Responsabilité personnelle des DSI publics + Plan de Reprise National Cyber

un client SSR cyberattaqué et entièrement crypté, remis en 48 h par sa SSII. Trop de DSI laxistes ne prennent pas la mesure du risque.

• Transposition urgente et durcie de NIS 2 : adoption en 100 jours du projet de loi « Résilience ». Élargissement périmètre : tous hôpitaux, toutes collectivités >5 000 hab, tous ministères et opérateurs publics.
• Nouveau délit pénal — « Mise en danger numérique par défaut de préparation » spécifique DSI publics. Conditions cumulatives : cyberattaque réussie avec préjudice avéré (interruption service public, perte données, exposition citoyens, perte >100 k€) + défaut caractérisé (absence PRA testé, absence PCA, sauvegardes non conformes 3-2-1, vulnérabilités critiques non corrigées >30 jours, absence formation). Peines : amende personnelle 10 k€-100 k€, interdiction exercer DSI public 3-10 ans, prison jusqu'à 3 ans en cas de mise en danger des personnes. Inscription casier B2.
• Garanties (devise) : responsabilité engagée uniquement si défaut caractérisé. Expertise contradictoire obligatoire (DSI + ANSSI + expert indépendant). DSI ayant fait remonter besoins budgétaires refusés peut faire valoir cette circonstance.
• Référentiel national de sécurité minimale opposable : PRA testé annuellement, PCA validé annuellement, sauvegardes 3-2-1, audit ANSSI annuel, formation continue (40 h/an DSI), patch management (correctifs critiques <30 jours, KEV <7 jours), architecture Zero Trust, EDR/XDR souverain français.
• Moyens AVANT toute sanction : pérennisation et triplement du programme CaRE : 750 M€ (2023-2027) → 2,5 Md€ sur 2027-2032. Extension aux collectivités et opérateurs publics. Institut National de Cybersécurité Publique (INCP). SOC souverain mutualisé interministériel. Réserve cyber mobilisable (50 000 cyber-réservistes M64).
• Plan de Reprise National Cyber (PRN) : cellule nationale prête à intervenir en 24 h sur tout site public attaqué.