Le business plan qui a servi de base à l'augmentation de capital et qui a été approuvé par la Commission européenne prévoyait des montants d'investissement sur la sûreté et le renforcement de l'ordre de 350 millions d'euros, et des dépenses annuelles de sécurité de l'ordre de 80 millions d'euros – dépenses récurrentes ou investissements.
Lorsqu'il faut faire davantage, plus que ce que l'on avait prévu il y a deux ou trois ans, dans le domaine de la cybersécurité par exemple, dans lequel les salariés et l'ensemble de la filière ne ménagent pas leurs efforts par ailleurs, il faut bien trouver le moyen de financer ces investissements dès lors qu'ils sont prioritaires. Cela n'empêche pas, bien entendu, comme dans toute entreprise, et comme vous le faites aussi dans le cadre d'un budget, d'arrêter les priorités en fonction des risques et des menaces que l'on perçoit.
Cela a donc bien été prévu. D'ailleurs, dans le cadre de nos autorisations, nous devons répondre à des critères de moyens humains et de compétences. Nos équipes évoluent et les autorités, l'ASN par exemple, doivent s'assurer que nous avons les moyens humains et financiers à la hauteur de la situation. Et de ce point de vue, l'ASN a indiqué que celle-ci était moins préoccupante, voire plus satisfaisante, que l'année dernière.
Cela ne veut pas dire que l'entreprise – comme la filière de façon générale – ne doit pas continuer à travailleur pour répondre aux enjeux de compétitivité ; mais elle le fera en continuant à améliorer les conditions de sûreté dans ses installations, ou en renforçant la formation et les compétences des personnels. De ce point de vue, nous sommes parfaitement en ligne avec les autres exploitants.
S'agissant des cyberattaques, j'ai indiqué dans mon propos liminaire que ce n'était pas que des menaces : nous avons à faire face à 200 attaques par jour sur nos réseaux, 100 par virus, dont deux quasiment individualisés, en dehors des millions de mails frauduleux que nous recevons.
Depuis quelques années, notre démarche, sous la supervision de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), est assez systématique. Nous ne sommes pas parfaits, mais nous continuons de nous améliorer. Nous augmentons nos investissements, que ce soit en segmentation, sur les réseaux, afin de bloquer tous types d'attaques. J'ajoute qu'aujourd'hui, certaines attaques provoquent des segmentations sur le réseau, pour empêcher l'entreprise de fonctionner. D'où un jeu d'épée et de bouclier permanent.
Nous nous soumettons à plus de vingt tests par an, organisés par des entreprises accréditées par l'ANSSI pour apprécier la robustesse de nos systèmes. Nous n'avons pas perdu un seul PC dans les attaques de l'année dernière, mais cela ne signifie pas, encore une fois, que l'on soit parfait. Des salariés peuvent se faire voler un ordinateur. Les menaces sont nombreuses : on essaie de se défendre, au moyen de badges cryptés par exemple. On dialogue avec les autres industriels. Et l'ANSSI nous pousse à avoir les démarches les plus structurées possibles.
Nous avons encore une marche pour franchir le niveau 18-20 ; nous allons dépenser plus de 10 millions d'euros au-delà de ce que nous avions pensé faire. Notre investissement de protection cyber se chiffre en dizaines de millions d'euros, aussi bien en dispositifs physiques qu'en formation : beaucoup de vulnérabilités peuvent résulter d'une erreur humaine. Chaque établissement industriel a bien entendu ses propres spécificités : nous allons continuer à agir dans la sécurisation des dispositifs – réseaux sans fils, clés USB, tout ce à quoi on peut penser. Mais au regard du nombre d'attaques que nous avons subies ces derniers temps, on peut dire que nous n'avons pas trop mal résisté.
Enfin, il n'y a pas de réaction nucléaire à La Hague. Mais nous avons les moyens d'arrêter les installations dans un état sûr pendant plusieurs jours, et on travaille à faire en sorte qu'une attaque cyber, même si elle réussissait, n'ait pas de conséquences.