Une prise de conscience tardive…

Début 2020, la crise sanitaire s’annonce rapidement et aura une envergure et des conséquences que personne n’attendait. En parallèle, c’est le démarrage d’un programme de soutien à l’innovation en cybersécurité, le premier dans le monde civil, le Grand Défi cyber. Doté de 30M€, il s’inspire des programmes de la DARPA et se veut flexible et focalisé sur les technologies de rupture pour adresser les problèmes de demain. En réalité, le problème est déjà très actuel mais reste cantonné dans l’inconscient collectif à un sujet stratégique, où les États ne s’attaquent et ne s’espionnent qu’entre eux, ou au « ça n’arrive qu’aux autres ». L’année 2020 allait bien entendu faire changer cette vision trop naïve. Mais déjà à ce moment-là, la feuille de route du Grand Défi identifie entre autres deux sujets essentiels à adresser mais qui semblent hors de son périmètre : la protection des petites structures (TPE, PME, collectivités territoriales, etc.) et la stimulation de l’entreprenariat cyber. C’est d’ailleurs après quelques débats et oppositions que ces éléments sont validés. A cette époque pas si lointaine, l’attention des fournisseurs de cybersécurité est principalement tournée vers les grands comptes plus sensibles à la question et en mesure d’y dédier plus de budgets. Quant à l’univers de l’entreprenariat cyber, il en était encore à ses débuts. Les quelques startups en forte croissance se faisaient souvent racheter par des fonds ou des sociétés américaines et la plupart avaient de toute façon du mal à se financer.

… mais rapide !

Début 2021, la crise sanitaire n’est pas terminée mais la numérisation éclair qu’elle a imposée à notre société a fait remonter le sujet cyber : plus une semaine sans que des attaques ne soient mises en lumière dans la presse et même les hôpitaux et les collectivités sont victimes de ces agissements. Tout le monde connait maintenant le mot « ransomware » ou rançongiciel… La cybercriminalité s’est structurée et industrialisée beaucoup plus vite que la cybersécurité et peine certainement, à ce moment-là, à exploiter toutes les opportunités. On aura même quelques cybercriminels qui feront le buzz en annonçant leur retraite après un an d’activité et 2Md€ de chiffre d’affaires ! Mais l’État français réagit vite : en février 2021, la Stratégie Nationale Cyber est annoncée par le Président de la République. Il s’agit d’un programme à 1Md€, parmi les priorités duquel on retrouve de manière classique la R&D pour les nouvelles technologies mais également le soutien à l’entreprenariat, avec la création d’un startup studio et d’un accélérateur tous deux dédiés à la cyber, ainsi que la sécurisation de collectivités et des PME/TPE. Les objectifs économiques associés sont très ambitieux : x3,5 sur le chiffre d’affaires de la filière et x2 sur le nombre d’emplois d’ici 2025. La prise de conscience de l’importance du sujet est d’ailleurs globale. Beaucoup de pays investissent massivement et les entreprises de tous les secteurs recrutent. Malheureusement, le nombre de personnes compétentes dans le domaine n’a pas considérablement changé entre 2020 et 2021. Pire, il n’était déjà pas suffisant avant. La Stratégie Nationale Cyber ne prévoyait malheureusement pas de budget pour la formation mais ambitionnait de créer 37 000 emplois… C’est un problème qui sera corrigé rapidement puisqu’en septembre 2021, 140M€ supplémentaires sont débloqués pour la formation et l’enseignement cyber.

« MALHEUREUSEMENT,LE NOMBRE DE PERSONNES COMPÉTENTES DANS LE DOMAINE N’A PAS CONSIDÉRABLEMENT CHANGÉ ENTRE 2020 ET 2021. »

Déjà des résultats tangibles

Le déploiement se veut le plus rapide possible. L’ANSSI (Agence Nationale des Systèmes d’Information) effectue d’ailleurs un travail remarquable sur le sujet. Sur les 1Md€, il lui est confié 136M€ à dépenser tout de suite pour sécuriser le socle numérique de l’État et des territoires. L’achat public et les commandes de plusieurs millions d’euros ne sont pas dans le cœur de métier de l’Agence, mais cette dernière se structures en quelques mois pour atteindre les objectifs fixés : permettre l’audit et l’équipement de plusieurs centaines de structures publiques. Le dispositif est tellement efficace qu’il sera rallongé de 40M€ en 2022, et certains pensent d’ailleurs déjà à le pérenniser… Côté entreprenariat, les choses avancent rapidement également : le startup studio cyber (Cyber Booster de son petit nom), premier en son genre en Europe, est créé fin 2021 et reçoit en quelques mois plus de 50 dossiers de candidature alors qu’en 2021, seulement 19 nouvelles startups cyber s’étaient créées !

Et l’Union Européenne dans tout ça ?

On le dit, on le répète, le bon niveau est l’échelon européen pour adresser les questions cyber, que ce soit au niveau opérationnel ou au niveau économique. Les startups ont besoin d’un marché européen unifié comme alternative au marché américain pour croître sans systématiquement migrer outre-Atlantique. Les systèmes de détection ne seront jamais assez efficaces et rapides sans un échange d’information au niveau européen. Et surtout, on ne développera pas d’autonomie technologique sur le sujet de la cyber en franco-français. La solution doit être européenne. L’Union Européenne a affiché son intention d’aller dans ce sens : outre les réglementations sur le domaine qui se multiplient (NIS, RGPD, NIS2, etc.), pour la première fois les sujets cyber vont être détourés et sortis des programmes d’innovation principaux de l’UE (Horizon Europe et Digital Europe). Les budgets, les appels à projets, le suivi et la feuille de route stratégique sont confiés à l’ECCC (European Cybersecurity Competence Center), nouvelle administration européenne créée pour l’occasion et basée à Bucarest. Alignée avec la stratégie française, l’UE affiche clairement sa volonté de développer son autonomie stratégique sur le sujet cyber. Les principaux objectifs du centre sont de structurer et d’animer l’écosystème cyber inter régions, d’élever le niveau de protection des différents États membres et d’être à la pointe de l’innovation technologique.

Annonce de la Stratégie Nationale Cyber

J’ai personnellement eu la chance et l’honneur de diriger les programmes français, à savoir le Grand Défi cyber et la Stratégie Nationale Cyber, ainsi que d’être le représentant de la France au conseil d’administration de l’ECCC, en pré et post création. Si l’enjeu de la cybersécurité n’a jamais été aussi grand, et l’actualité nous montre que des nations entières peuvent être mises en difficulté par des attaques, l’ambition et la volonté politique d’y répondre sont également importantes. Le domaine reste encore très jeune et nos actions d’aujourd’hui et de demain impactent directement sa structuration et, ainsi, l’avenir numérique de nos sociétés.