Intervention de Arnaud Dechoux

Cette question est compliquée. Il peut exister plusieurs canaux. La puissance publique a sans doute un rôle à jouer dans la commande, en instaurant des seuils de budgets dédiés à la cybersécurité. C'est ce que le gouvernement a fait pour la première fois dans le volet cyber du plan de relance, qui impose aux établissements de santé de consacrer 5 % à 10 % de leur budget IT à la cybersécurité. Cela me semble une première piste.

Pour le reste, il convient de passer par les acteurs que vous avez mentionnés. J'y ajoute Cybermalveillance, né en 2017 seulement, mais qui s'est beaucoup développé depuis cette date. Il s'agit d'un réel succès, qui manque toutefois encore de notoriété. Alors que l'ANSSI se charge très bien des grands opérateurs, collectivités territoriales ou autres, Cybermalveillance doit mener les mêmes tâches pour tous les autres acteurs. Je pense qu'il faut leur donner plus de moyens et de visibilité, en réalisant des campagnes grand public.

Un autre type d'acteurs pour les collectivités territoriales est celui des opérateurs publics de services numériques (OPSN). Ils sont une cinquantaine en France, regroupés au sein de l'association Déclic. Ils aident à la mutualisation et au soutien informatique, en particulier cyber, de toutes les petites collectivités territoriales, qui sont souvent celles qui se font attaquer aujourd'hui. Il faut miser sur ces acteurs. De manière générale, la mutualisation et la régionalisation sur lesquelles le gouvernement a souhaité insister dans son plan de relance cyber me semblent de très bons axes d'action. Les OPSN sont des interlocuteurs existants sur lesquels il est pertinent de se baser, pour les collectivités locales en particulier.