Intervention de Michel Cadic

Nous manquons en effet d'enquêteurs.

J'insisterai sur la nécessaire prise de conscience de la menace. La faiblesse des moyens mis en oeuvre pour nous en protéger n'est pas sans lien avec les limites actuelles de la culture étatique en matière de cybersécurité.

Le ministère de l'Intérieur possède une connaissance que je qualifierai de classique de la menace en général. Il la tient notamment des risques d'origine sanitaire, accidentelle ou climatique. Pour y répondre, il dispose de plans que le secrétariat général de la défense et de la sécurité nationale (SGDSN) a préparés. Leur mise en application revient localement aux préfets qui, dans chaque préfecture, bénéficient d'une division dédiée. À mon arrivée au ministère de l'Intérieur, j'ai constaté que rien de tel n'existait pour les aspects de cybersécurité.

Or, nous savons que le risque cyber ne peut que, tôt ou tard, se concrétiser. Contrairement à d'autres types de risques, sa réalisation ne tient nullement à un aléa. Seuls le moment exact de sa survenue et la méthode employée demeurent incertains.

Nous devons donc nous y préparer. Il appartient aux pouvoirs publics ainsi qu'aux divers élus de mobiliser leurs interlocuteurs sur cette problématique. Quiconque aujourd'hui utilise un outil numérique, s'il en tire un indéniable avantage au service des citoyens ou de son efficacité économique, augmente en contrepartie sa vulnérabilité aux attaques. Nous l'avons observé l'an passé, lors du recours massif au télétravail.

À l'instar du ministère des Armées qui, avec la Direction du renseignement et de la sécurité de la défense (DRSD), s'est saisi de longue date de la question, toute entreprise, toute institution, doit prendre conscience qu'elle détient en propre des informations qu'il importe qu'elle protège par des moyens adéquats.

De ce point de vue, les Anglo-Saxons ont adopté une approche de la menace bien plus rigoureuse que la nôtre. En France, les acteurs s'en remettent trop souvent à l'État et à la réglementation. Se conformer au règlement général sur la protection des données (RGPD) ne suffit pas.

Répétons que la réalisation du risque, qui laisse place au volet judiciaire, équivaut à un échec. C'est pourquoi nous insistons tant sur la prévention.

Celle-ci est assurément à géométrie variable. Elle dépend des données à protéger. Nous ne pouvons lui associer une réponse universelle, ni envisager une quelconque forme de contrôle technique. La pertinence d'un tel contrôle pâtirait doublement d'une forme de standardisation peu conforme à l'unicité des situations, ainsi que du décalage entre une analyse figée dans le temps et l'évolution constante de la menace.

Il nous faut procurer à l'ensemble des acteurs économiques et institutionnels, en fonction de leurs besoins et de leurs moyens, l'accès à des solutions techniques adaptées.

Ici, la difficulté tient à ce que les principales entreprises françaises spécialisées dans la cybersécurité, si elles savent s'adresser à de grands comptes, n'entretiennent guère de réseaux qui leur donneraient accès à des marchés plus localisés, mais en forte croissance. Tout un nouveau modèle de distribution de leurs services est à concevoir.

S'agissant des rançons et des assurances, mon avis demeure partagé. Pour une entreprise, en cas d'attaque informatique, le dépôt d'une plainte ne rétablit nullement sa situation. La question de la continuité de son activité se pose alors avec acuité. Avec l'existence d'un plan de remédiation, le bénéfice d'une assurance contribue à la reprise ou à la poursuite de l'activité, voire à la survie même de l'entreprise.

Par comparaison, dans les années 1970, lorsque les assureurs ont accepté de couvrir le risque de vol dans les entreprises ou chez les particuliers, ils ont assorti la garantie qu'ils accordaient à la définition de conditions précises. Le contrat d'assurance prévoyait ainsi, à la charge de l'assuré, l'obligation de prendre des mesures de protection.

De notre point de vue, une démarche de cette nature concourrait à élever le niveau de prise de conscience du risque. Aujourd'hui, le GIP ACYMA noue des partenariats avec des banques et des assureurs avec l'objectif que ces derniers diffusent ses messages auprès de leurs clients.

M. Serge Babary quitte la séance. Mme Martine Berthet, vice-présidente de la Délégation aux entreprises, lui succède.