Intervention de Guillaume Poupard

À l'exception de Thomas Hautesserres, qui est coordonnateur et qui s'assure de la bonne relation entre les opérateurs externes à l'ANSSI et l'interne, les agents ne sont pas spécialisés par secteur d'activité. Nous avons des experts par métier, des personnes qui sont capables de faire de l'audit, de l'accompagnement dans la conception de systèmes, de la certification, mais personne, au sein de l'ANSSI, n'est affecté uniquement au nucléaire.

Nous pourrions mesurer la charge que représente le nucléaire en ETP. Un audit requiert la présence de 6 à 8 personnes pendant trois mois, ce qui est peu et beaucoup. Cela nous permet un niveau de visibilité précis des vulnérabilités éventuelles. Presque toujours, les agents trouvent des failles, parfois graves dans certains domaines autres que le nucléaire. J'insiste sur ce point, car c'est l'un des rares cas où les réunions de restitution d'audit ne sont pas des drames antiques, précisément parce que les agents ne trouvent pas grand-chose. Des mesures, qui ne sont pas des mesures de sécurité numérique, mais d'architecture, de séparation de certains composants, avec le contrôle « commande » d'un côté, les questions de sûreté de l'autre, aident à introduire de la sécurité, rendant le système plus difficile à attaquer, un peu à l'instar du secteur aérien. Lorsque des acteurs sont très sensibilisés aux questions de sécurité par nature, même s'il ne s'agit pas de sécurité numérique à l'origine, il est plus facile de travailler avec eux. Il en va de même des banques. Je cite les cas positifs. Malheureusement, des cas sont beaucoup plus négatifs. Je pense aux organismes qui estiment qu'il n'y a pas de risques et dont le niveau de sécurité est très souvent extrêmement faible.

Si je vous dis que l'ANSSI emploie en moyenne entre 5 et 10 ETP pour traiter du nucléaire, je ne dois pas être loin du compte.