La cyber ne pardonne pas : investir sans maturité est déjà une défaite

Entretien avec Didier Bazalgette, mené par Jean Langlois-Berthelot 

Les États européens investissent massivement dans le cyber. Pourquoi la maturité devient-elle le point dur aujourd’hui ?
Parce que l’objet même de l’investissement a changé d’échelle. Entre 2021 et 2025, les enveloppes publiques cumulées en cyber se comptent en milliards d’euros à l’échelle européenne. On ne finance plus seulement de la recherche amont, on finance des trajectoires complètes : démonstration, industrialisation, intégration, parfois pré-déploiement. Dès lors, la question centrale devient l’arbitrage. Sur un portefeuille de dizaines ou centaines de projets, lesquels passent réellement du prototype à la capacité déployée ? Les retours internes à plusieurs agences montrent des taux de transformation limités, souvent de l’ordre de 20 à 30 % pour des technologies complexes. Ce n’est pas un défaut de compétence. C’est un défaut de qualification de la maturité au moment de la décision.

Vous distinguez performance et capacité. En quoi cette distinction est-elle déterminante en cyber ?
La performance décrit ce qu’une technologie fait en environnement contrôlé. La capacité décrit ce qu’elle produit en environnement réel. L’écart est massif. Prenons un moteur de détection basé sur apprentissage automatique. Sur un dataset maîtrisé, il peut atteindre 90–95 % de détection. Une fois intégré dans un SOC, avec des flux hétérogènes et du bruit, l’efficacité réelle peut tomber sous 60 %, avec une inflation de faux positifs qui dégrade la décision humaine. Autre cas : la sécurité de la chaîne logicielle. Beaucoup d’outils identifient des vulnérabilités connues en laboratoire, mais peu tiennent la cadence des pipelines CI/CD industriels, où le volume de dépendances et la fréquence de mise à jour créent des angles morts permanents. Dans les deux cas, la performance existe. La capacité n’est pas garantie.

Pourquoi les TRL ne permettent-ils pas de capturer cet écart ?
Parce qu’ils restent linéaires et centrés sur la validation technique. Un TRL élevé indique qu’un prototype a été testé dans un environnement représentatif. Cela ne dit rien sur la résistance à un adversaire, ni sur la maintenabilité, ni sur la qualité d’intégration, ni sur les dépendances. En pratique, deux solutions au même TRL peuvent présenter des profils de risque opposés. Dans les portefeuilles européens, cela crée un biais : des technologies rapides à démontrer montent vite en TRL et captent plus de financement, alors que des briques plus lentes mais structurantes restent sous-financées.

Quelles dimensions doivent être ajoutées pour mesurer la maturité cyber ?
Quatre blocs au minimum. D’abord la robustesse technique en conditions dégradées : performance sous charge, tolérance aux erreurs, qualité du code, gestion des vulnérabilités. Ensuite la résistance adversariale : résultats de red teaming, tests de contournement, capacité à détecter et absorber des comportements adaptatifs. Troisième bloc : l’intégration opérationnelle, c’est-à-dire le coût réel de déploiement, l’interopérabilité, la charge humaine, la supervision. Quatrième bloc : la confiance et la soutenabilité, incluant l’auditabilité, la traçabilité, les dépendances critiques et la capacité de maintenance. Une technologie peut être performante et pourtant dépendre d’un composant non maintenu : elle devient alors un risque systémique.

Dispose-t-on d’exemples concrets où l’absence de maturité a produit des effets négatifs ?
Oui. Premier cas : des solutions de détection très performantes en test, mais incapables d’être exploitées en SOC en raison d’un taux de faux positifs trop élevé. Elles ont été déployées puis progressivement abandonnées, avec un coût d’intégration significatif. Deuxième cas : des outils de sécurité des dépendances logicielles incapables de suivre le rythme des mises à jour, créant une fausse impression de couverture. Troisième cas : des solutions de sécurité elles-mêmes vulnérables, parce que développées sans prise en compte d’un adversaire actif. Dans ces situations, le financement initial ne produit pas seulement un échec. Il introduit une fragilité.

Comment structurer une grille de maturité utilisable à l’échelle européenne ?
Il faut une grille courte, comparable et fondée sur des preuves. Par exemple, une quinzaine d’indicateurs. Taux de faux positifs en conditions réelles. Résultats documentés de tests adversariaux. Temps moyen de déploiement. Nombre de dépendances critiques identifiées. Existence d’un processus de gestion des vulnérabilités. Fréquence des mises à jour. Capacité à passer une évaluation indépendante. Chaque indicateur doit être vérifiable. L’objectif n’est pas de produire un score unique, mais de rendre visibles les fragilités et de fixer des jalons conditionnant le financement.

Les cadres existants – NIST, dispositifs européens, évaluations nationales – ne suffisent-ils pas ?
Ils apportent des briques essentielles, mais ne couvrent pas l’ensemble du problème. Le NIST structure la gestion du risque. Les programmes européens structurent le financement. Les dispositifs nationaux structurent la confiance. Mais il manque une couche intermédiaire : celle qui relie une technologie financée à une capacité attendue. C’est précisément ce que doivent couvrir des indicateurs de maturité.

On voit émerger des approches comme le Net Technological Assessment. Quel rôle jouent-elles ?
Elles apportent déjà des éléments opérationnels. Le Net Technological Assessment permet de replacer une technologie dans son environnement : dépendances, chaînes de valeur, effets systémiques, trajectoires industrielles. Dans le cyber, c’est déterminant, parce que les vulnérabilités sont rarement isolées. Le point de tension n’est pas conceptuel, il est dans le rendement par les données. Pour être pleinement opérationnel à grande échelle, le NTA doit s’appuyer sur des données fiables, comparables, actualisées. C’est ce qui permet de passer d’analyses fines à des arbitrages systématiques. Cette structuration est en cours. Le NTA ne remplace pas les indicateurs de maturité. Il les complète en apportant une lecture systémique.

Qu’est-ce qui se joue à l’échelle européenne derrière cette question ?
La transformation de l’investissement en résilience. L’Europe dispose de compétences et de financements, mais reste exposée à des dépendances et à une fragmentation des approches. Sans indicateurs communs de maturité, les États financent de manière hétérogène. Cela limite la consolidation industrielle et les effets d’échelle. Une grille partagée permettrait de comparer les projets, de mutualiser les évaluations et de structurer une demande publique cohérente.

Votre conclusion est radicale : investir sans maturité est déjà une défaite. Pourquoi ?
Parce que le cyber est un domaine à rétroaction immédiate. Une faiblesse est exploitée. Une erreur d’évaluation devient une vulnérabilité active. À l’échelle d’un système, ces vulnérabilités s’accumulent et créent des points de rupture. À l’inverse, des technologies robustes, même moins visibles, renforcent la résilience. La question n’est pas de financer plus, mais de financer des capacités qui tiennent. La maturité n’est pas un critère technique secondaire. C’est un critère stratégique.