Intervention de Mickaël Vaillant

En 1997, les spécialistes de la sécurité nous disaient qu'environ 40 virus par jour étaient identifiés et traités. En 2017, nous en étions à 430 000 virus par jour. La cybersécurité est donc un enjeu majeur et, vous avez raison, la courbe est exponentielle.

Des régions ont vécu de façon très concrète ces attaques. Au mois de mars, une attaque qui a duré plusieurs jours a visé le conseil régional Grand Est. Rappelons également les difficultés qui ont touché en pleine pandémie le centre hospitalier universitaire (CHU) de Rouen.

Nous travaillons étroitement avec la filière aéronautique et le Groupement des industries françaises aéronautiques et spatiales (GIFAS), ce qui nous a permis d'être alertés juste avant la pandémie. Concrètement, la cybersécurité n'est pas uniquement l'usage de rançongiciels par des groupes mafieux mais ce sont aussi des enjeux souverains, avec souvent des groupes souverains.

Nous savons, pour avoir échangé avec les services de Bercy – Bruno Le Maire l'avait évoqué lors d'une rencontre avec les présidents de régions – qu'une recrudescence d'attaques a touché la filière sous-traitante d'Airbus lorsque Boeing a rencontré des difficultés sur son 737 Max. Nous en avions d'ailleurs aussi eu des retours sur le terrain. La volonté de rétablir l'équilibre ou, du moins, d'entraver d'Airbus alors que son principal concurrent, Boeing, était en difficulté, était claire.

C'est donc pour nous un sujet majeur, sur lequel il doit exister une stratégie nationale concertée, coconstruite avec l'État, les collectivités, les opérateurs. Il faut que tous les acteurs travaillent ensemble. Je me permets de soulever ce point car plusieurs acteurs majeurs sur le sujet de la cybersécurité nous signalaient s'étonner que le groupement d'intérêt public d'actions contre la cybermalveillance (GIP ACYMA) et l'ANSSI ne travaillent pas de façon évidente ensemble. Peut-être pourrions-nous déjà mieux articuler ces interventions.

Concrètement, c'est pour plusieurs régions un sujet clé dans leurs stratégies de développement économique et de soutien aux filières. C'est le cas dans le sud, dans le Grand Est, en Ile-de-France où sont clairement identifiés comme des axes forts les enjeux cyber et intelligence artificielle (IA). Nous travaillons sur ces enjeux avec les entreprises à travers de nombreux dispositifs. J'évoquais les 10 000 accompagnements à la maturité numérique des entreprises. Nous avons proposé, en obtenant une convergence de vues assez immédiate de nos collègues de la direction générale des entreprises (DGE) de Bercy, que les 10 000 accompagnements lancés dans le cadre des dispositifs « Industrie du futur » puissent tirer les enseignements de la crise, et notamment que le volet cyber soit renforcé. Nous travaillons avec le GIFAS, y compris sur la cybersécurité.

La question est, vous avez raison, de mesurer l'effet de ces dispositifs. Le dispositif des 10 000 accompagnements fonctionne. Il aurait besoin sans doute d'être plus dynamique. Je me permets d'attirer, monsieur le député, votre attention sur un point, sans volonté de polémique inutile sur ces questions où nous devons agir collectivement. Nous avons une mauvaise tendance en France à doublonner les dispositifs. C'est très français, au grand dam d'ailleurs de ceux qui sont à l'intersection de nos actions.

Je prends le cas des consulaires, les chambres de commerce et d'industrie (CCI) et les chambres de métiers et de l'artisanat (CMA) qui sont mobilisées sur le chèque numérique, le seront demain sur du diagnostic, sur des formations et actions. Nous avons de l'autre côté des collectivités qui mettent en place leurs propres dispositifs. Dans le contexte budgétaire actuel des CCI, les organismes consulaires sont ravis de pouvoir émarger à ces différents dispositifs mais, en termes de mutualisation et de coordination de nos actions, ce n'est pas très efficace.

La question de l'optimisation de nos interventions, de notre capacité à faire levier sur nos dispositifs est une véritable inquiétude. Nous craignons que les ministères, bénéficiant de la manne sans précédent du plan de relance – 100 milliards d'euros – avec la contrainte de consommer cette somme dans les deux ans, de déployer rapidement, aient la tentation de fonctionner en silos plutôt qu'en interministériel. Ils s'appuient de plus sur des services en région qui ont été fortement réduits. Les directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (Direccte) n'ont plus la capacité d'assurer ce rôle de relais. Les CCI ne peuvent pas être un substitut de notre point de vue et, d'ailleurs, je ne crois pas que la DGE le prévoie. J'insiste donc sur l'importance de réfléchir à nos modes de gouvernance, à la manière dont nous articulons les acteurs, y compris sur cet enjeu de cybersécurité.

Pour une action très concrète, nous avons signé en décembre 2019 avec le ministère de l'intérieur et avec Bercy une charte État-régions sur l'intelligence économique territoriale et la sécurité économique. Elle doit s'appuyer sur des comités régionaux à l'intelligence économique. C'est pour nous un outil important.

Nous avons le 30 novembre 2020 identifié avec M. Le Maire deux enjeux très forts sur les questions de cybersécurité. Le premier concerne la sécurité des écosystèmes de recherche et d'innovation car nous avons constaté une recrudescence des attaques sur les laboratoires de recherche, publics et privés. Le ministère de la recherche labellise actuellement des centres de données pour l'enseignement supérieur et la recherche dans chaque région. Il me semble que cet enjeu de cybersécurité n'est pas suffisamment pris en compte. La sécurité des écosystèmes d'enseignement supérieur et de recherche, la protection de la donnée, y compris dans les universités, est donc un sujet majeur. Il faut embarquer la communauté universitaire et les chercheurs sur ce sujet.

Le deuxième concerne la cybersécurité des entreprises, notamment des petites TPE, en jouant sur la proximité et la complémentarité de nos actions.