Cyber entreprise

Comment la Cyber-sécurité transforme l'Entreprise

Le blog de Guy-Philippe Goldstein

Le plan “cyber” pour la France : un nouvel élan, sur une route encore inachevée

Publié le

Le plan “cyber” pour la France : un nouvel élan, sur une route encore inachevée
Avec sa stratégie nationale pour la cybersécurité dotée de 1 milliard d'euros, le gouvernement veut faire émerger des champions français du secteur.
© Elysee

Le gouvernement français a publié fin février un plan constituant la « stratégie » pour contrer la menace cyber [lire les communiqués de presse et documents de l'Agence nationale de la sécurité des systèmes d'information (Anssi) [1]]. Le moment ne pouvait mieux être choisi, alors que la France, comme le reste du monde occidental, combat une vaste campagne de rançongiciels [2], exploitant en partie la crise Covid-19. Alors, que penser du plan ? Allons directement à la conclusion : c’est un signal important, qu’il faut saluer. Il couvre un large spectre de mesures pertinentes. Cependant, il devra absolument être complété par un volet industriel s’il veut atteindre ses vrais objectifs – qui ne se limitent pas à la stricte cyberprotection de la nation.

Le signal est important. Le dossier de presse est introduit par le ministre de l’Économie, Bruno Le Maire, avant même Cédric O, le secrétaire d’État chargé de la Transition numérique. Mais c’est surtout le fait que l’annonce a été portée par le Président lui-même qui compte [3]. C’est important dans un pays aussi « vertical » que la France. Quelques soient les traditions étatistes, avoir le soutien du chef de l’État représente évidemment un apport significatif pour tout domaine émergent.

Implication au plus haut de l'État

De très nombreuses raisons expliquent l’avance considérable sur ce sujet pris par l’écosystème israélien. Mais l'une d'elles, qui a été souvent rapportée à l’auteur de ces lignes, c’est l’implication directe du Premier ministre sur le sujet dans le courant de la décennie écoulée. Cette implication était visible dès juin 2011, quand le Premier ministre, informé d’un plan qu’il venait d’approuver et peut-être aussi un peu inspiré d’autres lectures plus romancées, était venu lui-même parler de l’ambition d’Israël dans la cybersécurité. Il s’agissait alors de la « première conférence sur la cyberguerre » : une matinée dans l’auditorium principal de l'université de Tel Aviv, ponctuée de quelques keynotes de chercheurs et auteurs étrangers. Depuis, la « CyberWeek » s’étale sur une semaine, se déroule sur tout le campus, accueille de multiples délégations étrangères, et le Premier ministre continue à venir chaque année pour parler de l’état de la cybersécurité du pays.

Dans le plan français, le chiffre « rond » de 1 milliard d’euros consacré à la cybersécurité (dont 720 millions de fonds publics) a probablement valeur de signal. Mais le Président pourrait aussi marquer les esprits s’il se rendait chaque année à l’une des grandes conférences en France dédiée à la cybersécurité, premier risque aujourd’hui pour les entreprises.

Dans le détail, les mesures du plan ont l’intelligence de couvrir un champ large de domaines et de souligner l’importance du facteur humain. Les questions de sensibilisation et de formation prennent une place importante. À raison, car, comme le notait le dernier rapport « Risk in Focus » de l’ECIIA, l’organisme européen de référence pour les auditeurs et contrôleurs internes, la part de l’« erreur humaine » (mots de passe faibles, négligence dans les mises à jour ou le chiffrage des documents importants, précipitation à cliquer des liens potentiellement dangereux, etc.) constitue un des facteurs clés de la cyberattaque dans plus de 90% des cas, dans le domaine civil et même au Pentagone [4] !

Création d'une filière française

L’évocation en particulier du problème des collectivités territoriales est également très juste. La campagne actuelle de rançongiciels ne les a pas épargnées, comme l’ont montré les attaques contre la métropole d'Aix-Marseille en 2020 ou contre Châlon-sur-Saône, la semaine où était présenté le plan [5]. Il s’agit là d’un domaine clé de la protection de la vie civile, sur lequel l’État doit soutenir et orchestrer une défense locale souvent défaillante [6].

La formation est aussi mise en avant, avec l’ambition de passer de 37 000 à 75 000 emplois dans la filière dans les cinq ans. Les pistes évoquent à la fois le « développement de masters spécialisés et de mention pour des masters dans d’autres filières », ce qui traduit bien l’idée de faire de la cybersécurité un domaine transverse, que l’on retrouvera dans les autres matières. Tant sur les questions clés de reconversion et formation continue que sur un chiffrage plus détaillés des mesures, on attend bien sûr la poursuite de la réflexion afin de donner plus de corps et de poids aux propositions et ambitions énoncées.

