La sensibilisation des acheteurs publics sur les questions de cybersécurité passe-t-elle par une modification de la réglementation ? Le gouvernement en doute. Il s’est d’ailleurs récemment prononcé en défaveur d’une mesure dans ce sens. C’était lors de l’examen, au Sénat, d’une proposition de loi dont Laurent Lafon (Union centriste, Val-de-Marne) est à l’origine.
Le texte initial, déposé le 15 juillet dernier, comprenait deux articles.
Le premier consistait à ajouter un alinéa au Code de la consommation. Objectif : obliger les opérateurs de plates-formes numériques à fournir un « diagnostic de cybersécurité » concernant les données hébergées par eux-mêmes ou par leurs prestataires. Les indicateurs devaient être définis par décret, tout comme la liste des organismes habilités à effectuer ces diagnostics.
L’article 2 visait à intégrer, dans le Code de la commande publique, les « impératifs de cybersécurité ».
Les dépositaires évoquaient alors l’idée d’une présentation sur le modèle du diagnostic de performance énergétique, destiné à décrire l’impact environnemental des logements. Ils suggéraient de prendre pour base les CSPN (certificats de sécurité de premier niveau) que délivre l’ANSSI. Et de les rendre obligatoires, avec un protocole plus léger.
Le 13 octobre, la commission des affaires économiques avait adopté un amendement de réécriture, déposé la veille. Avec lui, il ne s’agissait plus d’insérer un simple alinéa dans le Code de la consommation, mais un article. Destiné notamment à :
Le 22 octobre, lors de l’examen en séance publique, les sénateurs ont adopté quatre amendements. Le gouvernement était à l’origine de deux d’entre eux, respectivement destinés à :
Le gouvernement s’en est remis à la sagesse du Sénat pour le troisième amendement, qui a rétabli la notion de « fournisseurs de services de communication ». Il a en revanche donné un avis défavorable sur le quatrième. Lequel a deux objectifs. D’un côté, rendre obligatoire la présentation du diagnostic sous la forme d’un « système d’information coloriel ». De l’autre, lui donner de la visibilité en imposant son affichage sur les pages d’authentification aux services concernés.
Le texte est désormais dans les mains de l’Assemblée nationale. Et plus précisément de sa commission des affaires économiques.
Illustration © hywards – stock.adobe.com
Le contenu du forum officiel de la communauté OpenAI donne des indications sur les points…
Dans une interview accordée à Silicon, Emmanuelle Olivié-Paul, présidente-fondatrice du cabinet de market intelligence AdVaes,…
Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…
Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…
Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…
Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…