Intervention de Louis Gautier

Entre 2023 et 2030, je veux bien débattre de la date ; nous prônons la prudence, mais cette révolution devrait en effet se produire dans les quinze ans qui viennent – ce qui, à perspective humaine, n'est rien.

Nous avons abordé dans le rapport la question des collectivités locales, Monsieur Demilly, sans entrer dans plus de détails car il faut travailler davantage en impliquant avant tout les collectivités elles-mêmes. Deux pistes s'offrent à nous : la première a consisté, depuis 2015, à créer des délégations régionales de l'ANSSI, qui sont autant de têtes de pont fournissant des contacts aux associations d'élus et aux collectivités locales. La deuxième piste est celle de la plateforme Acyma, que nous avons mise en place à l'automne dernier : elle s'adresse avant tout aux PME mais peut aussi concerner les collectivités locales, car elle vise entre autres à diffuser les bonnes pratiques, et à mettre en contact des victimes et des prestataires de services de sécurité que l'ANSSI référence, même si elle ne les agrée pas. Cette dernière action se fait à l'échelle locale : que vous soyez à Roubaix, à Cassis, à Aix, à Nîmes ou ailleurs, vous aurez la possibilité de trouver, selon votre demande, une liste des prestataires référencés et notés par les usagers – une sorte de « booking.com » de la sécurité informatique. Les collectivités locales peuvent utiliser cette plateforme même si, à l'origine, elle a plutôt été conçue pour lutter contre la cybercriminalité dans les PME.

En Europe, Madame Trisse, Guillaume Poupard et l'ANSSI comme moi-même entretenons des contacts extrêmement fréquents – au moins une fois par mois en ce qui me concerne – avec nos principaux partenaires, l'Allemagne et le Royaume-Uni notamment. Je rappelle que c'est un Français issu de l'ANSSI qui préside le conseil d'administration et le conseil exécutif de l'ENISA, l'agence européenne chargée de la sécurité des réseaux et de l'information, à travers laquelle nous nous employons à développer un champ de convergence réglementaire. Toutefois, les niveaux techniques et technologiques au sein de l'Union sont très hétérogènes : nos principaux partenaires, que j'ai cités, sont au même niveau que nous ; pour le reste, notre action consiste surtout à apporter notre aide et à favoriser les bonnes pratiques. Il va de soi que l'Union européenne doit se saisir de cette question, mais nous ne souhaitons pas l'européanisation de notre cyberprotection dans la mesure où nous avons un train d'avance – et c'est heureux –, en ce qui concerne les attaques les plus graves et les plus virulentes notamment. Cela étant, la revue stratégique préconise des coopérations : si un État européen était attaqué, l'ANSSI mettrait naturellement ses savoir-faire à sa disposition pour l'aider à résoudre le problème.

S'agissant des entreprises, Madame Gipson, j'ai déjà évoqué la plateforme Acyma. Pour élever le niveau, les normes professionnelles sont un vecteur pertinent. Prenons pour exemple l'attaque perpétrée contre Saint-Gobain, qui aurait provoqué, selon les déclarations publiques de l'entreprise, une perte de chiffre d'affaires de l'ordre de 80 millions d'euros sur son résultat d'exploitation et de 250 millions d'euros sur ses ventes. Une telle somme, que je ne commenterai pas, pèse sur un bilan et sur la cotation en bourse ! L'ANSSI ne déclare d'ailleurs jamais le nom des entreprises auxquelles elle vient en aide, afin d'éviter de les fragiliser face à la concurrence. Les entreprises elles-mêmes, en revanche, sont parfois contraintes de communiquer ces données car leurs actionnaires vont constater une perte dans le bilan. En somme, toutes les normes professionnelles qu'il faudrait mettre en oeuvre, qu'elles soient comptables, assurancielles – sur le risque cyber – ou qu'elles concernent la notation du risque cyber, notamment pour les sociétés cotées en bourse, contribueront grandement à la prise de conscience et la culture de la cybersécurité dans les entreprises.

Vous avez tout à fait raison, Monsieur Verchère : le recrutement est un point de butée pour nous tous. Nos écoles sont plutôt performantes, et nos ingénieurs et techniciens sont d'un niveau satisfaisant ; de ce fait, justement, on nous les « pique », si j'ose dire. La première concurrence se trouve donc au sein de l'État. La deuxième concurrence oppose l'État et les entreprises ; enfin, la troisième concurrence est internationale, les Américains notamment offrant des rémunérations très élevées. Nous sommes conscients qu'il est indispensable d'augmenter l'offre de formation. L'ANSSI, dont les effectifs ont augmenté de 50 personnes par an dans les années passées et de 25 aujourd'hui, parvient à gérer son recrutement parce qu'elle est attractive et s'apparente aussi pour les jeunes agents à une phase de formation et d'expérience professionnelle fortement valorisable dans la suite de leur carrière ; les mouvements de personnel sont inévitables, mais ils permettent aussi d'essaimer. Il est vrai, cependant, que nous peinons à réguler les recrutements, entre les employés que nous acceptons de laisser partir – à condition que ce soit après deux ou trois ans, et non pas seulement à l'issue de l'année initiale de formation – et ceux que nous souhaitons garder pour sédimenter de l'expérience, de la compétence et de l'encadrement. C'est un sujet majeur et difficile : en termes d'offre de formation, nous ne sommes pas à la hauteur des enjeux qui se présenteront au cours des dix prochaines années.