Intervention de Éric Bothorel

Avant d'entrer dans le détail au travers du rapport qui m'a été confié, je voudrais revenir sur plusieurs points qui ont été évoqués. Le directeur de l'ANSSI voit la cybersécurité comme « positive » ou « heureuse ». Il me semble que dans les expressions évoquées jusqu'ici on retrouve un élément important, à savoir la nécessité de considérer la cybersécurité comme un vecteur potentiel de développement économique, au travers la capacité à faire émerger des standards. L'exemple le plus concret est celui du règlement général de protection des données (RGPD), qui est un modèle qui s'exporte. Il est nécessaire qu'au sein de l'Union européenne puissent émerger des standards ambitieux, à la hauteur de l'état de la menace. Ces standards doivent être reconnus à l'échelle internationale et exportables.

Il est parfois difficile de faire adhérer nos concitoyens, en particulier les PME, et à leur faire prendre conscience des risques auxquels ils s'exposent, avec des outils de plus en plus interconnectés et immatériels. Il y a trente ans, nous étions majoritairement dans un système « hardware » et la garantie de sécurité d'un produit reposait avant tout sur la chaîne d'approvisionnement, la fabrication des composants et le jeu de puces. Aujourd'hui, nous sommes passés à un système beaucoup plus immatériel et il a été rappelé combien de millions de lignes de codes il existe dans une automobile. C'est vrai pour presque l'ensemble des systèmes. C'est ce à quoi l'Assemblée nationale a été sensibilisée dans le cadre de l'examen du texte de loi sur la 5G dont je fus le rapporteur. La 5G constitue une avancée technologique qui repose aussi sur le fait que les infrastructures sont de plus en plus immatérielles et totalement évolutives, avec des mises à jour permanentes.

C'est dire si la capacité qu'ont les agences, et notamment la plus belle d'entre elles, l'ANSSI (pardon pour les autres !), dépend des crédits votés par le législateur. Notre responsabilité n'est donc pas seulement de commenter ou de subir l'actualité, mais aussi de prendre des initiatives et d'allouer des moyens aux agences à qui l'on confie ce genre de missions. Nous avons aussi su largement déléguer à l'ANSSI, confiants dans ses compétences, pour lui permettre de faire sur la 5G ce qu'elle a fait déjà fait sur la 3G et la 4G.

Il faut prendre conscience des difficultés posées par les menaces hybrides, que l'on va rencontrer de plus en plus. Ces menaces sont appelées « hybrides » parce qu'elles émanent d'États ou de proto-États et conjuguent les nouvelles technologies et des moyens conventionnels. En Arabie Saoudite, une simple attaque par drone sur quelques puits pétrolifères a causé de grands désordres. Une autre problématique nouvelle : la sécurisation des processus électoraux dans un contexte de fake news, où le vraisemblable devient le vrai et où les régimes politiques et les opinions publiques sont susceptibles d'être manipulés.

Ainsi l'ENISA a-t-elle un rôle indispensable d'animation auprès de l'ensemble des agences nationales, dans une logique à la fois offensive (se prémunir contre les risques futurs) et défensive (se prémunir contre les risques actuels). Il faut toujours penser au volet anticipation et au volet protection.

Je termine en disant qu'il est fondamental que, tout en recherchant un bon niveau de sécurité, nous traduisions nos efforts au niveau économique. La cybersécurité en tant que domaine de recherche est un relais de croissance pour toutes les entreprises européennes qui travaillent dans ce secteur, et qui sont parmi les meilleures au monde. Il faudra pouvoir construire des champions industriels de la cybersécurité européenne.