Intervention de Guillaume Poupard

Son effectif approche les 600 personnes. Cependant, l'agence ne peut assurer à elle seule la cybersécurité française. Le besoin croît beaucoup plus vite que nos capacités de formation. Nous n'en sommes plus à ouvrir un master en cybersécurité ; désormais, c'est au lycée, dès la classe de seconde, qu'il faut convaincre les élèves que les métiers du cyber sont passionnants.

À l'échelle européenne, le mouvement se développe. J'avais envisagé, il y a quelques années, de mettre en place un Erasmus du cyber. Former les jeunes au niveau européen aurait du sens. Il faut trouver les moyens d'assurer ce type de formation et de travailler à faire changer l'idée répandue qu'elle est essentiellement destinée au sexe masculin.

La création du Centre européen de compétences en matière de cybersécurité est une évolution importante, en matière de recherche et de développement. Il lui reviendra de coordonner les moyens de manière cohérente, en s'appuyant sur les réseaux nationaux.

En France, nous implémenterons un centre national autour d'un campus cyber qui rassemblera des chercheurs, des experts et des formateurs. Le projet est en cours.

Le dispositif de certification des opérateurs se complexifie au fur et à mesure qu'il se développe. Cette régulation est une chance pour les opérateurs désignés comme essentiels, qui seront ainsi protégés. La certification a été bien pensée dans le Cybersecurity act : elle couvre plusieurs niveaux, pas seulement les très hauts niveaux, mais aussi les niveaux moindres mais substantiels.

Certains sujets très complexes restent ouverts. La supply chain, très difficile à maîtriser, est un lieu d'entrée pour les attaques. Celle qui a eu lieu récemment aux États-Unis par le biais de logiciels fournis par SolarWinds en est la preuve. Il est très difficile de sécuriser une supply chain en remontant au-delà des acteurs terminaux.