L’écosytème de la cybersécurité se bat pour une souveraineté numérique européenne

Placée sous le signe du sport, en clin d’œil aux futurs grands événements à venir dans l’Hexagone, cette édition avait pour thème « Souveraineté européenne : transformons l’essai ! » et le manifeste remis au nouveau ministre Jean-Noël Barrot, avait pour objectif de rendre concret le désir de souveraineté de tout l’écosystème. « Tout a été dit, écrit et parfois galvaudé sur la souveraineté, a concédé Jean-Noël de Galzain, le président d’Hexatrust, mais la souveraineté, c’est un peu l’oxygène dans notre sang et il en faut si on veut continuer à vivre. La nouvelle mandature de cinq ans va nous permettre de corriger certaines erreurs assez récentes et de construire tous ensemble une politique industrielle ambitieuse ».

Certes, le diagnostic actuel peut, de prime abord, paraître sombre et Bernard Benhamou, secrétaire général de l’Institut de la Souveraineté Numérique, a enfoncé le clou afin de souligner encore l’urgence d’un passage à l’action. « Nous n’avons pas de politique industrielle, nous n’existons pas en termes de grands acteurs du numérique en Europe et dans le monde. Nous n’avons pas de Top 20, ni de vrais acteurs de taille internationale, a-t-il asséné. Nous avons certes de belles entreprises et de belles startups et licornes mais elles ne passent jamais le plafond de verre pour devenir de vrais géants ».

Et ce, pour une simple raison : « contrairement à l’Allemagne, la collaboration entre grandes entreprises, ETI, PME et startups ne se fait pas. Les grandes organisations ne savent travailler qu’avec les grands équipementiers. C’est une question de culture d’entreprise, les grands se méfiant des petits et doutant de leur fiabilité dans la durée. Par ailleurs, le mécanisme américain de Small Business Act, qui a permis aux Amazon et autres GAFA de se développer, n’existe pas en France pour des raisons politiques, liées au lobbying de grandes entreprises qui ne veulent pas partager le gâteau ».

Il évoque également l’État « prescripteur », qui a agi d’une manière générale ces dernières années à l’inverse de ce que l’État « régulateur » est censé faire, en choisissant des solutions extra-européennes. L’exemple le plus parlant en est le Health Data Hub, plate-forme des données de santé, dont la mise œuvre a, pour des raisons éminemment politiques, été confiée à Microsoft qui disposait d’une solution sur étagère rapide à déployer. Mais ça, c’était avant sa « mise en veille » à la suite d’un avis de la Cnil, qui a fait part de son souhait que l’hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne dans un souci de protection des données personnelles.

Heureusement, les choses bougent et à la « faveur » de la crise du Covid et de la guerre en Ukraine, la perception politique de ces sujets a changé. Preuve en est, l’annonce de Bruno Le Maire, lors de l’inauguration du nouveau datacenter d’OVHcloud à Strasbourg, le 12 septembre dernier, de la création d’un comité stratégique de filière sur le numérique de confiance, présidé par Michel Paulin, CEO d’OVHcloud. Un contexte idéal pour le manifeste d’Hexatrust qui repose sur les cinq « R », cinq principes fondamentaux à mettre en place pour créer un numérique responsable : résilience, responsabilité, réversibilité, réciprocité et respect de la vie privée. Accueilli avec enthousiasme par l’ensemble de l’écosystème, le manifeste propose dix mesures concrètes, simples à mettre en œuvre. La prochaine étape pour les signataires, un rendez-vous avec Jean-Noël Barrot, dont la date reste à déterminer. Affaire à suivre…

Les préconisations du manifeste décryptées par Jean-Noël de Galzain

1. Sensibiliser et former largement les citoyens et les entreprises aux usages des solutions européennes

« Je vais prendre l’exemple de l’action de Wallix (ndlr : l’entreprise de Jean-Noël de Galzain). Notre plan, Wallix Education, nous amène à nous rendre dans les écoles d’ingénieurs, les Bachelors et bientôt les écoles de commerce, pour sensibiliser les étudiants aux risques cyber et au numérique de confiance et former certains à l’utilisation de nos solutions. Ensuite, dans le plan stratégique de filière que je conduis, l’objectif est de former 4 000 apprentis à la cybersécurité. Enfin, nous avons lancé avec le Campus Cyber un groupe de travail sur ce sujet ».

2. Créer un catalogue de solutions souveraines à référencer en priorité auprès des centrales d’achats (UGAP, Direction des Achats de l’État, centrales sectorielles)

« Des catalogues comme celui de l’Anssi ou celui d’Hexatrust existent déjà et nous proposons d’étendre le catalogue à l’ensemble de la filière et, ce qui est fondamental, de le référencer ensuite chez les acheteurs et notamment l’UGAP ».

