Intégrer le risque cyber au document unique d'évaluation des risques professionnels

Question de Mme PAOLI-GAGIN Vanina (Aube - Les Indépendants) publiée le 17/07/2025

Mme Vanina Paoli-Gagin attire l'attention de Mme la ministre du travail, de la santé, des solidarités et des familles sur la nécessité d'intégrer le risque cyber au document unique d'évaluation des risques professionnels (DUERP), un outil fondamental de prévention des risques professionnels.

Elle souligne le fait que son périmètre doit évoluer pour refléter les nouvelles menaces qui pèsent sur l'intégrité des salariés. Cybersurveillance le reconnaît, le risque cyber représente un risque psycho-social important et un poids à vivre au quotidien pour les collaborateurs d'une entreprise, qui nécessite un travail de prévention spécifique

En 2024, le baromètre Allianz sur les risques pour les entreprises positionne, pour la troisième année consécutive, les incidents cyber en tête des risques mondiaux avec 36 % des réponses. C'est d'ailleurs le principal risque identifié dans 17 pays majeurs, dont la France. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) et l'ensemble des experts du secteur s'accordent désormais sur un constat sans appel : la question n'est plus de savoir si une entreprise sera victime d'une cyberattaque, mais quand elle le sera. Cette nouvelle réalité impose un changement de paradigme, passant d'une approche uniquement préventive à une stratégie globale intégrant la préparation, la gestion et la remédiation des incidents cyber.

Dans ce contexte et en cohérence avec la dynamique qu'impulsera au niveau des organisations la future loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité (en cours d'examen à l'Assemblée Nationale), il est primordial d'accompagner via leurs outils du quotidien, salariés et entreprises, dans l'appréhension et la prévention des risques cyber. L'intégration du risque Cyber au DUERP permettrait ainsi de soutenir la transformation numérique des entreprises en tenant compte des nouveaux risques associés, de renforcer la sensibilisation et la formation des salariés aux enjeux de cybersécurité et de garantir une approche préventive et systématique du risque cyber au sein des organisations. L'intégration de ce risque nouveau ne doit pas impliquer une contrainte supplémentaire pour les entreprises et doit s'intégrer dans une révision globale des risques.

Aussi, elle souhaite connaître la position de Mme la Ministre sur une proposition d'évolution du DUERP, qui s'inscrirait pleinement dans la stratégie nationale de renforcement de la cybersécurité et de la souveraineté numérique.

Publiée dans le JO Sénat du 17/07/2025 - page 4111

Transmise au Ministère du travail et des solidarités

Réponse du Ministère du travail et des solidarités publiée le 22/01/2026

La prise en compte des risques de cyberattaque est devenue essentielle pour les entreprises, car ces menaces peuvent compromettre non seulement la sécurité des données, mais aussi le bon fonctionnement des activités et la protection des personnes. Certaines cyberattaques peuvent entraîner des conséquences directes sur la sécurité physique des salariés, par exemple lorsqu'un piratage perturbe les systèmes de contrôle d'accès aux locaux, expose des machines industrielles à des dysfonctionnements ou encore compromet les dispositifs de sécurité incendie. Anticiper ces risques, les évaluer et mettre en place des mesures dédiées permet de réduire les impacts humains, juridiques et financiers, assurant ainsi la pérennité de l'entreprise et la sécurité des salariés. L'évaluation des risques professionnels, réalisée par l'employeur, doit couvrir l'ensemble des risques pour la sécurité et la santé physique et mentale auxquels les salariés sont exposés dans l'entreprise. Le code du travail n'a cependant pas vocation à les citer tous de manière spécifique, car cette obligation doit être déclinée dans chaque entreprise et une telle liste ne serait pas exhaustive. Par ailleurs, l'intégration de mesures de cybersécurité sur les machines et les équipements de travail s'inscrit pleinement dans le cadre réglementaire européen, notamment avec la directive NIS2 (Network and Information Security), qui renforce les obligations des entreprises en matière de gestion des risques cyber et de protection des infrastructures critiques. Le règlement "machines" (UE) n° 2023/1230 impose également aux fabricants de concevoir des machines sûres, ce qui implique désormais de prendre en compte les risques liés à la cybersécurité. Ces textes obligent ainsi les entreprises à anticiper et maîtriser les risques cyber liés aux équipements de travail, sous peine de sanctions en cas de non-conformité. Ils encouragent également l'adoption de bonnes pratiques et standards européens pour garantir la sécurité fonctionnelle et numérique des machines, protégeant ainsi les collaborateurs, les biens et la continuité de l'activité. Enfin, l'Etat met à disposition des citoyens et des entreprises des ressources leur permettant de s'informer pour faire face à ces risques, par exemple, via la mise en place du portail de la transformation numérique des entreprises Protéger mon entreprise - francenum.gouv.fr, le site internet d'assistance aux victimes de cybermalveillances et de prévention en cybersécurité https://www.cybermalveillance.gouv.fr/, ou encore la plateforme pour faciliter l'accès aux services et ressources de l'agence nationale de la sécurité des systèmes d'information et de ses partenaires MesServicesCyber.

Publiée dans le JO Sénat du 22/01/2026 - page 336