Intervention de Serge Babary

Nous consacrons cette matinée à une première table ronde consacrée à la cybersécurité des entreprises en recevant, pour la Chambre de commerce et d'industrie (CCI) Paris-Ile-de-France, M. Joël Thiery, accompagné de M. Philippe Clerc, conseiller expert pour les études et la prospective ; pour la Confédération des petites et moyennes entreprises (CPME), M. Marc Bothorel, membre de la commission Numérique, et chef d'entreprise, accompagné de Mme Delphine Borne, juriste au sein de la direction des affaires économiques, juridiques et fiscales ; pour la Fédération du e-commerce et de la vente à distance (Fevad) - qui a rédigé un remarquable livre blanc en 2016 : Cybersécurité et e-commerce, maîtriser les risques, sensibiliser sur les enjeux - Mme Sabah Doudou, directrice conseil, accompagnée de M. Bertrand Pineau, responsable Veille et innovation ; pour le Mouvement des entreprises de France (Medef), M. Christian Poyau, coprésident de la commission Mutations technologiques & impacts sociétaux et président-directeur général de Micropole, accompagné de M. Guillaume Adam, directeur Affaires européennes et numérique de la FIEEC (Fédération des industries électriques, électroniques et de communication) ; et pour le Mouvement des entreprises de taille intermédiaire (METI), M. Rémi Bottin, directeur Synergies et développement du Groupe Bessé, et M. Jean-Charles Duquesne, directeur général de la Normandise, accompagnés de Mme Florence Naillat, adjointe au délégué général.

Le confinement a accéléré la numérisation de l'économie, y compris celle des TPE-PME qui étaient largement en retard, comme les travaux récents de la Délégation aux entreprises du Sénat l'avaient souligné. Ce n'est pas la première fois que le Parlement s'intéresse à la sécurité numérique des entreprises. L'Office parlementaire d'évaluation des choix scientifiques et technologiques (Opecst) y avait consacré une étude approfondie en février 2015.

Il nous a semblé vital de faire un point actualisé de la situation, en le focalisant tout particulièrement sur les TPE, PME et ETI. En effet, autant la Commission nationale de l'informatique et des libertés (CNIL) protège l'usager et le citoyen, autant l'Agence nationale de sécurité des systèmes d'information (Anssi) protège les opérateurs d'importance vitale, essentiellement les grandes entreprises et des administrations, autant les entreprises plus modestes doivent se débrouiller seules. Tout au plus l'État aide-t-il les PME et start-up qui participent à l'écosystème de la cybersécurité à se structurer, notamment avec le Campus Cyber en cours de constitution.

Au-delà du constat « clinique » des coûts et risques de la cybersécurité pour l'entreprise, que nos rapporteurs, MM. Sébastien Meurant et Rémi Cardon, ont réalisé lors de leurs auditions précédentes, nous souhaitons connaître votre appréciation de la situation autour de plusieurs enjeux.

La cybersécurité des petites entreprises devrait-elle faire l'objet d'obligations directes, pour se doter de standards minimaux de protection, ou d'obligations indirectes, via, par exemple, l'instauration d'un système assurantiel de bonus-malus, variant en fonction du degré de protection dont l'entreprise s'est dotée ? La cybercriminalité est-elle suffisamment bien traitée par les pouvoirs publics en termes de sécurité et de traitement judiciaire ?

L'expertise de la cybersécurité peut-elle être mutualisée, compte tenu de la pénurie de ressources humaines, sachant que la culture de la cybersécurité doit être implantée dans chaque entreprise et même faire partie de la formation de base de tout salarié ? Un rôle d'alerte est-il en train de se construire autour des commissaires aux comptes et experts comptables ? Quelle est l'influence des grandes entreprises sur leurs PME sous-traitantes dans l'augmentation du niveau de cybersécurité de leur chaîne d'approvisionnement et de leurs fournisseurs ?

Pour accroître la cybersécurité, faut-il, et si oui, comment, simplifier l'offre de solutions, rétablir l'égalité des relations contractuelles dans le cloud au profit des PME, les encourager à témoigner pour partager leurs douloureuses expériences ?

Cette table ronde vous donne l'occasion d'avancer vos solutions pour une cybersécurité renforcée des TPE, PME et ETI. Je rappelle que le Sénat, sensibilisé à vos inquiétudes, a proposé, pour le moment en vain, un crédit d'impôt favorisant la numérisation et la cybersécurité des PME. Il a aussi proposé la création d'un « cyberscore » des solutions numériques, pour les plateformes numériques destinées au grand public, avec une proposition de loi qu'il a adoptée à l'unanimité le 22 octobre 2020.