Cybersécurité : l'arme secrète du Made in France 10 / 13

La cybersécurité française passe à l'attaque

PAR RIDHA LOUKIL, AVEC HASSAN MEDDAH Informatique , Numérique , Cybersécurité , Made in France

Publié le 29/11/2012 À 00H00

Enquête Les industriels hexagonaux mettent les bouchées doubles en matière de défense informatique. Un marché en pleine expansion.

La cybersécurité française passe à l'attaque

sur le même sujet

Sommaire du dossier

La France a-t-elle les moyens de sa cyberdéfense ? La révélation par "L'Express", la semaine dernière, des dessous du piratage informatique de l'Élysée survenu en mai rappelle, s'il en était besoin, les dangers du cyberespace. Loin d'être à l'abri des opérations d'espionnage informatique, la France possède toutefois de sérieux atouts pour se défendre. Elle dispose même d'une filière d'excellence, prospère et exportatrice, comme le révèle la récente étude du cabinet Pierre Audoin Consultants. Ainsi, qui aurait cru que le leader français de la carte à puce, Gemalto, sécurise l'accès au cloud d'Amazon ? On n'imagine pas non plus que Thales participe à la protection des systèmes de défense de 50 pays, dont 25 membres de l'Otan. Le spécialiste de l'électronique de défense équipe aussi 19 des 20 premières banques mondiales, 4 des 5 plus grandes compagnies pétrolières... sans oublier les systèmes de paiements électroniques Visa et Mastercard, qui représentent 70% des transactions par cartes bancaires dans le monde. Autres exemples : Cassidian, la branche défense et sécurité d'EADS, qui fournit un centre opérationnel de sécurité à l'armée britannique ; Atos, qui gère l'informatique et la sécurité des jeux Olympiques depuis douze ans ; ou encore Orange, qui apporte ses services de cybersécurité au géant australien minier BHP Billiton dans 18 pays.

Safran) et Oberthur Technologies, tirent jusqu'à 80% de leurs revenus à l'étranger. Tout en "conservant l'essentiel de leur production et de leur R et D en France", souligne Mathieu Poujol, consultant chez Pierre Audoin.

De grandes ambitions

Contrairement aux concurrents connus du grand public pour leurs systèmes antivirus sur les postes informatiques, tels que McAfee, Symantec ou Trend Micro, les industriels français se distinguent par leur discrétion. Deux raisons à cela : leur ancrage sur le marché du "confidentiel-défense" et leur présence dans les couches cachées des systèmes d'information. Mais l'heure est venue pour eux de passer à l'offensive et d'investir d'autres maillons de la chaîne de sécurité. "Ils privilégient désormais la sécurité holistique, une approche globale de sécurité identifiée par le ministère de l'Industrie comme l'une des 85 technologies clés pour 2015, constate Mathieu Poujol. Du segment haut de gamme, ils cherchent à descendre dans les couches des systèmes d'information pour disposer au final de solutions complètes. Au risque de heurter les acteurs américains connus."

Cassidian a donné l'exemple en rachetant, en octobre, Netasq, une pépite spécialisée dans les systèmes anti-intrusion tout-en-un. La filiale d'EADS complète ainsi son portefeuille de solutions et entre en concurrence frontale avec les américains Fortinet, Watchguard et Sonicwall. Les perspectives de développement s'annoncent alléchantes. Selon le cabinet Gartner, le marché mondial de la cybersécurité devrait croître de 8,4% par an et bondir de 60 à 86 milliards de dollars entre 2012 et 2016.

Un dynamisme tiré par la recrudescence des cyberattaques, l'apparition de menaces contre les systèmes de contrôle industriel et la prise de conscience croissante des enjeux de la cybersécurité, tant par les États que par les entreprises. Les industriels français sont décidés à prendre une plus grande part du gâteau. D'autant que le poids du marché national accuse un retard sur les grands pays européens. D'après le cabinet PwC, qui l'estime à environ 2 milliards d'euros en 2010, il serait inférieur de 30% à celui de la Grande-Bretagne. En cause, le niveau encore insuffisant de protection des services de l'État, des administrations et des opérateurs d'infrastructures d'intérêt vital (énergie, eau, transports, hôpitaux...).

