Les autorités devraient instaurer dans les entreprises un «permis d’aptitude à utiliser le numérique», sorte de permis de conduire sur internet destiné à acquérir les bons réflexes contre les cybercriminels, préconise un rapport parlementaire publié mercredi. Ce permis ne peut aller sans «la mise à niveau régulière de ses détenteurs pour faire face aux évolutions très rapides dans ce secteur» de la sécurité informatique, estiment les rapporteurs Anne-Yvonne Le Dain (députée socialiste) et Bruno Sido (sénateur Les Républicains), dont le texte doit être débattu jeudi au Sénat.
Une bonne partie des attaques informatiques contre les entreprises passent en effet par des employés insuffisamment sensibilisés aux risques, selon la bonne vieille technique du cheval de Troie. Plus généralement, le rapport commandité par l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) estime nécessaire de «développer une culture du numérique» dans toutes les classes d’âge et dans tous les milieux sociaux, depuis l’école maternelle. La cybersécurité doit faire partie de cet enseignement, qui doit se prolonger jusqu’à la formation continue des fonctionnaires et magistrats, selon lui. Le texte prône également la diffusion de messages de prévention sur le thème de la sécurité informatique aux heures de grande écoute, à la télévision et à la radio. Le rapport appelle aussi de ses voeux le développement d’équipements de détection d’attaques informatiques français bénéficiant du financement du programme d’investissements d’avenir et de laboratoires de haute sécurité.
Face à la toute puissance des Américains dans la sphère internet, Mme Le Dain et M. Sido réclament la mise en place d’un «cadre européen unifié favorable à la sécurisation des données des citoyens européens», et plus généralement un droit européen de la donnée. Ils veulent «créer l’équivalent d’un Google souverain français ou européen -après l’Aérospatiale ou l’Ariane européennes- tout comme la Chine, l’Inde et la Russie développent actuellement des internets en propre» et «soumettre au droit français les sociétés gérant des serveurs sur le territoire national et les clients français des sociétés gérant des serveurs hors du territoire national». «Les impératifs de sécurité mis en avant par l’OPECST n’ont pas encore reçu de réponses à la hauteur des risques encourus par les entreprises françaises», en dépit des deux projets de loi sur le numérique annoncés et de la stratégie nationale pour le numérique dévoilée en octobre, a déploré l’administrateur-adjoint de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, Catherine Estoffet.