Intervention de Patrick Pailloux

Dans nos contacts, nous avons une double stratégie. Tout d'abord, nous cherchons à avoir le carnet d'adresses le plus fourni possible et le plus de contacts possible avec le plus grand nombre de personnes possible – homologues, industriels, etc. –, y compris des gens avec lesquels nous ne sommes pas spécialement amis. La situation est très variable selon les pays : il en est dans lesquels nous n'avons pas d'homologue, d'autres dans lesquels il y en a un ou plusieurs. Dans certains pays, nos homologues sont des universitaires, dans d'autres des services de renseignement. Le second axe de notre stratégie est d'échanger de manière approfondie sur ces questions avec nos grands alliés en ce domaine que sont, sans surprise, le Royaume-Uni et l'Allemagne. Ces échanges sont essentiels dans la mesure où notre capacité de défense repose en grande partie sur la connaissance que nous avons des attaquants.

Non, nous n'étions pas au courant du programme de surveillance américain PRISM. Cela étant, le travail de l'ANSSI est précisément d'imaginer que de telles pratiques existent et de trouver les moyens de s'en protéger. Jusqu'alors, j'étais plutôt critiqué dans le milieu des experts pour mon opposition bien connue au BYOD (Bring Your Own Device), qui fait que des personnes utilisent pour leur travail leurs terminaux personnels, comme un iPhone ou un Androïd. J'ai toujours fait valoir qu'autorisant ces pratiques, une entreprise abandonne une part de souveraineté puisque ce n'est plus elle qui décide de comment elle protège ses données. On me reprochait ce qu'on tenait pour de la ringardise ou de la paranoïa, disait-on. Depuis les révélations de M. Snowden, ces critiques se font beaucoup plus rares… Je suis payé pour être paranoïaque, ai-je l'habitude de dire, et donc pour imaginer que tous les pays espionnent de la sorte, partout et tout le temps, et concevoir les moyens d'y parer. C'est en ce sens que PRISM ne nous a pas surpris.

Vous avez raison, monsieur Rihan Cypel : non seulement protection des données personnelles et protection de la sécurité nationale ne s'opposent pas, mais les deux sujets relèvent de la même problématique. Ce sont les mêmes technologies et les mêmes comportements qui permettent de protéger les chiffreurs secret défense destinés à garantir la souveraineté nationale et les données personnelles des citoyens. À cet égard, je souhaite que projet de carte d'identité électronique aboutisse. En prenant certaines mesures de sécurité et en privilégiant des opérateurs de cloud en France et en Europe, relevant donc de la réglementation française ou européenne, on protège tout à la fois la sécurité nationale, nos entreprises et nos citoyens.