Intervention de Olivier Kempf

D'abord, je pense qu'il convient d'imposer des obligations en matière de cybersécurité aux éditeurs de logiciels. Lorsque j'étais moi-même Chief Data Officer (CDO) de l'armée de terre, j'avais à la fois la responsabilité de libérer la circulation des données et de protéger leur exploitation. De leur côté, les start-up ne cherchent généralement qu'à libérer l'utilisation des données, sans se préoccuper des enjeux de sécurité que soulève leur exploitation. De nombreux produits dépourvus de garanties sont ainsi mis sur le marché puis modifiés de manière incrémentale en fonction des retours des utilisateurs, qui jouent alors le rôle de testeurs et s'exposent à un certain nombre de failles. On ne saurait imposer à une jeune start-up d'acquérir une certification témoignant d'un niveau de protection très élevé, parce qu'elle n'en aurait pas les moyens. En revanche, à partir d'un certain chiffre d'affaires, il conviendrait de renforcer les obligations de cybersécurité qui conditionnent la mise à disposition de logiciels au public.

Du côté des utilisateurs de logiciels, il a été imposé aux entreprises de présenter, dans leur bilan annuel, une déclaration de responsabilité sociale d'entreprise (RSE). De la même manière, pourquoi n'existerait-il pas une obligation de déclaration de politique de cybersécurité ? Comment les dirigeants d'entreprise pourraient-ils prendre en compte le risque de cybersécurité sans pression réglementaire de la part du législateur ?

Une troisième réponse est à chercher du côté de la formation des populations, dans un souci d'hygiène numérique. Le Gouvernement a mis en place, depuis quelques années, le service national universel (SNU), qui s'adresse à une population nativement numérique mais n'ayant jamais été éduquée à l'hygiène numérique. Pourquoi n'inclurait-on pas, dans le cadre du SNU, un module de formation à l'hygiène numérique, de sorte que cette nouvelle génération soit également sensibilisée à la cybersécurité ?