Intervention de Guillaume Poupard

La souveraineté, vous avez raison, concerne aussi les entreprises et les particuliers.

La France vit une situation paradoxale : nous sommes très sensibles à la question des fichiers, et la CNIL a beaucoup travaillé pour éveiller les consciences ; mais nous utilisons énormément les différents réseaux sociaux… Il faut inlassablement rappeler que le droit à l'oubli n'existe pas en matière numérique. Rien n'est gratuit : « quand c'est gratuit, c'est vous le produit. » Il faut donc un effort de formation.

S'agissant des entreprises, la protection du patrimoine scientifique et technique est absolument essentielle.

Les grandes sociétés doivent se donner les moyens de protéger leurs informations. Beaucoup ont aujourd'hui pris conscience de la réalité des problèmes. La LPM comportera sans doute une obligation nouvelle de déclaration d'incident : cela me semble essentiel. Cela permettra aux services de l'État de mieux connaître les menaces et de mieux réagir.

Pour les PME, la situation est très différente : on ne peut pas demander à une PME de dix personnes d'embaucher trois spécialistes en informatique… Il faut donc leur proposer des solutions à leur portée, tant financièrement que techniquement. Aujourd'hui, des offres de clouds sécurisés sont lancées en France, d'ailleurs financés en partie par l'État : elles apporteront une solution d'infogérance sûre. Ces offres seront en concurrence avec des offres étrangères, certes très efficaces, mais auxquelles on ne peut pas accorder la même confiance. Des offres nationales, ou européennes, doivent exister.

Le niveau de sécurité de nos entreprises est aujourd'hui insuffisant, l'actualité nous le rappelle régulièrement. On dit en ce domaine qu'il y a les gens qui ont été attaqués et ceux qui ne le savent pas encore… Il faut être très modeste, et le fait qu'aucune alerte ne se déclenche n'est pas rassurant. Il faut « chercher les ennuis » – la plupart de ceux qui ont cherché à détecter des attaques en ont trouvé ! Il y a bien sûr des attaques plus ou moins graves, allant du site Internet défiguré à la copie de fichiers client, voire au vol de savoir-faire technologique.

S'agissant de l'Europe de la cyberdéfense, elle est aujourd'hui embryonnaire – c'est même un euphémisme. Mais certains pays sont volontaires, comme l'Estonie, qui a été durement attaquée. Nous devons donc trouver des partenaires pour avancer.

Mon sentiment est toutefois que beaucoup de pays ont déjà renoncé, et veulent être protégés plus qu'ils ne veulent prendre en main leur propre cybersécurité. C'est contre cette attitude qu'il faut aller, en leur faisant prendre conscience que beaucoup peut être fait au niveau européen.