Intervention de Franck Poupard

Non, nous ne sommes pas consultés pour ce type de contrats. Nous travaillons à un « clausier » générique avec la direction des achats de l'État (DAE), pour aider les acheteurs publics à intégrer des règles de cybersécurité dans leurs marchés, mais cela ne résout pas les problèmes que vous mentionnez. Cela ne fait pas partie de nos missions, et nous aurions du mal à apporter des solutions simples à ce paradoxe que vous décrivez.

À l'Anssi, nous réfléchissons en termes d'analyse de risques : que voulons-nous protéger, contre quels types de menaces ? Si la menace est constituée par un pays tiers et adversaire, il convient de s'assurer que les données sont protégées dans des systèmes d'information au bon niveau. En revanche, si elle est représentée par nos alliés américains, je ne vois pas comment nous protègerons nos données si nous les confions à un prestataire américain.

Lorsque l'on travaille avec un consultant, il convient de s'assurer qu'il n'emporte pas de données sensibles avec lui lorsqu'il se rend sur place. Il nous arrive ainsi de fouiller certains prestataires à l'entrée et surtout à la sortie, dans les secteurs les plus critiques. Il est vrai que cela demande un effort considérable.