Intervention de Guillaume Poupard

Je reviens sur les risques, la réponse est dans votre question. Il ne faut pas opposer les risques, malheureusement ils s'additionnent, voire se combinent dans certains cas. Dans les scénarios possibles, celui que nous dénommons « femme de ménage », c'est une expression, consiste à aller voir quelqu'un, lui dire de prendre une clé USB, de la brancher sur un ordinateur, de la laisser 10 minutes, de la retirer et qu'il n'entendra plus jamais parler de vous C'est quelque chose de très facile à faire, probablement dès qu'on a un moyen de pression sur la personne. L'impression de trahir est très limitée, et pourtant les conséquences peuvent être dramatiques. C'est beaucoup plus facile de sortir d'un réseau que d'y rentrer, pour le dire de manière très simple. On peut avoir une combinaison d'intrusion physique et d'attaque informatique, c'est assez classique. Sur la réalité des cyberattaques observée dans les laboratoires, je suis très gêné parce que je n'ai pas de statistiques, pour être franc. Je pense au cas particulier des labos qui sont eux-mêmes compétents en informatique, mais il y a aussi tous les autres labos : avec nos collègues du ministère de l'intérieur, nous constatons un véritable « chiffre noir » de la sécurité informatique. Il y a un grand nombre d'attaques que nous ne connaissons pas, tout simplement, et c'est gênant de pas pouvoir s'appuyer sur des données solides.

Enfin, la coopération est réelle avec nos alliés, même si elle est compliquée, si elle n'est pas naïve, si elle est subtile. Notamment nos alliés anglo-saxons ont fait un choix d'organisation très différent du nôtre, nos homologues sont en général les agences de renseignement techniques. Mais malgré cela, cette coopération est réelle parce que nous avons des intérêts communs. Tout est très pesé, tout est très mesuré, mais en même temps c'est une priorité pour nous, c'est un axe fort de coopération. Les Anglo-Saxons ont fait le choix, dès le départ, de confier l'attaque et la défense aux mêmes, pour mutualiser les compétences. Nous avons vu le risque et les conséquences en cascade qu'il y avait à faire de même en France et de risquer des conflits d'intérêts. Notre métier est plus la confiance numérique que la sécurité numérique. Je ne dis pas que les services de renseignement ne sont pas constitués de gens de confiance, – surtout en présence de la DGSI ! –, mais avec certains acteurs c'est beaucoup plus complexe. Cette séparation, qui n'empêche pas du tout la coopération au niveau national, bien au contraire, nous semble beaucoup plus saine. C'est à prendre en compte dans les coopérations.

Sur la Chine, l'axe que nous privilégions en France est de revenir systématiquement à de véritables analyses de risques. On peut faire des systèmes très mauvais avec des produits de confiance qui sont faits chez nous. Donc il faut maîtriser l'architecture, il faut comprendre ce que l'on fait et il faut maîtriser l'administration de ce système, avec tous ceux qui les font fonctionner, je pense évidemment aux réseaux télécoms. Et puis, pour chaque brique qui constitue l'architecture du système, il faut se poser la question du risque, en fonction des hypothèses raisonnables. Ensuite, tout ça se combine avec la possibilité de voir les produits en détail, de les observer, de les évaluer, de les certifier dans certains cas, tout cela est très subtil et en même temps relativement efficace.