Intervention de François Fortassin

Monsieur le président, madame la secrétaire d’État, mes chers collègues, « chômage technologique » pour Keynes, « destruction créatrice » pour Schumpeter, si les technologies porteuses de progrès rendent obsolètes certains emplois, elles permettent fort heureusement l’émergence de nouveaux métiers.

Force est de constater qu’aujourd’hui le numérique crée de la valeur et constitue un réel levier pour la croissance économique. L’importance de leur patrimoine informationnel, mais aussi de leur réputation auprès de leurs clients, implique pour les entreprises de recourir à des savoir-faire très pointus.

Dans le même temps, cependant, cet essor technologique présente des risques que grand nombre d’entreprises ne prennent pas suffisamment en compte, comme le souligne dans son rapport l’Office parlementaire d’évaluation des choix scientifiques et technologiques.

Les besoins des entreprises en matière de cybersécurité s’intensifient avec le contrôle à distance d’installations industrielles, l’avènement des réseaux intelligents ou smart grids, le recours plus fréquent à l’informatique en nuage, l’explosion de l’internet des objets. Ce sont autant d’occasions pour les cybercriminels d’exploiter les vulnérabilités des systèmes d’exploitation, des navigateurs des applications et des réseaux.

Un véritable marché noir des vulnérabilités et des failles Zero day, vendues très cher, fleurit et s’organise dans l’ombre du partage massif de données, de l’accès gratuit à l’information. Il constitue un risque aussi bien pour la protection des intérêts économiques que pour la sécurité des personnes et des biens.

Il porte atteinte à nos libertés : espionnage industriel, pillage des données personnelles des clients, usurpation d’identité, etc. C’est la raison pour laquelle la prévention doit être au centre de la stratégie des entreprises, alors que le volume des cyberattaques a été multiplié par vingt en dix ans.

Nos entreprises doivent pouvoir évoluer dans un climat de relative confiance. Alors que tout doit aller plus vite dans la course à la compétitivité, elles ont tendance à considérer les cyberattaques comme inévitables et n’y accordent pas les moyens à la hauteur des enjeux pour des raisons de coûts.

Les dirigeants ne sont pas toujours prêts à investir dans la sécurité numérique – vue comme une contrainte par les collaborateurs – et externalisent les services de maintenance.

Pourtant, l’atteinte aux systèmes informatiques perturbe le fonctionnement de l’entreprise, parfois pendant des mois, et peut affecter son intégrité même. Le coût des incidents est ainsi sous-estimé. L’OCDE, a récemment rappelé que le risque doit être appréhendé comme une problématique économique et non pas technique.

Toutefois, le changement des mentalités est en cours, comme en témoignent les initiatives du Club informatique des grandes entreprises françaises, réseau de grandes entreprises dont les recommandations sont reprises par le présent rapport, le travail de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, ou les directives nationales de sécurité applicables aux opérateurs d’importance vitale.

Nous partageons à l’évidence le constat selon lequel la maîtrise de l’outil numérique est peu satisfaisante.

Si l’éducation au numérique doit être renforcée, elle ne doit pas pour autant avoir lieu dès la maternelle, comme cela est proposé, à moins de vouloir favoriser le développement de troubles visuels précoces…

De même, l’instauration de cours de codage à l’école serait inutile, les langages évoluant à une vitesse telle que les ingénieurs doivent en permanence s’adapter à l’issue de leur formation. Et qui serait chargé de transmettre ces savoirs ? Laissons les enfants s’emparer de l’apprentissage des fondamentaux, au lieu de les noyer dans des savoirs technologiques instables et de les former aux métiers d’hier. Seules les règles de base en matière de sécurité numérique à des fins de protection des données personnelles et de la vie privée doivent être transmises.

Pour ce qui est de l’enseignement supérieur, les formations sont, certes tardivement, en train de s’adapter.

Les formations initiale et continue des fonctionnaires et des magistrats au risque numérique sont plus pertinentes.

Quant à la recommandation relative à la mise en place d’un « permis d’aptitude à utiliser le numérique », elle ne se justifie pas, en raison de son coût et de l’impossibilité de garantir la qualité de la formation. Le numérique étant bien plus dynamique que le code de la route, ce permis serait rapidement périmé. La sensibilisation des utilisateurs à la culture du risque numérique relève davantage des administrateurs systèmes et réseaux, avec l’appui des dirigeants des entreprises.

Par ailleurs, le rapport évoque la mise en place d’un cadre européen favorable à la sécurisation des données.

La proposition d’un Google français ou européen a un train de retard et ignore l’existence du moteur de recherche français Qwant, qui ne trace pas les utilisateurs et qui va être lourdement financé par la Banque européenne d’investissement. Encore faudrait-il que les utilisateurs se l’approprient…

La construction d’un droit européen et national adapté face à l’emprise d’une loi américaine extraterritoriale est essentielle. Toutefois, beaucoup reste à faire pour parvenir à réformer en tenant compte de ce qui est techniquement et politiquement possible.

En tant que législateurs, nous aurions aimé avoir plus de précisions sur les questions juridiques. Cependant, nous saluons la qualité du travail de l’OPECST, qui nourrira notre réflexion lors de l’examen prochain par le Parlement des projets de loi sur le numérique.

En conclusion, le cas évoqué par Bruno Sido de cet adolescent américain qui a perturbé tout un établissement hospitalier montre que la cybercriminalité connaît un développement extrêmement rapide et n’est pas près de s’effacer. Nous devons donc être extrêmement vigilants. Dans ce domaine comme dans bien d’autres, le mieux pourrait être l’ennemi du bien !