Intervention de Christian Poyau

Il faut avoir conscience que l'on vit une guerre sur internet, qui concerne aussi bien les États que les entreprises. Les attaques sont très souvent coordonnées depuis l'étranger. La dimension est donc à la fois économique, politique et géostratégique. En dépit des risques, il faut absolument rester positif et ne pas effrayer les entreprises et les consommateurs.

Le Medef est très actif sur ce sujet depuis des années. Nous participons à la plupart des initiatives qui ont été citées. Nous avons aussi créé un outil d'autodiagnostic :cybersecurité.medef.com.

La protection absolue n'existe pas, comme l'ont montré les attaques aux États-Unis contre l'Agence nationale de la sécurité américaine (NSA). L'important est de se protéger et de savoir comment gérer une crise. En amont, il faut sensibiliser les collaborateurs de manière très concrète pour qu'ils ne laissent pas laisser traîner des mots de passe, n'ouvrent pas des pièces jointes suspectes, mettent à jour les logiciels, etc. Il faut inlassablement informer. Ce travail permanent de prévention est nécessaire.

L'action de l'Anssi contre la cybermalveillance est très pertinente, mais davantage destinée aux grandes entreprises. Le réseau autour de cybermalveillance.gouv.fr offre des réponses très concrètes, très simples. Des experts labellisés aident les entreprises en cas d'attaque. Mais ce réseau n'est pas assez connu.

Ces sujets sont très techniques. Il faut renforcer les moyens juridiques de l'État, car on ne compte que deux magistrats spécialisés en France. L'action doit aussi s'inscrire dans une vision géostratégique, car les attaques viennent souvent de l'étranger.

Il faut aussi renforcer la formation, mais la France n'est pas le seul pays où ce problème se pose, à l'exception peut-être d'Israël. Cela ne signifie pas forcément que chacun doit acquérir un mastère, mais il faut diffuser les bonnes pratiques sur l'usage du numérique, développer la formation continue. La France est plutôt bonne en formation initiale de spécialistes, mais elle ne sait pas retenir les talents à cause des charges et du coût du travail.

Il faut aussi travailler avec les assurances, pour mettre en place une mutualisation et éviter que les primes ne soient trop élevées.

Le Medef propose aussi un crédit d'impôt pour aider les entreprises à financer leur transformation numérique.

Pour limiter l'impact des cyberattaques, on peut aider les entreprises à placer leurs données sur le cloud, où elles seront mieux protégées que si elles étaient conservées sur les ordinateurs de l'entreprise. Cela suppose la mise en place d'un système de cloud souverain pour les données stratégiques et d'un système de confiance pour les entreprises, ce qui pose la question de la souveraineté numérique vis-à-vis des grands acteurs numériques. Il faut que la puissance publique contribue au développement d'un cloud de confiance.

En tout cas, si la cybersécurité constitue un enjeu important, nous devons néanmoins conserver un langage positif pour aider les entreprises.