Au cœur du plan, figure la volonté de développer une filière française de cybersécurité, ce qui va au-delà de la protection cyber du pays. On peut supposer qu’il y a là l’ambition de créer une « base industrielle et technologique de cyberdéfense », à l’image de ce qui existe dans les industries de la défense. Notre voisin britannique, comme la France acteur de premier plan sur les grands marchés de l’armement, ne s’y s’est pas trompé. Un récent rapport gouvernemental notait qu’en 2019 les exportations de cybersécurité, en augmentation très forte, constituaient plus de la moitié du chiffre d’affaires réalisés dans les exportations de sécurité [7].

On peut questionner la pertinence de la classification d’une partie des exportations de services de cybersécurité dans le domaine des industries de l’armement. On ne peut cependant nier l’importance en termes d’influence et de projection de la puissance nationale que constituent des capacités fortes d’export en cybersécurité. Ce que démontre très bien un pays comme Israël. L’État hébreu a su utiliser cette nouvelle puissance pour aider à ouvrir les portes diplomatiques des états du Golfe – une chasse gardée traditionnelle des grands pays occidentaux exportateurs d’armement.

Valoriser l'écosystème de start-up tricolores

Le plan français a l’intelligence de mettre en avant une dizaine de nos meilleures start-up tricolores – plutôt que d’accorder des crédits à de grands groupes, qui ont parfois des difficultés à faire vivre l’innovation de rupture si vitale dans la cybersécurité. Il met également en avant le futur campus cyber, un lieu « totem » pour faire vivre l’écosystème inspiré de ce qui se développe à Beer-Shev’a, en Israël – même si, dans ces questions fondamentales d’animation du talent humain, le diable est dans le détail. Enfin, 200 millions d’euros de fonds propres sur cinq ans sont évoqués. Un montant qui n’est pas à l’échelle, mais de toute façon, est-ce au public de se substituer à l’investissement privé ?...

… C’est là précisément où il faudra compléter par un volet économique, si l’on veut être crédible pour réaliser ces ambitions « duales ». Rappelons certains chiffres : les levées de fonds de l’écosystème français en 2020 se situent entre 100 et 150 millions d’euros [8], alors que l’israélien a levé vingt fois plus et constitue plus de 10% des exportations mondiales de produits et services de cybersécurité [9] (le plus grand acteur étant, et de manière très large, les États-Unis). Pour dire les choses crûment, la France court le risque d’être profondément déclassée sur cette course au développement industriel, malgré la richesse et la haute qualité de ses talents, y compris dans les domaines les plus régaliens de la cyberdéfense.

S'implanter sur le marché mondial de la cybersécurité

Un point clé de ce développement, c’est l’accès au premier marché mondial de la cybersécurité, et là où se trouvent ses clients les plus prescripteurs : les États-Unis, justement. Or, une réponse « organique » est en train d’émerger, avec en particulier trois opérations au cours des douze derniers mois – la levée de fonds de CybelAngel, le rachat d’Alsid (France) par Tenable (États-Unis) et celui de Sqreen (France) par Datadog (États-Unis). Dans les trois cas, un groupe d’entrepreneurs et cofondateurs français déjà installés aux États-Unis a permis à des start-up françaises de cybersécurité de s’ouvrir les portes du marché américain. Il s’agit d’un début – mais c’est précisément de cette manière, en essayant de s’exporter au plus tôt sur le marché américain, que les start-up israéliennes ont réussi leur fantastique développement, il y a une vingtaine d’années.

Cette voie peut être aidée et amplifiée. Il le faudra de toute façon si, dans cette course à l’accès, la France veut essayer de rattraper un retard déjà conséquent. Mais cela nécessitera aussi de repenser du point de vue stratégique ce que veut dire l’influence au temps des réseaux cyber. Et comment non seulement protéger sa souveraineté, mais surtout étendre sa puissance nationale dans un domaine où les frontières s’effacent rapidement et où le succès sourit à ceux qui savent sortir de leur pré carré. Telles sont certaines des conclusions auxquelles conduit la « dualité » défense-civile profonde de ces marchés, et les effets de viralité qui s’expriment de multiples manières dans cette économie des réseaux.

Le plan français est un point de départ important. La prochaine étape devra être une réflexion sur l'extension de la puissance nationale via l’écosystème cyber à l’âge des réseaux.



[4] https://www.ifaci.com/wp-content/uploads/RIF21-Practical-guidance-on-cybersecurity-and-data-security.pdf
Note : l’auteur de ces lignes a été l’un des rédacteurs de ce guide.

[6] Voir dans le détail le rapport du Clusif à ce sujet (juillet 2020) : https://clusif.fr/publications/restitution-de-letude-mips-2020-collectivites/

[7] https://www.gov.uk/government/statistics/uk-defence-and-security-export-statistics-for-2019/uk-defence-and-security-export-statistics-for-2019
À noter que ce chiffre était lui-même amplifié par l’incorporation de filiale britannique d’entreprises américaines telles que McAfee.

 

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte