Intervention de Alexandra Valetta Ardisson

Mon collègue Bastien Lachaud et moi nous partagerons les réponses à ces questions, et même si certaines sont délicates, il y a une grande convergence de nos vues depuis le début de nos travaux.

Monsieur Chalumeau, s'agissant des moyens consacrés à la cyberdéfense dans la programmation militaire 2019‒2025, il faut reconnaître que l'investissement consenti est très important et en adéquation avec les besoins et les demandes des acteurs concernés. L'ANSSI, pour sa part, méritera une attention particulière. S'agissant de la coordination des efforts accomplis dans les champs civil et militaire, celle-ci est déjà à l'oeuvre et mérite d'être approfondie.

Monsieur Michel-Kleisbauer, interdire l'accès de certains acteurs aux technologies permettant de mener des cyberattaques est par nature difficile, car il s'agit de technologies duales, avec lesquelles n'importe qui peut se muer en cyber-attaquant. Notre rapport présente des développements plus précis, mais pour faire simple, il faut certainement affermir autant que possible le cadre légal applicable et les contrôles. C'est pour cela que nous plaidons pour l'adoption d'une loi sur le cyber.

Quant au forum sur la cybersécurité dont j'ai prononcé le discours de clôture hier, il m'a donné l'occasion d'intéressantes discussions avec tous types d'acteurs. De tels événements ont l'avantage de favoriser une large prise de conscience des enjeux de cybersécurité, qui concernent la société dans son ensemble. Je ne doute absolument pas du respect du secret de la défense nationale par les autorités présentes. Enfin, ce type de rassemblement permet aux civils et aux militaires de se parler, ce qui est bénéfique.

Concernant l'Europe, notre collègue Bastien Lachaud va vous répondre en détail. Je tiens simplement à dire que je ne suis pas opposée par principe à des initiatives européennes, et j'estime que l'échelle européenne est bien sûr pertinente. Mais on sait comment l'Union européenne fonctionne : le consensus est la règle en de telles matières, mais il est souvent lent à mûrir, et rien ne garantit même qu'il soit possible. Le risque est donc qu'un texte européen sur la cybersécurité ne devienne l'arlésienne. Mieux vaudrait pour la France coopérer avec un nombre plus restreint d'États plus allants que les autres en la matière.

Monsieur Blanchet, l'idée d'une loi sur le cyber, qui formalise une doctrine française sur le cyber, nous paraît excellente. Cela répond d'ailleurs à une demande unanimement exprimée par les responsables que nous avons entendus. C'est pourquoi cette idée constitue la première de nos recommandations. Notre commission mériterait d'ailleurs à mes yeux d'être saisie au fond d'un tel texte, mais ce n'est pas à moi d'en décider !

Quant à l'idée de créer un enseignement sur le cyber dans la scolarité, qui tient particulièrement à coeur à Bastien Lachaud, elle vise à la fois à généraliser des pratiques de cyber-hygiène et à susciter des vocations pour les métiers du cyber.

Recruter des spécialistes du cyber est une nécessité, et les conserver, les fidéliser, en est une autre. Or les rémunérations offertes pour ce type de compétences dans le secteur public sont souvent insuffisantes pour cela. L'ANSSI ou nos armées investissent dans la formation de jeunes spécialistes du cyber, mais les industriels leur offrent au bout de quelques années des postes deux à trois fois plus rémunérateurs. Faut-il le regretter ? Peut-être pas, lorsque ces spécialistes sont recrutés par des industriels français ; mais c'est assurément plus regrettable lorsqu'ils quittent le service public pour de grands industriels américains du numérique. Le problème est aujourd'hui réel, et les autorités publiques en sont réduites à d'invraisemblables acrobaties administratives pour conserver leurs spécialistes du cyber. Notre rapport formule plusieurs propositions d'ajustements statutaires visant à mieux rémunérer les agents de l'État, par exemple au moyen de primes ou de contrats de droit privé.

Concernant les opérateurs d'importance vitale, ce sont les opérateurs les plus protégés du pays, dont les dispositifs de sécurité font l'objet d'audits réguliers. Mais le risque zéro n'existe pas. Plusieurs de nos préconisations visent à réduire encore les risques, par exemple dans le cadre d'une loi sur le cyber, du développement de clouds souverains, ou de coopérations plus étroites entre le secteur public et le privé.

Madame Guerel, vous nous interrogiez sur la cybersécurité des avions. Nous avons entendu des représentants de l'industrie aéronautique et il en ressort que, ce secteur, comme d'autres, subit de multiples attaques. Mais ne soyons pas alarmistes : il y a différents degrés d'attaques et différents types de cibles. Des avions ont pu subir, par exemple, des attaques portant sur les systèmes de gestion des vidéos. Quant aux attaques portant sur les systèmes vitaux, les opérateurs concernés sont capables de les traiter.