"Nous voulons apporter une alternative européenne aux solutions américaines, non seulement dans nos marchés traditionnels à caractère régalien - gouvernement et défense - mais aussi dans les industries critiques", explique Jean-Michel Orozco, le président de Cassidian Cybersecuriy, une filiale de 400 personnes créée en avril 2012. Objectif : un chiffre d'affaires de 500 millions d'euros à l'horizon 2017, contre 50 millions d'euros aujourd'hui. Les deux tiers de cette croissance proviendront d'acquisitions dans le cadre d'un plan d'investissement de 500 millions d'euros sur cinq ans. Le rachat de Netasq s'inscrit dans cette stratégie. Cassidian possède deux centres opérationnels de sécurité (SOC en anglais), en France et en Grande-Bretagne, pour surveiller les réseaux de ses clients. Un troisième est en projet en Allemagne. À terme, la filiale d'EADS pourrait rivaliser avec Thales, l'actuel leader français de la cybersécurité avec 1 500 personnes et un chiffre d'affaires de 350 millions d'euros.

Plus modeste, Bull, le numéro deux français (1 300 personnes et un chiffre d'affaires de 130 à 150 millions d'euros) n'en espère pas moins doubler cette activité dans cinq ans. Au programme : de la croissance organique mais aussi des acquisitions sélectives, à l'image du rachat, en 2010, d'Amesys (systèmes d'espionnage sur les réseaux) et, en 2011, de TRCom (une émanation de Sagem spécialisée dans la sécurisation des communications sans fil) qui a donné naissance, début 2012, au SPhone. Conçu et fabriqué entièrement en France, ce téléphone mobile sécurisé protège les communications en cryptant les conversations vocales, les messages SMS et les informations embarquées. "En termes de sécurité, il se situe un cran en dessous du téléphone Theorem de Thales, réservé aux plus hauts services de l'État et de l'armée, mais s'adresse à une population plus large : tous les cadres d'entreprises qui transmettent par téléphone des informations sensibles", explique Franck Greverie, le patron de l'activité sécurité de Bull, qui compte vendre quelques milliers de terminaux par an.

Orange n'est pas en reste. Il y a dix-huit mois, l'opérateur historique de télécoms a réorganisé son activité de services de cybersécurité afin d'en doubler le chiffre d'affaires en 2015. Il dispose de huit SOC dans huit pays, calqués sur son SOC dédié aux militaires et dont la localisation est tenue secrète. "Ils sont au bord de la saturation, précise Éric Domage, le directeur de la stratégie d'Orange en cybersécutité. Plutôt que d'en ouvrir d'autres, nous allons en rationaliser l'exploitation pour absorber une augmentation de demande de 10 à 20% par an." Selon Pierre Audoin Consultants, Orange est le leader français des services de cybersécurité, loin devant Sogeti, Atos et autres SSII françaises. Dans le monde, s'il est distancé par IBM, le numéro un, il soutient la comparaison avec l'américain Verizon, le britannique BT ou encore l'allemand T-Systems, filiale de Deutsche Telekom.

Une longueur d'avance grâce à la carte à puce

Dans leur offensive, les Fançais ont des atouts. Ils sont à la pointe en matière de cryptologie, technologie clé pour la protection des données. "Une dizaine de pays maîtrisent véritablement leurs propres technologies de chiffrement, parmi lesquels les États-Unis, Israël, le Royaume-Uni, l'Allemagne, la France et très probablement la Chine et la Russie", précise Guillaume Poupard, le chef du pôle sécurité des systèmes d'information à la Direction générale de l'armement. La France est aux avant-postes. En témoignent la renommée mondiale du cryptologue Jacques Stern [lire ci-contre] et la victoire d'une équipe de quatre experts, dont trois de STMicroelectronics, au concours international lancé en 2007 pour le développement d'un nouvel algorithme de cryptage. "Cette force découle de l'excellence de l'école française de mathématiques, analyse Mathieu Poujol. La France dispose des meilleurs talents au monde pour créer des algorithmes de cryptage. Ceci lui a valu d'être récompensée par 13 médailles Fields, l'équivalent du Nobel en mathématiques, la plaçant en deuxième position derrière les États-Unis, qui en ont obtenu 15."

La carte à puce, essentielle à la sécurisation des accès, constitue une autre pièce maîtresse du savoir-faire français. Après l'avoir boudée, les Américains viennent de l'adopter. Le laboratoire d'analyse de la fiabilité des composants électroniques de Thales à Toulouse s'inscrit dans ce champ de compétences. "Nous partageons avec le Cnes des équipements très sophistiqués qui nous permettent d'effectuer un "reverse engineering" de composant matériel, en l'examinant et même en le découpant physiquement en quelques dizaines de nanomètres. Ceci peut aller jusqu'à rechercher dans les circuits où les parties sensibles - par exemple, une clé de chiffrement - sont stockées", explique Vincent Marfaing, le vice-président en charge des activités cybersécurité chez Thales.

