Je ne suis pas certain que l'on pourrait mutualiser beaucoup plus qu'aujourd'hui. Chaque entreprise, chaque administration, chaque organisation doit avoir ses propres capacités de sécurité au niveau élémentaire la concernant. La sécurité de chacun ne peut pas dépendre d'un organisme central qui n'intervient qu'au niveau ultime et pour gérer l'exceptionnel. Le ministère de la Culture ou une banque, au même titre que le ministère de la Défense, doivent disposer de leur propre sécurité. Cependant les enjeux n'étant pas les mêmes, les capacités seront bien sûr différentes.
Avons-nous des relations avec la Russie et la Chine sur ces sujets ? Je puis seulement vous dire que dans le cadre du dialogue stratégique mené avec ces deux pays, les sujets cyber sont évoqués.
L'OTAN possède deux entités chargées du domaine cyber. L'une, en effet implantée à Tallinn, est un centre d'excellence qui se concentre sur les études et la formation. Elle a notamment mené d'intéressants travaux sur le droit de la guerre appliqué au cyberespace. L'autre, le NCIRC (NATO Computer Incident Response Capability), située à Mons en Belgique, est un centre opérationnel chargé de piloter la cybersécurité de l'OTAN et, comme son nom l'indique, de réagir aux incidents informatiques. Notre priorité dans ce domaine est que l'OTAN protège suffisamment ses propres réseaux.
Nous avons mis en place aux frontières des réseaux de l'administration des sondes de détection des attaques informatiques. Ce dispositif marche bien, mais il ne constitue qu'une partie de la réponse au problème. Pour le secteur privé, nous cherchons à labelliser les sondes que des prestataires peuvent installer. Au-delà de ces réponses techniques, le besoin le plus criant est de sensibiliser et de former les personnels. L'ANSSI y prend une part importante. Son service de communication, qui emploie aujourd'hui six personnes, publie de nombreux guides de conseils pratiques. Beaucoup de PDG viennent nous dire leurs inquiétudes. À ceux qui nous consultent, nous donnons des clés, nous proposons des méthodes et indiquons les bonnes questions à poser. Nous avons publié un « guide d'hygiène informatique » comportant quarante règles élémentaires comme s'assurer des droits d'accès à la messagerie des dirigeants, limiter le nombre de personnes connaissant le mot de passe donnant accès au coeur du système… Le premier objectif devrait être que ces quarante mesures soient partout respectées – il n'est pas rare que seules une ou deux le soient ! Ce travail de sensibilisation et de formation prendra du temps.
Vous dénoncez, monsieur Lefebvre, l'extrême naïveté des décideurs, mais il y a trois ans, personne, hors des cercles de spécialistes, ne parlait encore de ces sujets. Alors qu'aujourd'hui tous les jours des journalistes demandent à nous rencontrer, il n'y a pas si longtemps, ils ne connaissaient même pas l'existence de l'ANSSI ! On a pendant plus d'un demi-siècle développé l'informatique sans se préoccuper aucunement de sécurité. Nous ferons tout ce qui est possible pour rattraper le retard pris, mais la situation ne pourra pas changer du tout au tout d'un simple claquement de doigts. Cette sensibilisation est du rôle de tous, décideurs politiques, acteurs économiques, médias…