Sécurité : Face aux prises de position fortes de la nouvelle administration américaine en matière de soutien à la cybersécurité, les efforts consentis par la France font pâle figure. Seule planche de salut, l’échelon européen, à condition de lever les obstacles.
Si tout le monde s’accorde sur l’importance de la cybersécurité, les chiffres ne mentent pas. Le gouvernement français a annoncé en début d’année un plan de soutien à la filière visant à stimuler notamment la recherche et le développement, via un investissement de plus de 700 millions d’euros de fonds publics, pour un plan total de 1 milliard d’euros, en impliquant des acteurs privés. Fin août, le président Joe Biden présentait une initiative similaire. Mais les montants sont difficilement comparables : Google propose d’investir 10 milliards sur 5 ans, Microsoft 20 milliards, auxquels s’ajoutent les promesses d’acteurs comme Amazon ou IBM pour favoriser la formation.
Un investissement qui devrait profiter à tous
Pour Guillaume Poupard, cet effort massif consenti par les Etats-Unis n’est pas une mauvaise nouvelle, loin de là.
« La réaction américaine est très forte. C’est un marqueur de la nouvelle administration, je pense, qui souhaite faire oublier certaines erreurs du passé. Ils ont été traumatisés par les incidents Solarwinds, l’exploitation des failles sur les serveurs Exchange ou encore l’incident Colonial Pipeline, alors ils font feu de tout bois. Et c’est plutôt positif au final ! On les voit aujourd’hui porter des messages sur la responsabilité des acteurs privés qu’on défendait de notre côté depuis longtemps. »
Les Etats-Unis sont un acteur de premier plan dans le domaine cyber, et l’investissement massif annoncé à la fin du mois d’août par le gouvernement pourrait finalement profiter à tout le monde, estime le dirigeant de l’Anssi. « Pour les cybercriminels, cela signifie que la vie va probablement devenir bien plus compliquée, et c’est très bien. »
Le modèle de la tortue
Mais l’Europe, et en particulier la France, qui prendra en 2022 la présidence de l’Union européenne, ne souhaitent pas se laisser complètement distancer par l’allié américain sur le sujet. Impossible pourtant de compter sur des montants aussi importants d’investissements publics ou privés ni sur la force de frappe d’acteurs comme les GAFAM pour espérer tirer son épingle du jeu.
Le modèle n’est peut-être pas le même, comme le résumait le Général Marc Watin Augouard lors de la conférence d’ouverture du FIC : « Thierry Breton évoque souvent l’image d’un bouclier européen. Je préfère de mon côté l’image de la tortue romaine : chaque état membre doit disposer de son bouclier afin d’être responsable de sa propre sécurité, et en même temps de celle des autres. »
Le sujet européen est en tout cas un axe majeur de l’année à venir pour l’Anssi, qui compte bien profiter de la présidence française de l’UE pour apporter la touche finale aux outils à disposition de l’UE pour renforcer sa protection dans le domaine cyber. « Aujourd’hui, l’ensemble des Etats membres ont développé des capacités et travaillent à une mise en réseau de ces capacités. On le voit avec le réseau des CSIRT européen ou avec le réseau Cyclone, on parle avec nos homologues européens de façon quotidienne sur des sujets opérationnels et techniques », assure Guillaume Poupard. La prochaine étape que voit le dirigeant, c’est de travailler sur les questions de solidarité européenne, afin de permettre de venir en aide de façon concrète pour aider un autre Etat membre en cas d’attaque. « On ne va pas créer une armée cyber européenne, mais on a besoin de travailler ensemble » résume le dirigeant.
Certifier au bon niveau
Si l’interaction entre les différentes agences de cybersécurité européennes semble en bonne voie, d’autres sujets préoccupent néanmoins. L’émergence d’un schéma de certification européen, qui permettra de distinguer au niveau de l’UE les solutions de qualité, a ainsi été actée par l’adoption du Cybersecurity Act, mais doit encore se concrétiser.
La question avait déjà été évoquée à plusieurs reprises sur le salon et dans diverses conférences : l’absence d’un véritable outil de certification commun aux différents pays de l’UE est un frein pour les entreprises qui souhaitent distribuer leurs solutions auprès de l’ensemble des pays européens.
En la matière, la France veut jouer le rôle de prescripteur, avec le travail de l’Anssi, et rappelle que les certifications franco-françaises auront vocation à disparaître quand leurs équivalents européens seront adoptés. « Sur ce sujet, on ne veut pas de concurrence entre des schémas nationaux et européens. Dès que le schéma européen de certification cloud sera adopté, Secnumcloud aura vocation à disparaître », résume Guillaume Poupard. Avec en arrière-pensée l’idée que les propositions de la France en la matière iront inspirer largement les versions européennes.
L’argent, nerf de la cyberguerre
Reste que les chiffres sont têtus : en matière de soutien à la filière, difficile de s’aligner avec les prétentions américaines et sa force de frappe économique. Pour Jean-Noël de Galzain, président du consortium Hexatrust, qui regroupe les start-up françaises du secteur de la cybersécurité, le pays a besoin de « fonds d’investissement plus ambitieux pour pouvoir garder nos start-up et éviter de les voir partir à l’étranger faute de soutien financier ».
Difficile en effet de ne pas penser au destin de pépites françaises comme Alsid, récemment passée sous pavillon américain.
Pour Stéphane de Saint Albin, vice-président d’Hexatrust, les autorités devraient également soutenir la filière en favorisant la commande publique, une autre idée mise en œuvre aux Etats-Unis au travers du Small Business Act, qui réserve une partie de la commande publique aux entreprises américaines de taille réduite. Mis en œuvre depuis les années 50, ce texte facilite le financement de jeunes pousses, qui peuvent compter plus facilement sur la commande publique pour prendre leur essor.
Une proposition notamment reprise dans le cadre d’un livre blanc publié aujourd’hui par l’Agora du FIC, qui regroupe 28 recommandations pour la présidence française du Conseil de l’Union Européenne en matière de sécurité et de réglementation de l’espace numérique. Les auteurs recommandent notamment l’institution d’un « Buy Digital European Act » pour favoriser le développement des nouvelles entreprises du secteur, au coté d’autres mesures visant à ameliorer l’investissement public et privé et ameliorer le soutien à l’innovation. Le secteur attend donc la présidence française du conseil de l’UE de pied ferme.
Source : ZDNet.com