C'est toute la problématique que nous essayons de traiter par le secure by design. La cybersécurité est toujours traitée à la fin des projets, et comme ces derniers sont toujours en retard, elle est fréquemment oubliée. Je suis intervenu à la suite des attaques des hôpitaux : quand on voit les « cochonneries » qui sont connectées aux réseaux de ces établissements, il ne faut pas s'étonner qu'ils subissent des cyberattaques. Il faut en premier lieu interdire la connexion à des réseaux sensibles d'outils, d'objets connectés, de systèmes d'information qui ne sont absolument pas protégés. Il convient également d'inculquer le secure by design, en expliquant aux fournisseurs de ces solutions que la cybersécurité est un facteur différenciant, et qu'à prix égal, un client préférera retenir une solution dans laquelle la cybersécurité a été pensée.
Nous revenons au fait qu'il s'agit d'un problème d'éducation et de sensibilisation. Si la cybersécurité est prise en compte à l'origine, le projet n'est absolument pas ralenti, au contraire, et les systèmes d'information ne seront pas complètement piratables.
On attaque aujourd'hui les données des entreprises. Dans cinq ans, les rançongiciels toucheront les particuliers : lorsque les maisons seront complètement connectées, on exigera des personnes qu'elles paient une rançon directement avec leur smartphone pour pouvoir ne serait-ce qu'entrer chez elles. De même, la numérisation des smart cities est une bonne chose, mais si le pirate prend la main sur une ville connectée, il est capable de faire n'importe quoi. Il faut donc vraiment sensibiliser maintenant les personnes à prendre en compte le risque. Pour être très franc, ce n'est pas du tout fait aujourd'hui.