Intervention de Philippe Loudenot

Je forme le voeu que les directions chargées de faire face aux risques juridiques n'occultent pas les questions de cybersécurité et de sécurité des systèmes d'information. L'anticipation au démarrage des projets coûte beaucoup moins cher que les rectifications apportées a posteriori, en catastrophe et sans réflexion. Les textes réglementaires existent, qu'il s'agisse des textes de la CNIL, du règlement européen sur la protection des données personnelles ou encore de la politique de l'État en matière de sécurité des systèmes d'information, qui impose d'homologuer ces systèmes et qui a été déclinée dans les politiques de sécurité des systèmes de chaque ministère chargé des affaires sociales, publiées par arrêté. Différents textes imposent donc aux dirigeants de veiller à la prise en compte ex ante de la sécurité informatique.

La difficulté principale tient aux projets réalisés rapidement pour satisfaire un supérieur hiérarchique, alors qu'il faudrait procéder à une gestion de projets réfléchie en tenant compte des questions de sécurité, pour ce qui concerne l'analyse de risque mais aussi le cycle de vie tout entier du projet, depuis son lancement jusqu'à son extinction. Pour autant, les textes en vigueur suffisent puisque la plupart exigent de tenir compte du volet sécurité. Il existe cependant un fossé profond entre les textes existants et leur appropriation par les professionnels sur le terrain, d'où le travail de sensibilisation – voire d'évangélisation – du service du haut fonctionnaire de sécurité informatique auprès des dirigeants, qui consiste notamment à faire de régulières piqûres de rappel, car les questions de sécurité sont de ces sujets que l'on a tendance à oublier. Il est vrai que la plupart de ces dirigeants sont rompus à la gestion des risques financiers, sanitaires ou concernant les ressources humaines, mais la cybersécurité et la sécurité des systèmes d'information sont aussi une nouveauté pour eux. C'est sans relâche qu'il faut faire passer ce message.