Intervention de Benoît Darde

La prise de conscience de l'importance du sujet a beaucoup progressé sur le temps récent. Les cas de fuites de données, qui sont relatés quasiment quotidiennement depuis l'obligation de les divulguer décidée par le RGPD, montrent bien l'importance des données. La prise de conscience est donc aujourd'hui réelle.

En revanche, la maturité nécessaire pour savoir comment réagir et comment se prémunir face à ces risques est encore faible. La complexité de ces sujets est forte et la maturité des entreprises en la matière est encore faible. Dans certains épisodes très récents de fuites de données comme SolarWinds ou Centreon, les attaques ont été introduites par des composants logiciels édités par des fournisseurs de solutions et des éditeurs de logiciels. Ces fournisseurs et éditeurs sont attaqués et, sans le savoir, embarquent un code malveillant dans leurs produits. Les clients achètent à ces éditeurs une solution de comptabilité et, quand ils l'installent, ouvrent sans le savoir une faille de sécurité dans leur système. Les acteurs du numérique sont donc conscients que la protection de leurs données est un sujet complexe et important, et qu'il faut absolument, demain, mieux protéger leurs produits, mais leur compétence en cybersécurité n'est pas au niveau de celle des attaquants. À titre d'exemple, la capacité d'une petite entreprise ou d'une start-up élaborant une solution de vidéoconférence à se protéger face à des entreprises criminelles est faible.

L'écosystème a donc encore du travail à faire en la matière. Les travaux avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI) doivent être poursuivis. Les investissements en faveur de l'écosystème cyber doivent être renforcés, qui permettront de passer à 40 000 emplois dans le secteur – à ce sujet, nous sommes complètement en ligne avec les objectifs décidés par le Président de la République. Mais cela va prendre du temps.

Nous appelons à disposer de labellisations et de certifications pour apporter de la compétence. Ainsi, les logiciels mis sur le marché qui auront passé un certain nombre de tests bénéficieront d'un label qui garantit la confiance dans le produit. Pour fonctionner, l'économie numérique a besoin de reposer sur de la confiance. Si l'on perd la confiance, on perdra des points de performance dans le développement du numérique, et donc dans l'économie globalement, car le numérique concerne toutes les entreprises. Nous devons absolument travailler à augmenter cette confiance, à mettre en place des systèmes de labellisations et de certifications, et à faire émerger des normes et des standards forts au niveau européen, qui pourront compter mondialement. La normalisation est un sujet central dans la souveraineté technologique de demain. La Chine suit de près ce qui se passe en la matière, s'attache à prendre des positions auprès de tous les acteurs internationaux de normalisation de technologies, voire influence la construction de ces normes. Nous devrions aussi mener ce travail, collectivement et en écosystèmes. Nous devons accompagner l'émergence de normes et de standards européens en matière technologique, pour qu'ils soient alignés avec les pratiques commerciales et de concurrence que nous souhaitons.

Pour conclure, les entreprises sont conscientes des risques, mais elles n'ont pas la maturité nécessaire pour y faire face. Et plus les entreprises sont petites, moins elles sont conscientes de ces risques. La maturité collective en la matière, toutes entreprises confondues, est donc encore faible.