsieur Thibault
44:18oui
44:19une question
44:20merci beaucoup
44:20pour ces éléments
44:21mais très très rapide
44:22effectivement
44:23par rapport
44:24à la problématique
44:25de la résignance
44:26des infrastructures
44:27qui est importante
44:28et notamment
44:28des opérateurs
44:29comment vous évaluez
44:31le risque
44:31du fait
44:32aujourd'hui
44:32au niveau européen
44:33nous ne sommes pas
44:34forcément
44:34très producteurs
44:37de matériel
44:37d'infrastructures
44:38et que potentiellement
44:40ces systèmes
44:40d'infrastructures
44:41utilisés par des opérateurs
44:43peuvent avoir un risque
44:46je ne dirais pas
44:47de cheval de troie
44:48mais comment vous appréhendez
44:50cette problématique
44:51effectivement
44:51du fait qu'on a
44:52des exigences
44:53qui sont tout à fait
44:55qui sont normales
44:56nous donnons
44:57des exigences
44:58nous soumettons
44:59des exigences
44:59aux opérateurs
45:00mais eux-mêmes
45:01du fait
45:02du peu de choix
45:03des fois
45:03en termes de diversification
45:05de matériel
45:06se mettent pas eux-mêmes
45:07aussi au risque
45:08et on n'a pas
45:09un cheval de troie
45:09dans le dispositif
45:10merci beaucoup
45:11monsieur le rapporteur général
45:12vous aviez une question
45:13subsidiaire
45:14oui je ne pouvais pas
45:16ne pas la poser
45:16mais vous auriez plus
45:17tout à fait la poser
45:17monsieur le président
45:18parce que nous sommes là
45:19avec la présidente de l'ARCEP
45:20on sait que
45:21les échanges d'informations
45:22et de courriers
45:23reposent sur un principe
45:25en matière de confiance
45:25qui est le secret
45:26des correspondances
45:26nous avions eu à
45:27y faire évoluer notre droit
45:29d'ailleurs
45:29parce qu'une partie
45:30de notre droit
45:30sur les télécommunications
45:31reposait sur ces secrets
45:33de correspondance
45:33quand il a fallu rénover
45:34le texte autour
45:35de l'émergence
45:36de la 5G
45:37et donc assez naturellement
45:38je vous pose la question
45:39madame la présidente
45:40vous n'ignorez pas
45:40que dans ce texte
45:41une disposition particulière
45:42a été ajoutée
45:44par le Sénat
45:44en matière de protection
45:46du chiffrement
45:47ma question est simple
45:49qu'en pensez-vous
45:49trouvez-vous ça utile
45:51ou nécessaire ?
45:53je vous laisse répondre
45:56madame la présidente
45:58merci monsieur le président
46:00sur
46:01pour
46:02monsieur le député
46:04sur la
46:07résilience
46:08et les infrastructures
46:09sur le fait
46:09qu'il peut y avoir
46:10des équipements
46:11qui sont d'origine étrangère
46:13hors Europe
46:13en fait
46:13qui sont utilisés
46:15sur nos réseaux
46:17je dirais
46:17c'est le cas
46:18de toute notre économie
46:19alors c'est des infrastructures
46:20critiques
46:21mais ça concerne
46:22beaucoup plus largement
46:24en fait
46:24que les opérateurs
46:25de communication
46:25c'est-à-dire
46:26le champ est très large
46:27sur Nice 2
46:29aussi
46:29et c'est évident
46:31que je souscris
46:32à l'idée
46:32de développer
46:33en fait
46:33la possibilité
46:35d'avoir
46:35pour les offres
46:36les plus
46:36les services
46:38les plus critiques
46:39des offres souveraines
46:40bien évidemment
46:43mais là
46:44c'est là encore une fois
46:45alors
46:45ce que l'ARCEP
46:46peut apporter
46:47dans ce domaine là
46:47c'est assez intéressant
46:48quand même
46:48dans le domaine
46:50notamment des offres cloud
46:51c'est que
46:52nous notre rôle
46:53c'est d'ouvrir
46:53les marchés numériques
46:54et donc
46:55quand on ouvre
46:56des marchés numériques
46:56on permet
46:57à des acteurs émergents
46:58d'apparaître
47:00sur un marché
47:00mais ça suffit pas
47:02ça suffit pas
47:03il faut aussi
47:04qu'il y ait
47:06en face
47:06des acteurs
47:07qui offrent
47:08des solutions
47:09de niveau
47:12et de qualité
47:12suffisantes
47:14pour les entreprises
47:15mais là
47:16je pourrais en parler
47:17encore plus longtemps
