Intervention de Patrick Pailloux

Il n'existe pas aujourd'hui de modules obligatoires de cybersécurité dans les cursus d'ingénieur. Faut-il en imposer ? Il faut en tout cas convaincre les écoles et les universités de la nécessité d'en prévoir systématiquement. Il n'est pas admissible qu'un ingénieur informaticien termine aujourd'hui ses études sans qu'on lui ait enseigné les règles élémentaires de l'hygiène informatique. On n'attend pas la fin de leurs études pour apprendre à une infirmière ou un médecin qu'il faut se laver les mains et stériliser les matériels !

Où trouvons-nous les spécialistes formés à la cybersécurité dont nous avons besoin ? Essentiellement dans les écoles, mais il y a quelques autodidactes. Une analyse conduite avec nos partenaires industriels qui recrutent eux aussi beaucoup est que nous formons un tiers seulement des experts qui seraient nécessaires. D'où le soutien que nous apportons à toutes les initiatives de cursus en cybersécurité.

L'ANSSI n'a pas de capacités offensives car ce n'est pas sa mission. Il est vrai, comme vous l'avez dit, que l'offensif, y compris le reverse, peut servir à comprendre les attaques. On ne peut toutefois laisser toutes les actions se développer partout car elles sont dangereuses. Il faut pouvoir les contrôler. Cela ne veut pas dire que l'on ne puisse pas faire davantage qu'aujourd'hui.

Lorsque j'ai parlé de souveraineté, je ne visais que le champ de la cybersécurité. Il en est bien d'autres, mais bien entendu je plaide pour mon domaine, qui est en quelque sorte la « souveraineté de la souveraineté ». Si nous ne sommes pas capables de protéger nos propres données, le reste ne sert à rien. À quoi servirait de concevoir entièrement par nous-mêmes des systèmes de défense placés sous notre contrôle exclusif si nous sommes impuissants par ailleurs à assurer leur protection ? Reste à savoir contre qui se protéger, et donc analyser les risques quand on achète un équipement.

On en est encore très loin d'un traité international pour le cyberespace, d'autant que les positions de départ divergent fortement entre les pays, certains souhaitant qu'on contrôle les contenus, d'autres les contenants, certains privilégiant la liberté, d'autres le contrôle. Des discussions ont commencé aux Nations unies qui ont donné de premiers résultats, mais ce n'est qu'un tout début.

Aucun pays ne contrôle aujourd'hui Internet. Pendant longtemps, l'essentiel du trafic mondial d'Internet transitait par les États-Unis. Ce temps est révolu. Ce sont plutôt de grandes sociétés privées à la pointe de l'innovation, dont il est vrai que beaucoup sont américaines, qui aujourd'hui centralisent et maîtrisent les données qui circulent sur Internet. Le problème d'Internet n'est pas qu'il soit gouverné par un État mais bien plutôt qu'il n'ait ni gouvernance ni régulation – ce qui explique d'ailleurs en partie sans doute son succès. Ainsi, bien qu'une grande partie des communications internationales soient effectuées par le biais de Skype, qui permet de communiquer gratuitement d'ordinateur à ordinateur, ce logiciel échappe à toute réglementation internationale du secteur des télécommunications. Internet est un domaine fondamentalement non régulé où ce sont les meilleures idées économiques qui l'emportent. Skype a marché parce que c'était une bonne idée.