Intervention de Rayna Stamboliyska

Je m'efforcerai de rester polie. Plaisanterie à part, on constate bel et bien un sursaut, même s'il est dommage qu'il survienne dans certains cas en réaction à un incident qui oblige à se demander comment reconstruire un système d'information, comment protéger des données d'utilisateurs ou de patients. La conscience, inégale, du rôle clé de la cybersécurité, apparaît largement plus développée dans certaines administrations ou pays que dans d'autres.

Ceci nous ramène à la notion de pouvoir ou plutôt de volonté. Un besoin évident se fait jour d'un État stratège, d'une ligne de conduite globale à suivre. Beaucoup se découragent quand ils comprennent que la sécurité d'une installation n'est jamais acquise une fois pour toutes, mais qu'il faut au contraire l'améliorer constamment. La nécessité de soutenir, consolider et nourrir cette amélioration continue implique la poursuite d'objectifs liés à une stratégie globale, qui s'appuie sur des outils dont on ne pourra disposer qu'en recourant à la commande publique, aujourd'hui insuffisante.

Je ne songe pas ici aux difficultés que pose un référencement à l'Union des groupements d'achats publics (UGAP), par exemple, mais aux exigences de sécurité bien trop faibles, voire inexistantes, imposées aux fournisseurs de services et d'outils numériques susceptibles d'être sollicités pour des commandes publiques. L'absence, en 2021, d'exigence d'un niveau minimal de sécurité ou d'un maintien aux conditions opérationnelles et de sécurité de ce qui est acheté dans le cadre de la commande publique a de quoi désagréablement surprendre.

Certes, des initiatives voient le jour, comme celle du sénateur M. Laurent Lafon. Le texte de sa proposition de création d'un CyberScore devrait parvenir sous peu à l'Assemblée nationale. L'ANSSI, en France, est forte de sa capacité à décerner des certifications et des qualifications. Nous ne comprenons toutefois pas pourquoi cette cohésion ne se renforce pas plus pour fournir aux administrations des outils performants, ergonomiques et surtout fiables. Je constate peu de discussions ou de travail concret effectif sur cette pierre d'achoppement, sans doute en raison d'une absence de stratégie globale.

Le gouvernement français s'est déjà doté d'un administrateur général des données. Pourquoi ne pas imaginer une harmonisation des exigences en matière de cybersécurité sous l'égide d'un fonctionnaire général de la sécurité des systèmes d'information (FSSI) ? Il fixerait à tous des objectifs clairs, et communiquerait une vision tout aussi claire de l'adoption, par tous, des instruments existants. La seule mention du référentiel général de sécurité (RGS) fait aujourd'hui grincer des dents. Ses préconisations sont pour l'heure appliquées de manière pour le moins inégale et parfois insuffisante, pour ne pas dire « au lance-pierres ».