Intervention de Gérôme Billois

Le risque d'une destruction des systèmes les plus critiques en France est identifié depuis la loi de programmation militaire de 2014. Nous sommes l'un des premiers États au monde à être allé aussi loin en matière de sécurisation des systèmes les plus vitaux pour la nation. Les 220 opérateurs d'importance vitale (OIV) ont tous identifié la liste des systèmes d'importance vitale et je peux témoigner des investissements qu'ils ont réalisés pour élever le niveau de sécurité. Les États-Unis rattrapent aussi leur retard dans ce domaine. Des attaques très ciblées peuvent malgré tout survenir.

Il existe deux grandes familles de portes dérobées. Les premières existent à la suite d'erreurs, de paresse ou de facilité des développeurs. Elles ne relèvent pas d'une intention volontaire de nuire, mais représentent par la suite un véritable risque, car il s'agit de failles utilisables par tout un chacun. Les révélations d'Edward Snowden issues des renseignements américains ont prouvé par ailleurs l'existence de portes dérobées intentionnelles utilisées pour conserver un avantage stratégique. Elles sont institutionnalisées afin d'accéder à un certain nombre d'équipements, et peuvent fragiliser des mécanismes de sécurité, en particulier de chiffrement. Certains algorithmes de chiffrement comportaient des failles connues des services de renseignement pour faciliter le décryptage des données sans en posséder la clé. C'est le jeu de la cyberdéfense. Des logiciels peuvent être piégés à l'insu de leur développeur, comme dans le cas du logiciel SolarWinds : un logiciel piégé se répand et est largement utilisé, et l'attaquant peut ensuite conduire son attaque avec le plus grand effet possible. Les États cherchent à se prépositionner dans le domaine cyber, pour être en mesure d'agir le jour où ils le désireront. Des autorités, dans certains États, identifient des traces de prépositionnements d'autres États dans leurs infrastructures. C'est une pratique qui existe et qui est efficace pour les attaquants.

Madame Bureau-Bonnard, vous souligniez à juste titre que l'enjeu à moyen terme est d'aller vers la jeunesse. Il faut sensibiliser les jeunes gens au risque numérique et au principe de la vie privée sur les réseaux sociaux et sur internet, afin de les initier à la logique de la cybersécurité. La génération future devrait être sensibilisée au risque numérique comme elle l'est déjà à l'environnement. L'école a un rôle à jouer sur cette question.