Dans les services, qui représentent 60 à 70% du marché, les Français jouissent d'un avantage naturel en France. "On donne les clés de son réseau à un prestataire pour y voir ce qui s'y passe, explique Gérôme Billois, manager chez Solucom, un cabinet de conseil informatique. C'est important qu'il soit un acteur de confiance et de proximité. Les acteurs français ont des cartes à jouer. À condition qu'ils parviennent à industrialiser leurs services aussi bien que les américains IBM, Verizon et Dell."

Ce pari n'est pas gagné pour autant. "La France a deux handicaps. D'une part, la prise de conscience par les entreprises françaises, et par l'État, des enjeux de la cybersécurité a été plus tardive qu'aux États-Unis ou qu'en Grande Bretagne. D'autre part, peu d'acteurs hexagonaux disposent d'une taille critique suffisante pour faire face aux champions américains comme le spécialiste des réseaux Cisco Systems ou encore IBM", explique Guillaume Rochard, associé de PwC chargé de l'activité aéronautique, défense et sécurité. La France compte à la fois peu de grands champions - cinq généralistes (Thales, Bull, Cassidian, Morpho et Gemalto) et une douzaine de prestataires de services - et trop de petits acteurs. Parmi ces industriels, les 30 premiers s'accaparent 80% du chiffre d'affaires global.

"La filière est pénalisée par son morcellement, avec beaucoup trop de PME souvent concurrentes entre elles, diagnostique Jean-Pierre Quémard, le vice-président sécurité et technologie chez Cassidan et président de l'Alliance pour la confiance numérique, syndicat professionnel créé en 2010. Elle a besoin d'être consolidée." La profession réclame de fait une politique plus cohérente de l'État, qui se traduirait par une instance unifiée de cyberdéfense, comme aux États-Unis et au Royaume-Uni. Elle appelle de ses voeux la mise en place d'une réglementation favorable (obligation d'audit de sécurité, de déclaration de sinistre...), comme le recommande le sénateur Jean-Marie Bockel dans son rapport "La cyberdéfense : un enjeu mondial, une priorité nationale", publié en juillet. Reste un mal français à soigner : la faiblesse en marketing.

Cybersécurité : l'arme secrète du Made in France 10 / 13

Réagir à cet article

3 commentaires

06/12/2012 - 10h22 - FIDENS

Je vous invite à effectuer un rapprochement entre ce papier de l’Usine Nouvelle "la cyber sécurité française passe à l’attaque",et le document « the UK cyber security strategy, report on progress de décembre 2012 » http://www.cabinetoffice.gov.uk/sites/default/files/resources/Cyber_Security_Strategy_Forward_Plans_3-Dec-12_1.pdf Sans dire que les approches sont diamétralement opposées, on relève de sérieux points de divergence quant à la place des PME dans le tissu industriel de la sécurité ; voici par exemple deux extraits du document britannique : Increase the proportion of Government cyber security contracts going to SMEs. In line with Government targets, at least 25% of GCHQ’s procurement budget is to be spent through SMEs to gain access to the vibrant innovation of these firms. GCHQ will provide advice and information to encourage and support them in adopting appropriate standards to protect government information. Encourage innovative cyber security solutions. As part of Government’s commitment to support smaller firms, GCHQ and other Government agencies launched the 'Finding the Threat’ call to SMEs for innovative ideas to a set of security and intelligence challenges. The launch event attracted over 500 attendees, over half of whom were new to the sector. This was the most successful call of its kind ever held which indicates the level of interest in this market. Serait-ce encore une tentative éhontée d’encourager les PME françaises à l’exode ? perfide Albion ! Je veux bien croire que ce qui vaut pour une nation ne vaut pas forcément pour une autre, comme on nous l’a répété à foison en nous expliquant que le modèle économique allemand ne vaut rien à la France. Mais j’ai du mal à comprendre de telles divergences d’analyses … D’un côté du Channel on se plaint d’avoir trop de PME, de l’autre on cherche à en avoir plus et à encourager leur créativité … Cordialement, Jean-Pierre LACOMBE FIDENS

