Sécurité informatique des infrastructures critiques

Question de M. MAUREY Hervé (Eure - UC) publiée le 15/01/2026

Rappel de la question n°06085, publiée le 11/09/2025

M. Hervé Maurey rappelle à M. le ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargé de l'industrie les termes de sa question n° 06085 sous le titre « Sécurité informatique des infrastructures critiques », qui n'a pas obtenu de réponse à ce jour.

Publiée dans le JO Sénat du 15/01/2026 - page 122

Transmise au Ministère délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargé de l'intelligence artificielle et du numérique

Réponse du Ministère délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargé de l'intelligence artificielle et du numérique publiée le 29/01/2026

Le 19 juillet 2025, l'éditeur américain Microsoft publiait les correctifs pour la vulnérabilité de type jour-zéro affectant plusieurs offres de la solution SharePoint - outil de travail collaboratif répandu et commercialisé par l'éditeur. Ce dernier estimait alors que la vulnérabilité découverte était activement exploitée, notamment par des attaquants associés par Microsoft à la Chine. L'exploitation de vulnérabilités, en particulier sur les équipements exposés sur Internet, est aujourd'hui un des principaux vecteurs d'intrusion utilisés par les attaquants. Outre certaines menaces sophistiquées qui les identifient et les exploitent avant la publication d'un correctif, les vulnérabilités sont souvent exploitées massivement de façon opportuniste - par les cybercriminels principalement - dans un délai très court après leur publication, mettant en évidence la nécessité d'une application rapide des correctifs. Dans ce contexte, dès la découverte d'une vulnérabilité majeure comme celle ayant affecté les produits SharePoint en juillet 2025, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) entreprend des actions visant à en limiter au maximum les impacts. En premier lieu, dès qu'un correctif est disponible, elle publie et relaie une alerte de sécurité. Elle effectue des actions de scan qui permettent d'identifier des équipements vulnérables sur le périmètre français, permettant d'alerter rapidement leurs propriétaires. Sur le périmètre ministériel, elle peut diffuser une injonction contraignant l'application rapide de correctifs. Enfin, elle accompagne ou conseille les éventuelles victimes françaises : plus la réponse est rapide après l'exploitation d'une vulnérabilité, plus le risque d'une implantation de l'attaquant au-delà de l'équipement vulnérable est réduit. Par ailleurs, le cadre légal associé à la gestion des vulnérabilités a évolué. Le règlement européen dit CRA (Cyber Resilience Act) a été construit comme un pendant de la directive NIS 2 afin d'assurer une meilleure sécurité des produits et in fine d'améliorer le niveau général de sécurité de la chaîne d'approvisionnement. Il fixe des exigences de cybersécurité essentielles à respecter pour tout produit mis sur le marché européen et impose notamment aux fabricants de produits numériques l'intégration de mesures de sécurité par défaut et la fourniture de mises à jour de sécurité gratuites pendant une période minimale annoncée. Il leur impose également la gestion et la notification des vulnérabilités affectant leurs produits, venant renforcer des dispositions mises en oeuvre avec la promulgation de la Loi de programmation militaire 2024-2030, avec un périmètre matériel et temporel plus large.

Publiée dans le JO Sénat du 29/01/2026 - page 476