Intervention de Philippe Loudenot

S'agissant des contrôles en matière de sécurité des systèmes d'information ou d'utilisation de ces systèmes, nous faisons le même constat dans la plupart des ministères : de nombreux services ont été débordés par des événements, cyberattaques ou actes de cybercriminalité, et tout le monde essaie de renforcer ses troupes. Ainsi que l'a rappelé le général Martin, le ministère des affaires sociales et de la santé met tout en oeuvre pour élever le niveau de sécurité de l'ensemble de son périmètre. J'en veux pour preuve l'article 110 de la loi de modernisation de notre système de santé, issu d'un amendement déposé par M. Gérard Bapt : la santé est le seul secteur ministériel où il sera bientôt obligatoire de déclarer les incidents de sécurité affectant les systèmes d'information. Auparavant, cette déclaration obligatoire ne concernait que les OIV et les opérateurs visés par les « paquets télécom » européens. Cette disposition s'appliquera à tous les établissements de santé dès le 1er octobre prochain. En ce qui concerne la CNAMTS, tout est prévu dans les textes relatifs au comité d'audit, qui seront publiés prochainement.

En ce qui concerne les moyens humains nécessaires à la CNIL et à l'ANSSI, la souplesse du contrôle a posteriori devrait permettre, dans un premier temps, de réaliser au mieux les contrôles. Cela étant, les services concernés seraient tous ravis de voir leurs effectifs non pas nécessairement doubler, mais augmenter sérieusement.