47:19et dans une autre
47:19casquette
47:20que l'ARCEP
47:20mais je pense aussi
47:21qu'il y a intérêt
47:23au niveau européen
47:24à donner accès
47:25au marché public
47:27à ces entreprises
47:28souveraines
47:28pourquoi
47:30parce que
47:31le marché
47:32compétitif
47:33c'est-à-dire
47:33le marché
47:34de l'entreprise
47:34c'est toujours
47:35plus difficile
47:35quelquefois
47:36de tester
47:36des solutions
47:38les marchés
47:39sont en concurrence
47:40les entreprises
47:42ont peur
47:42de part de marché
47:44si elles n'ont pas
47:46le modèle
47:47le plus poussé
47:48dans les marchés
47:49publics
47:49on n'a pas
47:49le même niveau
47:50de compétition
47:51on a un niveau
47:52d'exigence
47:53de qualité de service
47:54bien sûr
47:54vis-à-vis des citoyens
47:55mais il n'y a pas forcément
47:57tout à fait la même urgence
47:58bon ça c'est un domaine
47:59qui me passionne
48:00mais oui vous avez raison
48:01il y a quand même
48:02rappeler que
48:03dans le domaine
48:03des télécoms
48:04on a deux équipementiers
48:06qui sont européens
48:07Ericsson et Nokia
48:08et donc
48:09par rapport à d'autres domaines
48:10on a une certaine
48:13protection
48:13d'ailleurs
48:13qui a été mise en place
48:14c'est une loi
48:15qui devait s'appeler
48:16la loi Baudorel
48:17à l'époque
48:17et pour justement
48:21tenir compte
48:22que certains
48:22équipementiers réseau
48:23étrangers
48:24enfin
48:26en tout cas
48:27que tous les équipementiers
48:28qui étaient utilisés
48:29par nos opérateurs
48:30de télécommunications
48:31devaient respecter
48:32certaines règles
48:32et devaient
48:33être habilités
48:34par l'ANSI
48:35donc on ne va pas dire
48:36qu'ils sont étrangers
48:37parce que ce n'était pas
48:37l'objectif de la loi Baudorel
48:39mais
48:40voilà
48:41sur le secret
48:41des correspondances
48:42oui
48:43et nous sommes très attachés
48:44au chiffrement aussi
48:46on l'a
48:47on l'a redit
48:48régulièrement
48:49et
48:50voilà
48:51après c'est à la
48:52représentation nationale
48:55de décider
48:56l'issue
48:57de cela
48:57bien sûr
48:58nous sommes
49:01enfin
49:01nous pensons en fait
49:02que
49:02l'absence de chiffrement
49:04ou l'accès aux clés
49:05de chiffrement
49:07nécessite en fait
49:08créer des fragilités
49:10en fait
49:10dans le système
49:11de protection
49:12des correspondances
49:13merci Madame la Présidente
49:15pas plus de questions
49:16je vous remercie
49:18de votre présence
49:19et je lève la séance
49:20merci beaucoup
49:43merci à tous
49:45et je vous remercie
49:46de votre présence
49:47de votre présence
49:48merci à tous

Recommandations

1:04:41
À suivre
Renforcement de la cybersécurité : Représentants de la CNRLT, du GIC et de la DGSI - Mercredi 9 juillet 2025
Assemblée nationale
hier
2:03:15
Renforcement de la cybersécurité : Table ronde réunissant des experts de la cybersécurité - Jeudi 5 juin 2025
Assemblée nationale
06/06/2025
58:28
Renforcement de la cybersécurité : Représentants de la Commission nationale de l’informatique et des libertés (CNIL) - Mardi 10 juin 2025
Assemblée nationale
11/06/2025
2:32:03
Renforcement de la cybersécurité : Tables rondes réunissant des entreprises de cyberdéfense et des entreprises de télécommunications - Mercredi 4 juin 2025
Assemblée nationale
05/06/2025
42:03
Webinaire DCANT #9 – Cybermalveillance.gouv.fr : comment informer et sensibiliser à la cybersécurité
DINUM
29/10/2018
5:00
Troisième forum mondial sur la cybersécurité
euronews (en français)
09/11/2023
1:25:26
Renforcement de la cybersécurité : Table ronde réunissant les autorités de régulation financière - Mardi 3 juin 2025
Assemblée nationale
04/06/2025
2:26:32
Renforcement de la cybersécurité : Table ronde d’associations d’élus - Jeudi 15 mai 2025
Assemblée nationale
18/05/2025
1:25:39
DébatDoc - Rainbow Warrior : une encombrante affaire d'Etat
LCP Assemblée nationale
hier
59:52
Ça vous regarde - Incendies : comment s'adapter au péril ?
