Il y a trois ans, le service du haut fonctionnaire de défense et de sécurité a mis en place une boîte d'alerte, ce qui n'était pas obligatoire alors. En 2015, nous avons recensé 1 300 incidents de tout type. Il s'est agi, je le répète, de déclarations volontaires. Nous sommes en train de consolider les chiffres pour 2016.
J'ignore la manière dont le ministère de la défense a fait ses calculs. Pour ma part, j'ai tendance à factoriser certains incidents. Prenons l'exemple de l'« Armageddon informatique » qui avait été annoncé sur internet à la suite de l'attentat contre Charlie Hebdo. De nombreux sites internet ont subi des attaques, et il y a deux façons de les comptabiliser : soit l'on compte le nombre de sites attaqués les uns après les autres, soit l'on compte le nombre de serveurs, qui hébergent chacun un certain nombre de sites. Je préfère ce deuxième chiffre, beaucoup plus parlant que le total des incidents qui se produisent.
La grande majorité des alertes pour lesquelles nous avons apporté un appui aux établissements concernaient des incidents qui auraient pu être évités si l'on avait fait preuve d'un minimum de bon sens. Depuis 2014, nous avons affaire essentiellement à des campagnes de cryptovirus. Ceux-ci entrent dans les systèmes par manque d'attention de la part des utilisateurs. Par exemple, un établissement nous a appelés après avoir été infecté par un virus parce qu'un utilisateur avait cliqué sur un lien dans un message en italien, langue qu'il ne comprenait pourtant pas. Il y a toute une acculturation de l'usager à faire, quel que soit son niveau. Il faut le former aux bonnes pratiques ou, pour reprendre les termes de l'ANSSI, aux « mesures d'hygiène » à mettre en oeuvre pour la sécurité des systèmes d'information. Travaillant dans le domaine de la santé, j'ajouterai qu'il faut aussi le former à la prophylaxie, c'est-à-dire lui apprendre pourquoi il doit se tenir informé et utiliser les bonnes pratiques.