Intervention de Gérôme Billois

Il est important de les acculturer au risque. Les PME et PMI souffrent souvent d'une pénurie de compétences pour gérer le sujet informatique. Au lieu d'un directeur des systèmes d'information, elles ont généralement quelqu'un qui fait fonctionner les ordinateurs et elles s'appuient sur un prestataire local. Il faut donc faire monter en compétence et en puissance les prestataires de services informatiques qui opèrent auprès de ces entreprises. La plateforme de l'État cybermalveillance.gouv référence et labellise des fournisseurs avec un niveau minimum de cybersécurité. C'est un levier très important. Par ailleurs, il faut s'assurer que toutes les offres numériques à disposition de ces entreprises intègrent par défaut une cybersécurité. C'est déjà un peu le cas, mais il faut le développer davantage.

Pour cela, il faut que les dirigeants d'entreprises qui acquièrent ces systèmes acceptent une offre un peu plus chère, dans la limite du raisonnable. Je ne parle pas d'une augmentation de 20 à 30 %. Les voitures sans ceintures de sécurité et sans airbags étaient vendues moins cher, mais aujourd'hui personne ne ferait des économies sur ces protections. Dans le numérique, les processus d'achat suivent une logique d'économies et il existe une certaine tendance à rogner sur la sécurité informatique. Les dirigeants d'entreprise doivent comprendre que cet investissement n'est pas vain, mais bien nécessaire à leur entreprise.