En 2017 et 2018, nous avons enregistré 35 incidents sérieux, mais je ne doute pas un seul instant qu'il nous en échappe beaucoup. Ce sont seulement ceux dont nous avons connaissance. S'ajoutent à ces incidents que nous qualifions de sérieux des détections de situation de vulnérabilité, auxquelles nous avons pu mettre fin en faisant des propositions, soit à la direction de l'établissement, soit au ministère de tutelle. Nous pensons que nous avons pu les résoudre avant qu'elles ne dégénèrent en incident sérieux. Sur deux ans, nous avons eu entre 130 et 140 situations qui ont ou qui auraient pu entraîner des préjudices.
Pour répondre à Mme Préville, à la DGSI, nous constatons quasi systématiquement une intervention humaine dans l'incident ou dans la situation de vulnérabilité de la ZRR. Cette situation peut prendre un biais informatique, bien évidemment, puisqu'à partir du moment où il y a une pénétration indue à l'intérieur du laboratoire, et un accès aux systèmes d'information, la faiblesse humaine se transforme en risque informatique. Mais l'origine des incidents que nous avons détectés, je crois, est toujours humaine, je n'ai pas en tête d'exemple que nous ayons pu caractériser avec une attaque informatique directe venant de l'extérieur sur une ZRR. Cela a toujours résulté soit de l'absence de PPST par la mise en œuvre d'une ZRR, soit, malgré sa mise en œuvre, une faille qui a permis à l'attaquant de se livrer aux manœuvres dont il avait envie, qui peuvent avoir une composante informatique, mais à partir de l'intérieur de la ZRR.