Répondre au commentaire

04/12/2012 - 10h43 - FIDENS

"J’ai été enfant de chœur, militant socialiste et bistrot. C’est dire si j’en ai entendu des conneries..." Je croyais le microcosme de la sécurité des systèmes d’information encore épargné des sottises de toute sorte. Tel n’est plus le cas après votre article "La cybersécurité française passe à l’attaque". Foin d’Audiard. Je suis issu du monde rural et de la région lyonnaise, docteur en mathématiques appliquées, et ai travaillé 15 ans dans le domaine sécurité défense. C’est dire si j’ai la communication réservée... Mais je ne peux m’empêcher de réagir à la lecture de cet article aux conclusions hâtives et à la matière peu documentée. Voilà longtemps que je n’avais lu un tel tissu de contre-vérités. Je ne sais à quelle source se sont abreuvés les auteurs, mais Minerve, déesse de la sagesse était absente, et ça Minerve un peu. L’absence de règlementation nationale, une faiblesse ? Sans entrer dans le monde de la défense, il me semble pourtant qu’avec le RGS, les travaux de l’ASIP Santé, les obligations des banques et assurances, … nous sommes plus que gâtés en la matière. Ces règlementations étant systématiquement érigées sans vraiment se soucier de la capacité technique, organisationnelle, et financière des acteurs à les suivre, elles sont souvent inextricables, et inapplicables. Alors appeler de nos voeux des règlementations supplémentaires pour booster le secteur, j’aimerais qu’on m’explique. L’atomisation des PME (800 PME opérant dans la sécurité, c’est pour le moins fantaisiste) une faiblesse ? Si l’on en croît l’appétit d’EADS, il me semble que Netasq a plutôt bien travaillé dans son domaine. Et c’est sans doute également le cas de Dictao, ou Cryptolog pour la signature, de Sistech et son client VPN … Dans un autre domaine, FIDENS est le seul à proposer avec Egerie un outil de gestion des risques en France... La réussite de Safran dans le domaine biométrique, que vous saluez à juste titre, ne doit-elle rien à la créativité de PME qui ont été absorbées par le passé ? Il me semble que les PME sont plutôt innovantes et créatives, et que ce tissu de PME, dans le secteur de la sécurité comme dans les autres secteurs, constitue une réelle richesse qui devrait être aidée. Plutôt que de se plaindre de leur nombre – encore une fois très fantaisiste -, il faudrait encourager un small business act à la française, donnant à ces PME les moyens nécessaires à leur désir d’entreprendre, et aux grands groupes la possibilité, à terme, d’exploiter les succès que ces PME développent. La forte demande des administrations, une opportunité ? En France en 2012, 2013 … ? Quand on voit les coupes sombres opérées dans les budgets prévisionnels, j’ai du mal à trouver là matière à opportunité. Il suffit de suivre un peu les marchés publics et leur évolution sur le deuxième semestre 2012 pour mesurer à sa juste valeur la réalité de cette demande. Je pourrais tenir longtemps ainsi, féliciter EADS pour ses ambitions (passer de 50 millions CA 2012 à 500 millions d’euros en 2017, chapeau ; en période de crise et avec la difficulté que l’on rencontre à trouver des ressources humaines qualifiées, même sur une base de croissance externe pour 2/3, c’est beau), déplorer la "modestie" de Bull (1300 personnes dans le domaine sécurité, on a compté les doigts de pieds plutôt que les personnes à mon avis), etc. La France dispose des meilleurs cryptologues du monde (j’aurais d’ailleurs volontiers associé Louis Gillou à l’hommage rendu)... Cocorico. J’ai fréquenté en mon temps les congrès crypto, eurocrypt et autres et il me semble que messieurs Rivest, Shamir et consorts avaient l’air assez crédibles sur le sujet également... Quoi qu’il en soit, ça n’est pas forcément celui qui maîtrise le mieux le mouvement théorique du piston qui fabrique les meilleures automobiles je suppose ? Il nous reste toujours, et c’est peut être un mal français, à passer de l’excellence théorique au succès commercial. Là encore, les PME peuvent constituer un relai de première importance. Pour travailler depuis près de trente ans dans le domaine, tant dans les grands groupes que les PME, je suis certain, comme vous, que la cybersécurité française a des atouts : des experts, encore en trop petit nombre malgré les efforts récents des universités et écoles d’ingénieur ; des grandes entreprises dont certaines disposent de la puissance nécessaire pour s’imposer à l’international, et un tissu de PME innovantes et dynamiques œuvrant avec succès sur les produits de demain. C’est en mettant en place une excellente synergie entre ces différents acteurs que nous atteindrons ensemble l’excellence. En travaillant à une meilleure répartition des budgets entre grands comptes et PME. Certainement pas en encourageant l’émergence d’une règlementation encore plus drastique allant à l’encontre des possibilités des entreprises, ou en tablant sur les besoins d’une administration exsangue. Je reste à votre disposition pour échanger plus avant sur le sujet. Jean-Pierre Lacombe Docteur en mathématiques appliquées Président Directeur Général de FIDENS

Répondre au commentaire

30/11/2012 - 15h09 - évident

En même temps si les journalistes écoutaient moins les discours alarmistes de l'UMP et du MEDEF et allaient un peu plus voir ce qui se passe dans les entreprises... Ils seraient moins surpris.

Répondre au commentaire