Le député Philippe Latombe interpelle, dans une lettre, la ministre du Numérique Anne Le Hénaff sur le retard du projet de loi cybersécurité. Voté en commission il y a quatre mois, le texte reste bloqué, ce qui pose problème.

Un député habitué des questions sur les nouvelles technologies alerte le gouvernement sur le retard critique du projet de loi cybersécurité à l'Assemblée. © Alexandre Boero
Un député habitué des questions sur les nouvelles technologies alerte le gouvernement sur le retard critique du projet de loi cybersécurité à l'Assemblée. © Alexandre Boero

Le projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité, pourtant voté en commission en septembre dernier, dort toujours dans les tiroirs de l'Assemblée nationale. Philippe Latombe, député de Vendée, commence à perdre patience. Il faut dire qu'entre la multiplication des cyberattaques d'ampleur et le risque de sanctions européennes en raison de la transposition en attente de règlements majeurs, le temps presse.

Un calendrier législatif à contretemps de l'urgence cyber

Nous sommes le 14 janvier 2026, et quatre mois après l'adoption en commission, toujours rien à l'horizon. Entre-temps, le paysage numérique français a encaissé cyberattaque sur cyberattaque. Pour Philippe Latombe, ce décalage devient « particulièrement préoccupant », surtout au vu des enjeux. Car le texte ne transpose pas seulement la directive de cybersécurité NIS2, mais embarque aussi les directives REC (résilience des entités critiques) et DORA (Digital Operational Resilience Act), qui forment le triptyque européen censé muscler la résilience numérique nationale.

Ces trois directives toucheront autour de 15 000 organisations, qui devront s'y conformer. Parmi elles, on retrouve les hôpitaux, les mairies, et des entreprises stratégiques. Le problème, c'est que sans loi votée, il est compliqué de s'y préparer. « Les entreprises et les collectivités attendent depuis longtemps, s'inquiètent d'ailleurs et nous demandent de la visibilité pour pouvoir s'organiser », explique Philippe Latombe. Difficile, il est vrai, de se mettre en ordre de marche quand on ignore encore les règles du jeu.

Et puis il y a le contexte géopolitique, celui d'un monde « particulièrement éruptif, tant par la dégradation des relations transatlantiques que par la multiplication des ingérences étrangères, russes notamment ». Dans ce climat tendu, la cybersécurité n'est pas qu'un simple dossier technique, elle devient « un enjeu majeur de consolidation de nos capacités » nationales. La France ne peut plus se permettre d'être en retard, et chaque jour de flottement l'expose davantage.

Philippe Latombe. © Alexandre Boero
Philippe Latombe. © Alexandre Boero

À force d'attendre, les victimes de cyberattaques pourraient se retourner contre la France

Philippe Latombe rappelle la réalité du terrain, à savoir la multiplication des cyberattaques. France Travail a été attaqué à plusieurs reprises, « la première fois n'ayant à elle seule visiblement pas servi de leçon », juge le député. Le ministère des Sports a été compromis quelques jours avant Noël. Des hôpitaux bloqués. Même le ministère de l'Intérieur « a mis plus de trois semaines à réaliser qu'il était piraté », sans parler du couac de l'absence de double authentification. « La liste est interminable », constate l'élu, qu'il se demande s'il faut « en rire ou en pleurer ? »

Mais c'est surtout le risque juridique qui a de quoi inquiéter. Les directives européennes s'appliquent en théorie depuis 2024. Or, la France ne les a toujours pas transposées. Le scénario cauchemar pourrait être qu'une entreprise ou un hôpital, qui se fait attaquer, traîne la France en justice pour ne pas avoir mis en place le cadre légal qui l'aurait obligé à se protéger. Philippe Latombe prévient : « l'État, en cas de défaillances de certaines entités critiques, pourrait même se voir attaqué en justice pour ne pas avoir rempli son rôle de protection ». Une victime de cyberattaque pourrait ainsi « se retourner contre lui ».

Philippe Latombe pousse le raisonnement jusqu'au bout. Si l'État français ne transpose pas à temps, l'Europe peut sanctionner la France financièrement. Mais surtout, la ministre en charge du dossier deviendrait la cible toute désignée. Le député, qui lui adresse sa missive, le lui dit sans détour. « Vous pourriez même, Madame la Ministre, être de facto tenue pour responsable, au moins médiatiquement. » Le message est sans équivoque : en cas de scandale, l'attentisme aura un prix. Certes, la France n'a pas encore de budget, mais la cybersécurité de la nation est plus que jamais un intérêt vital.