Plan “cybersécurité” : des maux et des actes

Le premier vise à améliorer rapidement et significativement la cyberprotection d’organisations devenues des  cibles de choix dans un contexte tendu de crise sanitaire et de tensions géopolitiques (350 millions € d’investissement direct via le Ségur de la Santé, le financement de missions d’audits et d’accompagnement des collectivités locales par l’ANSSI et ses prestataires de confiance, obligation de consacrer entre 5 et 10% des budgets IT à la cybersécurité pour l’ensemble des administrations). Il s’agit donc ici d’agir sur la demande et de pallier aux besoins prioritaires de secteurs qui, faute de budgets et/ou de ressources et/ou d’incompréhension des enjeux aux niveaux décisionnels avaient fait de la cybersécurité la grande oubliée de leur transformation numérique, elle-même parfois menée à marche forcée. Le second axe tend quant à lui à préparer l’avenir par le financement de l’innovation, le soutien à la recherche et le développement des compétences. Il vise à accélérer fortement la filière française de cybersécurité, d’une part en se fixant des objectifs clairs (un chiffre d’affaires consolidé de 25 milliards € d’ici 2025 (contre 7 milliards aujourd’hui), doublement des emplois dans le secteur, 3 licornes cyber, hausse de 20% des brevets) et, d’autre part, en renforçant les dispositifs existants (budget additionnel pour l’ANSSI, création de CERT Régionaux, lancement du Campus Cyber avec une enveloppe de 70 millions €, poursuite du Grand Défi Cyber etc.). En clair, développer in fine l’offre commerciale française de produits et solutions de cybersécurité sur un marché que dominent largement des acteurs non-Européens, afin de renforcer notre autonomie stratégique numérique.

Mais si ces mesures apparaissent absolument nécessaires, et salutaires, sont-elles suffisantes ? Les logiques qui prévalent pourraient en effet être prolongées afin de pérenniser durablement la dynamique initiée et éviter que l’effort budgétaire engagé ne soit un coup d’épée dans l’eau. Alors qu’à partir de 2013 la Loi de Programmation Militaire (LPM) a contribué à augmenter significativement le marché de la cybersécurité auprès des infrastructures critiques (OIV), privées comme publiques, le plan d’investissement dédié à l’amélioration la cyberprotection ne s’adresse ici qu’au seul périmètre de l’État (administrations déconcentrées, collectivités locales ou territoriales). Après le “bâton” (LPM, NIS ou le RGPD indirectement) pourquoi ne pas créer la “carotte” pour soutenir la demande ? Objectif : favoriser l’achat de solutions de cybersécurité françaises par les grands groupes qui ne sont que 52% à avoir déjà contractualisé avec des start-up cyber selon le dernier baromètre innovation du FIC. Certains évoquent ainsi la création d’un crédit-impôt cybersécurité, permettant aux “grands oubliés de la cybersécurité”, ces milliers de PME ou ETI tout autant touchées par la vague sans précédent de ransomwares que nous connaissons, de rehausser ou d’initier leur posture cyber. Des dispositifs régionaux (Hauts-de-France, Région Sud) d’accompagnement gratuits ont d’ailleurs été déployés, au plus près du tissu économique local, et connaissent un certain succès. Une politique volontariste d’accroissement du marché domestique sera aussi une des conditions de la réussite de la politique “d’offre” de soutien à la filière industrielle française et d’augmentation du nombre d’emplois dans le secteur. La question des débouchés commerciaux est centrale, y compris à l’échelle européenne avec la construction encore balbutiante d’un véritable marché intérieur, et c’est là en partie la force de nos compétiteurs anglo-américains.

Financer la recherche afin de favoriser l’innovation, et donc la compétitivité du secteur dans les batailles à venir, est absolument nécessaire d’autant plus avec les ruptures technologiques présentes (cloud, big data), à venir (edge computing, informatique quantique) ou “appliquées” (véhicule autonome, villes intelligentes, industrie 4.0 etc.). Développer ces briques innovantes de cybersécurité n’a de sens d’un point de vue commercial que si elles peuvent parfaitement s’intégrer dans l’écosystème déjà très lourd et complexe des outils de cybersécurité dont disposent les clients, et en premier lieu les RSSI, et leur simplifier la tâche. L’accent doit donc aussi être mis sur la concentration et le regroupement de nos start-up afin de proposer une offre intégrée as-a-service sur les différents segments de marché, autre grande force de nos différents compétiteurs internationaux. Néanmoins, le véritable enjeu pour nos start-ups réside dans le financement de leurs séries A, B, C ou D ! Si les capacités d’investissement des acteurs publics (BPI France) ou privées (VCs) sont globalement bonnes pour des tickets inférieurs à 10M€, nous sommes encore incapables de financer nos pépites cyber sur des montants supérieurs à 20M€. Les exemples de Sqreen mais surtout d’Alsid (rachetée par Tenable pour un montant de 96M€) en sont sans doute les meilleures illustrations. On ne pourra raisonnablement espérer atteindre 3 licornes françaises de cybersécurité d’ici 2025 qu’à la condition qu’elles puissent trouver en Europe des financements à la hauteur de ces ambitions ou des acteurs industriels, éditeurs ou entreprises de services numériques, susceptibles de consolider le marché.

A l’aube d’une nouvelle décennie, ce plan d’investissement massif doit donc marquer le passage de l’adolescence des années 2010 (première mention dans le Livre Blanc pour la Sécurité et la Défense Nationale de 2007 puis création de l’ANSSI en 2009) à l’âge adulte de la cybersécurité française. Espace privilégié de la conflictualité entre états et far-west moderne pour mafias internationales désormais très structurées, le numérique se traduit aussi par des menaces qui montent en intensité, en agressivité et en complexité. Les Etats-Unis, première puissance mondiale numérique et cyber, ont connu il y a quelques semaines un des plus grosses faillites de leur histoire moderne avec l’affaire Solarwind. Les pansements et rustines ne suffisent plus, il est temps de changer de paradigmes dans notre manière de concevoir le numérique et ses applications. Pour paraphraser Georges Clemenceau, la cybersécurité est désormais une chose trop sérieuse pour la laisser aux (seuls) informaticiens.

Guillaume Tissier, Associé Avisa Partners, co-organisateur du Forum International de la Cybersécurité

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.