Beaucoup de questions, tout à fait légitimes et intéressantes, se posent, mais il existe assez peu de réponses en l'état. Même une labellisation pose, en réalité, plus de questions qu'elle n'en résout.
J'ai dit lors des auditions que j'avais plein d'idées de business plans pour le moment où je cesserai d'être parlementaire, par exemple ouvrir une entreprise de cybersécurité et offrir une assurance sous condition de passer par cette entreprise de cybersécurité ou, mieux encore, racheter, en tant qu'assureur, des entreprises de cybersécurité et obliger les assurés à respecter leurs standards. Il faut ajouter que ces entreprises évoluent et que certains de leurs anciens finissent de l'autre côté de la barrière, tandis que d'autres finissent par revenir dans le circuit légal, les uns et les autres se nourrissant des avancées technologiques et des failles qui apparaissent au fur et à mesure.
En réalité, vous êtes dans une logique de marchandisation et non de protection. Ce qui peut protéger et aider à adopter des normes sans lien avec un système assurantiel, c'est le service public. La question est simplement de savoir où on place les moyens et de quelle manière. L'Anssi pourra-t-elle aider l'artisan du coin qui se fait pirater la petite page internet qu'il a ouverte pour vendre ses produits en ligne ? Ou bien faut-il prévoir un système d'assurance obligatoire reposant sur les chambres consulaires, avec une obligation en matière de prévention mais aussi de réparation en cas d'attaque ? On peut imaginer beaucoup de choses, et il n'y a pas que le marché pour résoudre des problèmes de prévention des risques.