Intervention de Olivier Cadic

Le tableau ne retrace que les incidents ayant rendu nécessaire l'intervention de l'ANSSI. La très grande majorité des attaques sont prises en compte au niveau des DSI ministérielles. Il fait ressortir des incidents majeurs sur une échelle de 3 (mineurs, notables et majeurs) en fonction des moyens d'expertise et de la durée d'engagement requis pour leur traitement. Nous nous informerons plus avant sur cette échelle de risque.

Souvent les dommages résultent d'une faille non traitée parce que la DSI n'avait pas les ressources humaines disponibles immédiatement comme nous l'avons vu dans la cyberattaque contre l'application Ariane. Petite cause, grand effet. Nous avons constaté que le ministère des finances avait été attaqué cet été sur la plateforme de déclarations de l'impôt sur le revenu. L'ANSSI nous a assuré que la DSI du ministère avait traité cette attaque avec beaucoup de compétences. Il n'empêche que cela montre la vulnérabilité croissante de nos administrations. Il faut abaisser les coûts de fonctionnement, réduire les effectifs, donc on digitalise, mais fait-on toujours l'effort de sécurité nécessaire ? Avec quel budget ? Combien est mis pour la sécurité dans les nouvelles applications ?

Il sera intéressant de suivre l'évolution de ce tableau dans le temps, car il illustre bien le niveau des menaces. Mais il faudra aller au-delà, de temps à autres, pour apprécier les dommages et voir comment ont été gérés les incidents.

J'ajoute qu'il y a un effort de formation à produire car souvent les responsables « métiers » n'ont pas cet objectif en priorité. Un directeur d'hôpital responsable aujourd'hui doit apprécier les risques de cybersécurité au même niveau que les risques sanitaires dans son établissement. Aujourd'hui, on a besoin de l'informatique pour faire fonctionner un hôpital.