Intervention de Rémi Cardon

La lecture du guide en douze points que l'ANSSI, le GIP ACYMA et la DGE ont élaboré en commun à destination des PME-TPE me conduit d'abord à soulever plusieurs questions.

Comment, en premier lieu, devient-on un opérateur de services essentiels (OSE) ? La réponse ne m'apparaît pas clairement.

Un chapitre du guide suggère par ailleurs à l'entreprise de dresser un bilan, de mener un inventaire de son matériel informatique, de ses logiciels, ainsi que des données et traitements qui forment son patrimoine informationnel. Qui donc s'en charge ? S'agira-t-il d'un prestataire privé ?

En matière d'information et de formation, si le dispositif cybermalveillance.gouv.fr représente un indéniable progrès, une organisation plus territorialisée, impliquant les CCI, fait toujours défaut. Localement, déjà confrontées aux effets économiques de la crise sanitaire, les CCI ne paraissent pas s'être suffisamment emparées du sujet de la cybersécurité. Peut-être gagnerions-nous ici à mêler également les régions à la réflexion, car les compétences en matière de formation professionnelle et de développement économique leur reviennent.

S'agissant ensuite du problème des rançons et du rôle des assureurs, comment sensibilisera-t-on concrètement les entreprises ?

Quant au dispositif pénal, quelle place l'ANSSI y prend-elle ? Nous cernons encore mal la répartition des rôles respectifs, entre les investigateurs techniques et les acteurs de l'enquête judiciaire. La multiplicité des intervenants, l'enchevêtrement des procédures, ne facilitent guère la tâche des entreprises victimes, une fois leur plainte déposée.