Intervention de Alexandra Valetta Ardisson

Au-delà de la question du stockage, il est également nécessaire de disposer d'une certaine maîtrise de l'ensemble de l'écosystème numérique. Cela passe notamment par l'existence de solutions techniques alternatives, nationales et européennes, dans le domaine des logiciels et des composants, y compris grand public : moteurs de recherche, systèmes d'exploitation, logiciels de bureautique. Car, à l'heure actuelle, ces secteurs restent dominés par des monopoles ou quasi-monopoles non-européens, qu'ils soient américains ou chinois.

De telles solutions permettraient de réduire notre exposition au risque numérique. En effet, certains logiciels et composants peuvent parfaitement être piégés « à la source », intentionnellement ou non, et constituer des backdoors – ou portes dérobées –, qui sont autant de vulnérabilités potentielles. Par ailleurs, ces outils participeraient au renforcement de la souveraineté industrielle européenne, voire nationale. À cet égard, à côté de « l'Europe du cloud », « l'Europe du logiciel » pourrait constituer un projet concret et fédérateur.

Deuxième thème : le renforcement de la résilience de l'ensemble des acteurs. Si certaines administrations sont particulièrement conscientes des enjeux et des risques, par nécessité comme par « culture », tel n'est pas forcément le cas de toutes. Or, un attaquant ciblera plus volontiers les maillons les plus faibles d'une chaîne si cela lui permet d'atteindre, par répercussion, les plus forts.

C'est pourquoi il semble indispensable :

– de durcir les dispositifs de prévention et de protection de l'ensemble des autorités publiques nationales ;

– et de diffuser plus largement une culture et une conscience du « risque cyber » au sein des administrations, par des actions de formation, de pédagogie et de prévention.

Le même constat et les mêmes conclusions s'imposent s'agissant des collectivités territoriales. Cela vaut notamment pour les collectivités les moins importantes. Un premier travail pourrait être mené avec leurs associations représentatives : Régions de France, Assemblée des départements de France, Association des maires de France, Association des petites villes de France.

Les acteurs économiques, en particulier les PME et les ETI, doivent également être mieux accompagnés. Cela passe d'abord par une évolution des mentalités. La protection contre le risque cyber ne doit pas être vue uniquement comme une contrainte et une charge financière. En réalité, elle contribue à la performance économique globale. Elle doit être considérée comme un investissement et une assurance, qui permettent notamment de prévenir le « risque de réputation » en cas d'attaque réussie. Le degré de cyber–protection constitue en définitive un avantage compétitif pour une entreprise, sur son marché national comme à l'export. Une telle prise de conscience est d'autant plus importante que l'usine 4.0 intégrera massivement les technologies numériques dans ses processus de fabrication et sera, par nature, à risque.

Afin de répondre à un certain nombre de ces enjeux, notamment s'agissant des petites collectivités et des PME, nous pensons que le réseau régional de l'ANSSI devrait être renforcé. Actuellement, un délégué de l'ANSSI doit être présent dans chacune des 13 régions métropolitaines. Cela semble insuffisant au regard des enjeux. Par ailleurs, ce réseau n'existe que dans l'hexagone, aucun délégué ne représentant l'ANSSI dans les outre-mer. Il est nécessaire, à terme, d'y remédier.

Enfin, les citoyens eux-mêmes doivent évidemment prendre davantage conscience du risque cyber. Chacun, à son niveau, doit être acteur de sa propre cybersécurité et participer ainsi à la résilience globale. C'est pourquoi il importe d'éveiller tous les citoyens à la « cyber-hygiène ». Nous suggérons plusieurs pistes de réflexion dans ce domaine. Nous préconisons ainsi la création d'une nouvelle filière menant à l'obtention d'un CAPES d'enseignement numérique, dont les titulaires formeraient les élèves par le biais d'enseignements spécifiques. Cet enseignement à part entière comprendrait, outre celui de la matière informatique, un éveil à la « cyber-hygiène » ainsi que l'enseignement des langages informatiques et de la programmation.

Au-delà de son bien-fondé intrinsèque, cet enseignement aurait l'avantage de développer des compétences transverses dont, par exemple, la capacité d'analyse, la logique et la résolution de problèmes. Il permettrait également de démystifier la matière et d'attirer plus de filles vers les métiers du numérique, qui demeurent aujourd'hui majoritairement masculins.

Des initiatives sont également envisageables à destination du citoyen consommateur et utilisateur de technologie. Alors que les enfants disposent de leur premier téléphone mobile à l'âge de 11 ans en moyenne, nous pensons que l'emballage et la notice d'utilisation de chaque produit technologique et numérique grand public devraient être complétés par une liste des principaux risques et mises en garde associés à leur usage.

Notre troisième série de recommandations vise à consolider une base industrielle et technologique de défense cyber. Car le cyber irrigue évidemment le champ de la conception, de la production et de la maintenance des systèmes d'armes et équipements qui ont vocation à être opérés par les armées. Cet aspect doit être pris en compte nativement dans les programmes d'armement, à plus forte raison dans le contexte de la numérisation croissante de l'environnement de combat. En effet, comme l'ont rappelé nos collègues Becht et Gassilloud, la numérisation des armées accroît mécaniquement leur surface d'exposition au risque cyber.

Nous estimons tout d'abord essentiel d'inciter à la « cyber–solidarité » au sein de la BITD. Celle-ci doit se matérialiser par un soutien plus prononcé des grands groupes à leurs chaînes de sous-traitants. Il peut prendre la forme d'actions de sensibilisation, mais également d'un soutien technique et financier pour assurer la « montée en gamme » de l'ensemble de la chaîne de la BITD. Des négociations et des accords pourraient être conclus avec les groupements industriels. L'État aurait un rôle moteur, voire contraignant, à jouer dans les groupes et entreprises au sein desquels il détient des participations, parfois majoritaires.

Une manière, plus contraignante, de développer cette solidarité consisterait à établir la responsabilité du donneur d'ordres sur l'ensemble de sa chaîne de sous-traitants en matière cyber.