Intervention de Guillaume Poupard

L'idée consiste à céder aux régions le rôle d'installer les CERT. Nous savons qu'un modèle unique ne conviendra pas partout. Leur structure administrative et juridique peut revêtir des formes variées, allant du groupement d'intérêt économique (GIE) à l'association, en passant par des entités purement privées. Les mieux placés pour choisir la réponse adaptée aux enjeux de leurs territoires, les acteurs locaux, au premier rang desquels les régions, en décideront en concertation les uns avec les autres. Les services de l'État prendront part à la décision.

Les CERT régionaux viseront d'abord à partager la connaissance de la menace. Avec le GIP ACYMA, l'ANSSI pourra ici jouer un rôle d'animation. Dans leur ressort, il leur incombera ensuite d'aider les victimes d'attaques informatiques.

Israël nous apporte un exemple en la matière. Un seul numéro de téléphone, le 119, y centralise tout problème de sécurité informatique, qu'il concerne une entreprise d'envergure nationale ou un simple particulier. L'interlocuteur qui y répond réoriente ensuite les appels vers les opérateurs appropriés.

Dès que les CERT régionaux seront opérationnels, nous gagnerons à nous inspirer de ce modèle. Un numéro unique présenterait l'immense avantage de la clarté et de la simplicité. Sous l'angle de l'orientation des victimes, le schéma apparaît assez nettement en France : l'ACYMA s'occupe des particuliers et des PME, l'ANSSI des entreprises d'enjeu national ; les CERT régionaux s'adresseront, eux, plutôt aux ETI.