Sur la question de l'humain, je suis entièrement d'accord, on en a souvent parlé. La question de la sensibilisation est une nécessité, parce que l'hygiène informatique n'est pas intuitive, elle doit être expliquée. Surtout, il faut faire appel à l'intelligence : imposer des règles qui seraient mal comprises serait vraiment voué à l'échec. Il faut vraiment expliquer aux gens ce qui est dangereux, ce qu'on peut ou ne peut pas faire. Il faut les rendre véritablement acteurs, plutôt que simplement victimes de ces règles de sécurité.
La question de la formation est suivie par les instances de gouvernance au plus haut niveau. Elle est déjà incluse dans les programmes scolaires, mais elle n'est pas réellement enseignée en raison d'un problème de matière et d'enseignants. Nous avons fait la moitié du chemin, nous travaillons en ce moment, notamment avec le laboratoire d'innovation du ministère de l'éducation nationale, pour construire cette matière d'enseignement, pour être capable de véritablement l'enseigner. Cela commence clairement dès le collège, certains disent même dès le primaire, et cela continue au lycée beaucoup plus encore. L'idée étant de toucher les gens, et pas uniquement les experts en cybersécurité, qui forment une population très à part. Globalement, chacun devrait avoir les bons fondamentaux de sécurité numérique, au bon moment, tout ça est encore une affaire de dosage.
Concernant l'aspect judiciaire, pour simplifier, et je laisserai la DGSI éventuellement me contredire : aujourd'hui, quelqu'un qui mènerait des attaques informatiques en France, depuis la France, sur des victimes françaises, prendrait de sérieux risques. Même chose en Europe, la coopération se développe et on a fait de vrais progrès. Mais il est évident que la coopération judiciaire n'est pas facile pour quelqu'un qui serait à l'autre bout du monde, dans des pays hostiles à la France, on sait que l'échange de données permettant de mener l'enquête ne fonctionne pas, les attaquants eux-mêmes le savent très bien. Dans les rebonds que je mentionnais tout à l'heure avant de toucher la cible finale, grand classique, il suffit à un moment de rebondir entre les frontières de deux pays qui ne peuvent pas se parler – il y en a beaucoup – pour être à peu près certain que la coopération judiciaire n'ira pas au bout, faute de pouvoir remonter le fil. Ainsi l'avantage reste aux attaquants. Mais l'époque où les attaquants ont été intouchables ou avaient des ponts d'or dans l'industrie est totalement révolue. Ceux qui ont trop joué, notamment du côté américain, sont aujourd'hui condamnés, pour certains à perpétuité. Il s'agit vraiment de crimes qui sont totalement répréhensibles et punis.