Intervention de Gérôme Billois

La coopération n'est pas la même selon l'attaquant. Quand il s'agit d'un attaquant isolé, motivé par une idéologie, ou de groupes de criminels qui ne sont pas directement liés à des États, la coopération peut jouer pleinement. Elle manque aujourd'hui de rapidité et d'efficacité, plus à cause de la saturation des différents services que d'un manque de volonté. Les délais de réquisition criminelle entre pays sont de l'ordre de trois à six mois, alors que le cybercriminel agit en quelques jours. Les limites de la coopération apparaissent lorsque des industries sont en jeu, car on entre alors dans le champ de l'espionnage économique. Les leviers et le niveau de confiance ne sont pas les mêmes.

La même réflexion vaut pour les équipements étrangers. Nos principaux fournisseurs de solutions de cybersécurité, comme les États-Unis ou Israël, auraient peu d'intérêt à conduire les hôpitaux français à dysfonctionner. C'est en revanche différent pour les industries de défense ou de recherche et développement, pour lesquelles une réponse consiste à accumuler des produits de sécurité d'origines différentes pour lutter contre le manque de coopération de certains acteurs. Nous devons absolument conserver de la souveraineté dans ce domaine. Notre souveraineté est capitale dans le chiffrement de nos communications, afin de conserver la confidentialité de ce que nous échangeons dans les périmètres les plus sensibles ; elle l'est aussi pour la capacité de détection d'attaque. Cette dernière permet de remonter la piste d'une attaque et de mettre les attaquants devant leurs responsabilités.

S'agissant de nos retards d'investissements, les systèmes d'information fonctionnent généralement de manière itérative : une entreprise ou une administration change un ordinateur, puis une application. Les anciennes technologies sont rarement enlevées. La progression vers le haut est très lente. Les systèmes numériques des usines de distribution d'eau ou d'énergie existent parfois depuis quinze ou vingt ans et ont été pensés pour durer encore une dizaine d'années. Tout ne peut pas être changé d'un coup. Par conséquent, nous nous trouvons dans une course à la sécurisation progressive.