Intervention de Steve Purser

L'ENISA, qui ne dispose que de 70 collaborateurs, est avant tout une agence de coopération. Elle travaille étroitement avec les Agences nationales de cybersécurité ainsi qu'avec les entreprises privées. Parmi les sujets dont elle s'occupe, je voudrais citer l'intelligence artificielle, la 5G, l'économie et la souveraineté numérique, les fake news, l'économie de la cybersécurité et la sécurité informatique.

Pour l'intelligence artificielle, vous êtes sans doute au courant que la Commission étudie actuellement la partie éthique du sujet. L'ENISA, avec son conseil d'administration, a défini une première tâche pour l'année prochaine, qui est principalement de comprendre l'intelligence artificielle (IA) du point de vue de la cybersécurité, et d'assurer une base de cybersécurité dans l'IA elle-même. Beaucoup de gens parlent de garantir la sécurité grâce à l'IA ; pour notre part, nous voulons être certains que l'IA elle-même est bien sécurisée.

Je pense que nous serons rapidement dans les contenus : comment combattre la fake logic par exemple ? Cela m'amène à un commentaire très important : le sujet qui revient sans cesse est celui de la sécurisation des logiciels dès leur conception, puis au cours de leur existence. C'est très difficile, mais je pense que c'est à la base de beaucoup de problèmes.

Plusieurs choses nous empêchent de faire cela. Le nombre de lignes de codes dans une voiture est d'environ 100 millions à l'heure actuelle. Vous imaginez le travail nécessaire pour sécuriser un tel volume. Or, on cherche aussi des méthodes économiquement viables, qui marchent en un temps et à un coût raisonnables.

Je ne vais pas beaucoup parler de la 5G, mais simplement dire que c'est d'une complexité énorme. Il faut procéder lentement mais sûrement. Ce n'est pas un concept fixe : les normes évoluent au jour le jour, ce qu'il faudra prendre en compte. La sécurité a trois aspects : les gens, les processus et la technologie. En l'espèce, le processus est très important.

Je souhaiterais insister sur la notion d'autonomie stratégique numérique. Cela signifie que chaque État membre contrôle sa propre infrastructure, tout comme l'Union européenne. Cela ne signifie pas que les États membres doivent fabriquer totalement les infrastructures, mais qu'ils contrôlent la chaîne d'approvisionnement et que rien n'est ajouté dans leurs produits sans leur consentement.

J'aimerais également évoquer le concept de souveraineté numérique. Il correspond à l'idée qu'en Europe, et c'est très vrai de la France, il y a une compétence très poussée en matière de cybersécurité. On peut l'utiliser en lien avec notre politique industrielle et pour stimuler nos marchés. Vous avez sans doute constaté le lancement de discussions sur un Cloud européen, Gaia.

Enfin, les fake news et la désinformation sont un sujet important. Vous vous interrogez peut-être sur le rapport avec la sécurité informatique. En réalité, nous nous préoccupons de tout ce qui est trompeur (le bad looking good). Les fausses nouvelles ne font pas exception. Nous avons un rôle à jouer en la matière.

Pour finir, j'aimerais dire quelques mots de la dimension économique de la cybersécurité. L'Union européenne et les États membres dépensent des sommes considérables mais il existe très peu d'instruments pour en mesurer l'impact. Il faut essayer de trouver des données sur le retour sur investissement. Les études, quand elles existent, sont insuffisantes. Quelqu'un doit commencer à vous donner les informations de base relatives aux effets de vos décisions, tant au niveau macro que microéconomique.

Vous avez sans doute entendu parler du débat sur les ordinateurs quantiques, qui vont changer la sécurité d'une façon radicale. Dès qu'on a un ordinateur quantique, le système de cryptographie est mis à plat. Depuis longtemps, nous travaillons sur la réponse, qu'est la cryptographie post-quantique. À mon avis, cela mérite d'être défendu. Nous serons dans quelques années dans une situation difficile, si nous ne réagissons pas. Sur le calcul quantique en lui-même, beaucoup de gens préconisent de l'utiliser pour faire de la cryptographie. Toutefois, il faut être prudent : à l'ENISA, nous ne voyons pas la pertinence de ce procédé très coûteux pour le moment.

L'ENISA est ici pour vous soutenir, en tant qu'État membre, mais aussi comme État qui dispose d'une agence de cybersécurité très développée. Nous sommes à l'écoute de vos conseils