LCP Assemblée nationale
hier
1:26:21
La séance est ouverte ! - "Loi agricole "Duplomb" : dernier vote à l'Assemblée - 08/07/2025
LCP Assemblée nationale
hier
1:28:24
100% Sénat - Programmation nationale de l'énergie : adoption du texte au Sénat
Public Sénat
hier
1:28:14
100% Sénat - Aide à mourir : retour sur les expériences étrangères
Public Sénat
avant-hier
1:27:10
100% Sénat - 1er mai : le Sénat autorise les boulangers et les fleuristes à ouvrir
Public Sénat
avant-hier
5:16:53
1ère séance : Refondation de Mayotte (projets de loi ordinaire et organique) (CMP) ; Création d'un statut de l'élu local (suite) - Mercredi 9 juillet 2025
Assemblée nationale
hier
3:58:29
Commission de la défense : M. Jérôme Bellanger, chef d’état-major de l’armée de l’Air et de l’Espace ; M. Pierre Schill, chef d’état-major de l’armée de Terre - Mercredi 9 juillet 2025
Assemblée nationale
hier
2:45:51
Commission des affaires étrangères : Délégation de la commission au Liban, du 2 au 5 juin 2025 ; Délégation de la commission à Nice à l’occasion de la troisième conférence des Nations unies sur l’océan - Mercredi 9 juillet 2025
Assemblée nationale
hier
1:55:38
Commission des affaires économiques : Mme Anne-Isabelle Etienvre, proposée aux fonctions d’administratrice générale du Commissariat à l'énergie atomique et aux énergies alternatives - Mercredi 9 juillet 2025
Assemblée nationale
hier
3:02:56
Commission des finances : M. Alain Le Grix de la Salle, président d’ArcelorMittal France ; M. Bruno Bonnell, secrétaire général pour l'investissement - Mercredi 9 juillet 2025
Assemblée nationale
hier
3:18:29
Accès à une justice adaptée aux besoins ultramarins : Auditions diverses - Mercredi 9 juillet 2025
Assemblée nationale
hier
2:48:31
2ème séance : Création d’un statut de l’élu local (suite) - Mercredi 9 juillet 2025
Assemblée nationale
hier
1:57:12
Commission des affaires économiques : Mme Juliette Méadel, ministre déléguée auprès du ministre de l’aménagement du territoire et de la décentralisation, chargée de la ville - Mercredi 9 juillet 2025
Assemblée nationale
hier
2:54:28
Commission des affaires sociales : Égalité des droits et des chances, participation et citoyenneté des personnes handicapées ; Création d’une allocation sociale unique - Mercredi 9 juillet 2025
Assemblée nationale
hier
2:38:56
Commission des lois : Évaluation de la création des cours criminelles départementales ; Coût de l’immigration - Mercredi 9 juillet 2025
Assemblée nationale
hier
2:36:33
Commission des affaires sociales : M. Thomas Fatôme, directeur général de la Caisse nationale de l’assurance maladie - Mercredi 9 juillet 2025
Assemblée nationale
hier