3. Mobiliser les fonds destinés au financement des startups, PME et ETI de croissance pour contribuer à faire émerger au-delà des licornes, des champions industriels internationaux

« Nombre d’initiatives se dessinent comme le Cyber Booster au Campus Cyber, un accélérateur annoncé en fin d’année par le ministre, et la création par un certain nombre d’entrepreneurs, dont je fais partie et dont je suis le fondateur, du fonds Cyber Impact, doté de 60 millions d’euros, pour investir dans les startups de la cybersécurité. Mais pour moi, il manque aujourd’hui un fonds d’investissement dans les entreprises de croissance, auquel il faudrait consacrer entre 300 et 500 millions d’euros pour faire émerger trois champions ».

4. Doter France Relance pour aider la demande à s’équiper avec des offres européennes

« L’enveloppe de 176 millions d’euros dédiée à la cyber a essentiellement servi à réaliser des audits et partiellement à équiper 200 hôpitaux. 20 millions ont été ajoutés récemment pour 200 nouveaux hôpitaux mais je pense qu’il faut continuer à alimenter ce fonds pour les 1 200 plus grands établissements français et l’étendre à des entreprises fragilisées comme les ETI et les PME souvent sous équipées, en commençant peut-être par les secteurs réglementés et sensibles ».

5. Mobiliser des financements de R&D pour favoriser l’interopérabilité et la portabilité des solutions avec les plates-formes existantes

« Des fonds existent, notamment au Secrétariat général pour l’investissement, et l’idée est de les orienter notamment vers tout ce qui est relatif au cloud computing afin que l’ensemble des applications et logiciels de cybersécurité dont ont besoin les organisations soient référencés et présents dans les market places de nos cloud providers. On reproche en effet souvent à nos plates-formes de cloud d’être sous-équipées et moins avancées que celles des GAFA. Je pense qu’elles sont tout aussi performantes sur le plan technologique mais qu’en revanche, nous sommes en retard sur les catalogues d’applications ».

6. Faire émerger l’assurance cyber pour tous, et particulièrement pour protéger les petites et très petites entreprises

« Cette mesure concorde avec une récente proposition de loi du gouvernement. J’estime cependant que rembourser les rançons versées par les victimes serait un pousse-au-crime et que la priorité est de protéger les entreprises les plus fragiles ».

7. Stimuler l’émergence d’un marché européen du numérique avec la création d’un European Tech Business Act

« Nous proposons de calquer ce dispositif sur celui du Small Business Act. Il s’agit de privilégier nos offres sur certains pans de marché et de protéger, grâce à la réglementation en cours, certains marchés où se pose une problématique de cyberrésilience et de données sensibles. Je pense à ceux concernés par la directive NIS, dénommés secteurs essentiels ».

8. Faire de la commande publique un levier de transformation de l’État et l’orienter vers les industries européennes conformément aux Objectifs de Développement Durable (ODD) et en ligne avec une « doctrine de responsabilité numérique » encore à inventer

« Si un grand nombre de PME ont accès à la commande publique, les volumes sont en revanche très faibles du fait de la problématique de risque et souvent d’une déconsidération de nos offres avec l’impression constante que « l’herbe est plus verte ailleurs ». Nos entreprises accusent aussi du retard dans un certain nombre de domaines et la question des intégrateurs, qui devraient participer davantage à l’effort de construction de la chaîne de valeur, se pose également. Notre volonté est qu’au moins 25% des volumes de la commande publique reviennent aux PME. La politique industrielle passe par là ».

9. Accompagner la mise en place d’une stratégie coordonnée de diplomatie économique entre les services de l’État, visant à promouvoir les offres de la filière numérique française à l’export

« Cette mission pourrait être confiée à Bercy, au ministère de l’Europe et des Affaires étrangères ou encore à la FrenchTech ».

10. Mettre en place un Small Business Act tant à l’échelle française qu’européenne pour favoriser l’accès des startups, PME et ETI innovantes à la commande publique

« Ce que nous voulons construire au niveau européen, nous souhaitons aussi le construire au niveau français. Il est là question de notre souveraineté, de notre autonomie et de notre économie, qui ne passent pas par l’Europe mais par notre propre volonté de mettre en place une politique industrielle. La sécurité est un devoir régalien et le numérique sécurisé, que j’appelle le numérique de confiance, est une urgence pour tous les secteurs et tous les acteurs de l’économie ».