Ni Éric Delbecque ni moi ne vous dirons le contraire. Sur le risque technique, les gens sont sensibilisés depuis longtemps. Sur le risque terroriste, il y a eu progressivement une prise de conscience et cela a accru les mesures de sécurité dans les entreprises. Néanmoins, pour beaucoup de patrons de grandes entreprises en France, la sécurité n'est pas le problème majeur sauf s'ils pensent qu'il y a un risque. On l'a vu avec l'attentat du Bataclan. L'année d'après l'attaque, les dépenses de sécurité des entreprises ont augmenté de près de 20 % ; le problème, c'est que, depuis lors, elles ont baissé chaque année de 5 à 10 %. La prise de conscience se fait donc par à-coups, et insuffisamment.
En ce qui concerne les attaques cyber, on constate une mobilisation des entreprises depuis un an ou un an et demi, à savoir depuis ce que nous appelons, nous, les « attaques au président », ces fraudes par lesquelles un usurpateur se faisant passer pour le président de la société demande, de préférence un vendredi soir, que soit versé de l'argent sur un compte à l'étranger. Dans les entreprises du CAC 40 et du SBF 120, on a dépassé les 400 millions d'euros de détournements en trois ans ! C'est colossal, et malheureusement cela continue car les bandits sont inventifs et, de l'autre côté, il y a encore des failles d'organisation. Mais, dans l'ensemble, les patrons ont bien compris. Lorsqu'on en vient, en revanche, aux attaques en vue de racheter l'entreprise ou de la mettre en difficulté, aux attaques concurrentielles à l'américaine, il est indéniable que la plupart de nos patrons ne sont pas préparés. J'ai participé à des réunions de très grands patrons français et allemands ; ils ont parfaitement identifié les autres types de risques, mais ne comprennent pas cette affaire-là. Dans le cas des lois extraterritoriales, j'espère que le règlement général sur la protection des données (RGPD) et la loi Sapin 2 leur permettront de comprendre, mais je n'en suis même pas certain. Pour l'instant, de toutes les lois qui sortent, ils retiennent plutôt la protection des données personnelles, mais ne voient pas la mise en danger de l'entreprise par le détournement des actifs numériques.