Intervention de Gérard Berry

– Lorsque j'étais au Haut Conseil de l'évaluation de la recherche et de l'enseignement supérieur (Hcéres), je me suis insurgé contre le choix franchement malhonnête du titre d'un rapport, La Production scientifique en France, qui ne concernait que la publication scientifique en France. La production et la publication scientifiques ne sont plus reliées par une fonction simple aujourd'hui. Ce titre était mal choisi et traduisait mal la réalité.

Par ailleurs, je signale une initiative intéressante du ministère de la recherche sur Parcoursup – je suis vice-président du comité scientifique et d'éthique de ce programme. Il s'agit de faire une preuve mathématique des programmes qui implémentent les algorithmes. Les gens confondent généralement les algorithmes, qui sont des objets conceptuels de nature mathématique, et les programmes, qui sont des objets plus techniques, qui les traduisent en instructions à exécuter par des ordinateurs. Le ministère de la recherche a lancé ce projet, qui est une première mondiale. Il faudra le mettre en avant quand cela aboutira.

Sur la communication scientifique, la France accuse un retard important par rapport au Royaume-Uni : autant on a de bonnes émissions de radio, sur France Culture, France Inter, où les scientifiques peuvent vraiment s'exprimer, autant aucune émission n'est proposée à la télévision. C'est un vrai problème, car il y a des gens qui ne regardent que la télévision. La BBC est bien meilleure dans ce domaine. Il est dommage d'avoir des émissions radios de bonne qualité, mais pas de bonnes propositions scientifiques sur les chaînes de télévision.

En ce qui concerne la sécurité informatique, les attaques deviennent de plus en plus fortes et redoutables. Des légendes circulent – par exemple qu'il n'y aurait pas de virus, donc pas de problème de sécurité pour ce qui concerne les ordinateurs Apple, ce qui est faux. Il règne des fantasmes, et les particuliers comme les instituts sont vulnérables. Sans doute des rapports ont-ils été publiés sur le sujet, mais ils ne sont pas à la hauteur de ce sujet dangereux.

Ainsi, sur l'internet des objets, la sécurité est très insuffisante. On assiste à des prises de contrôle massives d'objets connectés – caméras de surveillance, machines à laver, voitures. Les fabricants n'ont aucune compétence en matière de sécurité informatique. Le nom d'utilisateur et le mot de passe par défaut sont toujours « admin », et personne ne les change. L'ignorance règne, et c'est dangereux. Ainsi, le réseau ukrainien d'électricité a sauté à cause d'une attaque sophistiquée venue d'on ne sait où.

Il en va de même en médecine, qui a deux liens avec l'informatique : l'apprentissage automatique, qui fait des choses puissantes, et la sécurité informatique, qui est complètement négligée. L'informatique est totalement inconnue des médecins ; quand je les vois en congrès, ils me disent des choses aberrantes, même s'ils commencent à reconnaître l'existence du problème.

Concernant la sécurité médicale, deux problèmes se posent. À Londres, un hôpital a été vidé de l'intégralité de ses patients à cause d'une attaque informatique de ses machines exploitées sous Windows XP – Microsoft déconseille très formellement depuis quinze ans au moins d'utiliser ces machines –, et ce n'était pas seulement l'informatique de gestion qui était attaquée, mais les instruments médicaux l'étaient aussi. Plus récemment, des études ont été réalisées sur les appareils médicaux – prothèses, pacemakers, pompes à insuline. Il en ressort que chacun de ces systèmes contient plusieurs milliers de trous de sécurité connus. Jamais aucune procédure n'a été appliquée. La semaine dernière, le ministère américain de la santé a adressé une communication très violente à la Food and Drug Administration, l'administration américaine des denrées alimentaires et des médicaments, qui ne produit aucune étude sur le sujet. Les fabricants ne sont soumis à aucune obligation. Il a d'ailleurs été répondu que ce n'était pas grave, car les pacemakers ne sont accessibles que par des machines spécifiques, présentes dans les hôpitaux et dans les cabinets des cardiologues. Or les chercheurs les avaient achetées en dix minutes sur internet.

Il faut que les gens se rendent compte de l'existence de ce risque. Les hôpitaux sont un lieu « intéressant » à attaquer. La situation est donc très difficile ; certains interlocuteurs la connaissent, comme le président de l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui est très compétent, mais d'autres, comme les médecins, ignorent tout de ce sujet. C'est un point d'inquiétude majeur. Il faut faire quelque chose.