Je souhaiterais d'abord dire que, y compris les schémas que je trouve très, très bien, il y a là un matériau de fond qui est bon. Vous demandez un peu de temps car j'ai cru comprendre que vous aviez été « charrette » sur la fin. Je voudrais remercier l'administrateur et l'expert qui l'a assisté, du travail qui a été fait.
J'ai vu le rapport ce matin et n'ai eu qu'un peu de temps pour y travailler. Je pense d'abord, à propos du projet de recommandations, que l'on peut arriver à une très bonne étude de l'Office en ordonnant les cent quarante ou cent cinquante recommandations qui sont là pour mettre en valeur des schémas que vous avez élaborés et qui expliquent parfaitement la problématique.
Le premier point que je voudrais signaler c'est que la partie introductive du projet de recommandations intègre un rappel du guide de l'ANSSI. Or, notre but, à l'Assemblée nationale comme au Sénat, n'est pas de reprendre des dispositions qui existent déjà mais de sélectionner, dans les recommandations de l'ANSSI, les points sur lesquels il y aurait moyen de faire évoluer les choses.
J'ai donc pris la responsabilité de faire une proposition de rédaction pour les recommandations que je vous transmettrai tout à l'heure. J'ai ordonné autour de six chapitres les propositions : le premier chapitre s'intitulerait « Développer une culture du numérique autour de la sphère politique et administrative ». Le deuxième point, que vous avez très bien traité à mon avis, concernerait le risque numérique ; cela est plutôt bien et je reprends vos recommandations. Le troisième point consisterait à faire du risque numérique une grande cause nationale dans l'éducation et la formation et tout ce que vous proposez apparaît sous ce chapitre. Le quatrième chapitre serait « Renforcer les moyens de la formation universitaire et de la recherche en matière de cyber-sécurité » ; c'est le point le moins abordé dans les recommandations, mais c'est un débat dans lequel je suis déjà intervenu pour dire que, à côté du pôle militaire de défense situé dans l'ouest de la France, il existe un autre pôle de cyber-sécurité civile, dans une autre région, consacré à des thèmes de recherche qui pourraient le situer à un niveau européen. Cinquièmement, il s'agit de mieux protéger les entreprises et c'est là l'essentiel du rapport. Il serait plus efficace pour aider les entreprises d'indiquer quatre ou cinq grands points d'évolution possible de la loi.
Toutes les autres propositions seraient alors placées en annexe sous la forme d'une ébauche d'un guide de cyber-sécurité à destination des entreprises. Toutes les dispositions pratiques pourraient également être hiérarchisées. Enfin, il faudrait insérer la stratégie nationale dans une stratégie européenne et, sur certains points, j'aimerais que les rapporteurs nous indiquent comment ils voient le débat citoyen dans le domaine du risque informatique ; comment ils appréhendent la possibilité d'imposer le respect sur Internet de la présomption d'innocence, celle du contradictoire et des prescriptions. Il serait souhaitable aussi d'interdire la captation des données à distance et, pour cela, de déterminer ce qui est législatif dans ces recommandations.
Il faudrait également encourager le développement d'acteurs de confiance, ce qui pourrait entraîner des retombées économiques. Très souvent, dans vos conclusions finales, vous attirez l'attention sur ces retombées économiques possibles et cela mériterait des précisions. Enfin, il y a d'autres points qui devraient sans doute être déplacés d'un chapitre à un autre si ma proposition en six points était adoptée.
Ce matin, je me suis livré à un exercice de nouvel ordonnancement des recommandations. Vous avez mes notes et il est possible d'agencer cela autrement tout en améliorant la formulation des idées sachant que le fond de ce texte est excellent et qu'une amélioration formelle serait, à mon avis, de nature à faire passer les bons messages qui sont dans ce rapport.
Et, ce, d'autant plus que les rapporteurs, même s'ils ne l'ont pas dit, n'ont pas eu suffisamment de temps pour étudier ce projet de rapport en dépit de l'existence d'un pré-rapport. Cela a été trop « charrette » de finaliser complètement ce projet pour la fin de l'année. Donc, si les deux rapporteurs le demandent, cette réunion de l'Office parlementaire pourrait constituer une réunion de travail en vue de l'élaboration d'un nouveau texte à valider et à examiner rapidement par la suite puisque les rapporteurs ont déjà en partie commencé leur présentation.
Il n'y a aucun problème à procéder de la sorte car les thèmes que vous avez abordés sont des thèmes majeurs.
Peut-être serait-il souhaitable d'insister sur la partie recherche et enseignement supérieur et j'aimerais que, dans le corps du texte, vous rajoutiez un point – qui figure dans mon avis budgétaire sur la cyberdéfense –, pour souligner qu'il risque de manquer de personnes formées à la cyberdéfense dans les prochaines années ; si vous en étiez d'accord, peut-être serait-il souhaitable de mettre ce point en exergue de manière plus évidente ?