Intervention de Guillaume Poupard

Nous établissons un référentiel public, qui comporte toutes les règles de sécurité que nous souhaitons voir appliquées. Des laboratoires indépendants, agréés par l'ANSSI, soumettent le prestataire à une évaluation fondée sur ce référentiel, et vérifient que toutes les règles sont effectivement appliquées. Nous nous assurons que le travail a été bien fait et nous certifions – je signe au nom du Premier ministre – que le produit est au bon niveau de qualité en termes de sécurité. Ce que nous faisons depuis très longtemps pour les produits, nous le faisons aujourd'hui pour les services, notamment le cloud computing. C'est la voie qui nous semble la plus raisonnable.

Nous conseillons aux PME de choisir ces prestataires – nous ne nous prononçons pas sur ceux que nous n'avons pas évalués. Si c'est un peu plus cher, c'est probablement normal car qui dit sécurité, dit prestations supplémentaires, matériels supplémentaires, travail supplémentaire – le service est supérieur. Ensuite, il reste aux entreprises à appliquer des règles de sécurité assez élémentaires – faire attention aux mots de passe, aux téléphones portables, aux clés USB –, ce que Patrick Pailloux a appelé l'hygiène informatique et qui reste ô combien d'actualité. Un patron de PME peut comprendre cela aisément.

Parallèlement, nous encourageons les industriels à développer des offres couplées, notamment ce qu'on appelle les « box PME ». De nombreux foyers sont équipés aujourd'hui de box ADSL. On peut imaginer des offres qui intègrent la sécurité dans ces boîtes pour des PME qui n'ont pas besoin de comprendre comment cela marche, ni de devenir expertes en cybersécurité pour être protégées de manière efficace. À l'inverse, si elles doivent paramétrer les pare-feu, c'est très compliqué et c'est probablement voué à l'échec. Il reste beaucoup de travail à faire, pour les grands groupes aussi.

Sur la question du financement, je n'ai pas d'avis. Ce n'est pas vraiment de ma compétence. Il me semble normal que la cybersécurité entre dans le budget de fonctionnement des entités. Ponctuellement, on pourrait les aider ou les inciter. Cette piste mérite d'être explorée.