Intervention de Guillaume Vassault-Houlière

Il faut bien comprendre qu'on ne trouvera jamais deux entités, qu'elles soient publiques ou privées, disposant exactement du même système d'information. Ces systèmes conçus par des personnes différentes, et à chaque fois transposés, ne sont pas partout maintenus selon les mêmes principes. Leurs composants, en particulier dans la commande publique, devraient inclure leur maintien aux conditions de sécurité. De plus en plus de pays dressent des catalogues pour faciliter la commande publique, en tenant compte de ces exigences.

Aujourd'hui, le plan de relance cyber, piloté notamment par l'ANSSI, place les collectivités territoriales dans une situation dont je ne doute pas, pour avoir discuté avec nombre d'entre elles, qu'elles la jugent inconfortable : elles doivent se plier à des normes édictées au niveau national, que les éditeurs de solutions numériques ne sont pas forcément tenus de respecter. Des acteurs, tels que des collectivités territoriales, ne disposant pas, parmi leurs équipes, d'experts en la matière, ni du temps voulu pour se pencher sur la question, sont sommés de se numériser rapidement.

En réalité, il manque une stratégie globale pour garantir une sécurité de bout en bout. À chacun son métier. L'union fait la force. Chacun doit assumer ses responsabilités. Il me paraît crucial de le souligner. La vulnérabilité des données a aujourd'hui un impact sociétal. L'actualité l'a montré. Chacun doit se penser comme un acteur du changement plutôt que comme un simple vendeur indifférent au devenir des solutions numériques qu'il commercialise. Des changements s'observent heureusement déjà en France, en Europe et dans le monde, ce que nous constatons dans certains pays d'Asie où nous sommes présents.

Les soucis qu'a connus Singapour voici quelques années ont amené cette cité-État à une prise de conscience. La simplicité d'utilisation de certaines applications gratuites, c'est-à-dire où le produit n'est autre que l'usager lui-même, n'implique pas qu'elles soient sécurisées. La notion de sécurité by-design a été transposée dans le RGPD. Les obligations qu'il comporte doivent s'appliquer à l'ensemble des acteurs du numérique pour garantir la sérénité de la totalité des usagers.