Pour le 2), il y a déjà l'ANSSI qui a l'avantage d'avoir toutes les cartes en main (ils ont la main sur les serveurs en plus d'avoir l'architecture). On n'est pas dans le cas des boîtes qui ont peur de se faire auditer parce qu'ils savent qu'ils sont pourris. À haut niveau, on a (enfin !) compris que la sécurité informatique était importante, au moins dans les trucs critiques de ce genre (qui ont en plus l'avantage de ne pas être utilisés par les ministres, donc c'est plus facile d'imposer de la sécurité
). Du coup, on peut espérer avoir des trucs neufs à peu près corrects, même s'il y a probablement des systèmes historiques pas terribles.