Intervention de Mickaël Vallet

Mon collègue vous a exposé le contexte macro, je vais me concentrer pour ma part sur la menace du quotidien envers les citoyens, les entreprises et les collectivités que couvre aussi le programme 129. Le grand public est concerné au premier chef par des attaques et si nous faisons de la plateforme cybermalveillance.gouv.fr un baromètre nous constatons :

- qu'elle a enregistré 2,5 millions de visiteurs en 2021, soit 101 % de plus en un an ;

- que les grandes menaces demeurent l'hameçonnage, le piratage de compte et le rançongiciel. Ca ça ne change pas.

Mais ce qui évolue, d'une année l'autre, ce sont nos points de vigilance. Nous tenons ici à mettre en lumière la nécessité absolue de faire monter en gamme la sécurité informatique et la résilience dans les systèmes de santé d'une part et à prendre conscience des faiblesses identifiées dans les Outre-mer d'autre part.

En effet lorsque le système informatique de l'hôpital de Corbeil-Essonnes se trouve paralysé par une attaque au rançongiciel perpétré par l'organisation criminelle russophone Lockbit réclamant 10 millions d'euros, le véritable préjudice ne s'évalue pas par le coût d'une rançon qu'un établissement hospitalier public est dans l'incapacité de payer, mais, dans un premier temps, par la paralysie de tout l'hôpital, puis par le reversement des patients vers d'autres établissements, avec le risque de perte de chance thérapeutique que cela implique. Et ce risque devient majeur dans les outre-mer, sans possibilité de transfert des patients. Imaginez une neutralisation du centre hospitalier dans une collectivité d'outre-mer, sans possibilité de redéploiement des lits.

Nous alertons donc sur la nécessité de pérenniser et améliorer les nouveaux outils mis en oeuvre par le Plan France Relance 2021-2022 :

- Tout d'abord la fin du plan de relance pose en particulier la question de la pérennité des centres de réponse à incidents (CSIRT) régionaux et sectoriels. À cet égard, il faut signaler que seule 12 régions métropolitaines sur 13 se sont inscrites dans le programme, à l'exception de la région Auvergne-Rhône-Alpes ;

- Ensuite se pose la question de la montée en puissance effective des centres de réponses sectoriels, d'abord pour les Outre-mer nous l'avons évoqué et en métropole. Des CSIRT sectoriels dans le secteur social et dans celui de la santé doivent impérativement, sous quelque forme que ce soit, veiller à ce que les établissements de santé mettent en oeuvre les moyens labellisés nécessaires de sécurité informatiques. Il s'agit de missions prioritaires pour lesquelles les moyens du plan de relance non encore engagés doivent être fléchés.

- Se pose aussi, au-delà des moyens budgétaires, des questions de définition de la responsabilité. C'est un sujet récurrent dans les auditions. Qui est responsable dans un hôpital ou une collectivité si les moyens préventifs n'ont pas été mis en oeuvre en prévision d'une cyber-attaque ? Pour le moindre bâtiment public il y a des commissions de sécurité. Nous devrons y passer sur l'aspect cyber et c'est une question pour le législateur.

- Enfin, il est proposé que la plateforme numérique cybermalveillance.gouv.fr se transforme en un véritable centre d'appel apte à traiter les incidents de premier niveau et à rediriger les cas les plus graves à des prestataires locaux ou à l'ANSSI. Pour filer la métaphore sur les commissions de sécurité encadrées par nos SDIS, quand il y a le feu, on appelle le 18. Les SDIS disposent de la compétence en matière de traitement des appels. Celle-ci peut-être expertisée au même titre que d'autres dispositifs.

Pour résumé, nous approuvons l'augmentation des moyens dans ce programme non sans pointer nos urgences et nos failles à combler.