– Tout peut effectivement être étudié, mais comparaison n'est pas toujours raison.
En France, la réglementation sur les opérateurs d'importance vitale (OIV), qui nous est enviée par beaucoup d'autres pays, notamment pour résister aux attaques terroristes, permet une vision globale de la sécurité qui va jusqu'à la cybersécurité, par exemple.
L'organisation des pouvoirs publics est très différente aux États-Unis et en France.
Sur la sûreté, l'ASN a un pouvoir impératif et prescriptif. Sur la sécurité, le système est plus complexe, avec de nombreuses responsabilités. La recherche de compromis pourrait aboutir à contester les observations de l'Autorité. Or, le caractère absolu de la sûreté doit être préservé. Il ne faudrait pas régresser sous couvert de progrès. J'y serai vigilant et j'appelle votre attention sur le sujet.
Comment qualifier la cybersécurité ? Est-ce un sujet technique ? L'Agence nationale de la sécurité des systèmes d'information (ANSSI), rattachée au SGDSN, en est l'expert public. Le modèle nucléaire a le premier parfaitement distingué, comme l'a dit M. Minière, les systèmes d'information liés au processus de commandement et de contrôle et l'ensemble des autres systèmes d'information, de gestion ou d'administration, qui doivent être d'une étanchéité totale entre eux. C'est d'ailleurs ce que préconise la revue stratégique cyberdéfense pour d'autres secteurs comme les aéroports ou les lignes automatisées de la RATP. L'expertise développée est très technique, mais elle comporte aussi des protocoles humains, tels que fouilles et criblages d'individus. Les problématiques d'étanchéité, de résilience, de redondance des systèmes d'information sont communes. La revue stratégique éclaire la menace cyber, qui mobilise des acteurs différents, y compris dans le champ public de la sûreté.