Intervention de Frédéric Mathieu

S'agissant des entreprises privées, l'ANSSI intervient en propre lorsque les crises cyber sont suffisamment critiques. La plupart des temps, en effet, elle a recours à des prestataires privés agréés. La question de la confidentialité des données auxquelles peuvent avoir accès ces entreprises privées se pose en effet. Mais nous estimons que le droit pénal suffit à encadrer ce risque. La question qui peut se poser en revanche est celle de la nature très diverse des interventions qui peuvent avoir lieu. On est bien obligés d'agréer des entreprises privées selon un cahier des charges, mais cela ne nous dit rien de la rigueur du cahier des charges, tout comme cela ne nous dit rien des contrôles mis en œuvre au long cours pour s'assurer du respect du cahier des charges. Je ne remets pas en cause la rigueur de l'ANSSI pour effectuer ces contrôles, mais il y a un défi capacitaire : il faut bien avoir des entreprises qui puissent intervenir sur place en cas de besoin. On se doute bien qu'il faut s'adapter aux réalités du terrain : on ne peut pas placer un niveau d'exigence trop élevé, sinon, on n'agrée personne. C'est davantage sur cette mécanique que les préoccupations doivent porter.