Entretien Cyril Dujardin (Atos) : « L’arsenal juridique européen a vocation à être consolidé »

Le Directeur des activités « Digital Security » d’Atos prône un renforcement de la législation européenne autour de la security by design, de la résilience et de la normativité. À une semaine de son intervention au FIC, durant la séance plénière « L’Europe, puissance normative. Et après ? », il appelle également de ses vœux une politique industrielle ambitieuse pour construire les champions de demain.

RGPD, NIS, Digital Services Act (DSA), Digital Market Act (DMA)… L’arsenal législatif européen est-il suffisant ?

En tant que fournisseur de services et produits de cybersécurité, nous considérons comme très positif que ces différentes législations existent. En matière de protection des données, le RGPD va dans le bon sens. Quant à la directive NIS, elle nous permet de crédibiliser nos démarches et d’évoluer dans un cadre bien défini. Le marché de la cybersécurité est en effet encore très peu mature, et fait intervenir de très nombreux acteurs. Les sujets techniques et organisationnels sont encore nouveaux, et ils ne cessent d’évoluer.

Cet arsenal juridique n’est cependant pas la panacée. Nos clients, au-delà des sujets de conformité réglementaire, nous demandent des solutions technologiques qui leur permettent de protéger leurs données et de les maintenir dans des environnements souverains et maîtrisés.

Que faudrait-il faire pour renforcer cet arsenal législatif ?

En tant que prestataire de solutions technologiques, je pense que tout ce qui a trait à ce qu’on appelle la « security by design » devrait être renforcé. Aujourd’hui, tout système, produit ou toute technologie devrait bénéficier d’une conception respectant les normes et standards de sécurité et de cybersécurité en vigueur – et ce plus précisément en matière de chiffrement, de gestion des accès et de mise à jour des vulnérabilités. Actuellement, il n’existe aucun moyen de mettre à jour de très nombreux produits. C’est précisément ce sur quoi la Commission européenne est en train de travailler, dans le cadre du « Cyber Resilience Act ».

Par ailleurs, nos clients nous questionnent de plus en plus sur le thème de la résilience et non plus seulement sur le seul aspect de la cybersécurité. Avec le conflit en Ukraine, nous constatons que les infrastructures informatiques et de sécurité sont complètement distribuées dans des clouds publics et privés. Il est nécessaire de pouvoir isoler, à tout moment, des parties d’une société ou d’un réseau pour les préserver.

Ces problématiques de résilience n’étaient jusqu’à présent pas du tout couvertes par les questions de gestion étendue des données. De nos jours, la menace n’est plus seulement une menace de cybersécurité, elle peut également constituer un risque de guerre « traditionnelle ». Les équilibres de souveraineté, à un instant « t », peuvent évoluer très rapidement. Il faut donc davantage s’inscrire dans une démarche évolutive, et non plus figée.

Quel rôle l’Europe doit-elle jouer plus globalement en matière de cybersécurité ?

L’Europe doit aller encore plus loin dans la normativité de la cybersécurité. Il s’agit d’une thématique encore très nationale : chaque pays possède ses propres critères et standards. Il existe un certain nombre de reconnaissances croisées, mais pas encore de véritable certification européenne, même si le projet est en cours.

Il est nécessaire pour cela de créer de véritables standards européens qui ne soient pas calqués sur le modèle américain. Quitte à renforcer la normativité, autant permettre aux entreprises européennes de bénéficier d’un avantage et d’un différentiant par rapport aux organisations outre-Atlantique. Aujourd’hui, l’hétérogénéité des régulations et des standards avantage les sociétés américaines.

Quelles autres actions l’Europe doit-elle mener pour être souveraine en matière de cybersécurité ?

L’autre point sur lequel l’Europe a un rôle majeur à jouer dans la cybersécurité, ainsi que pour répondre à nos préoccupations de souveraineté, c’est l’investissement dans l’innovation. Nos concurrents américains, israéliens et chinois y consacrent des budgets sans commune mesure avec les nôtres. En Israël, cela passe par des marchés militaires, aux États-Unis par des marchés militaires et civils, et en Chine, il n’y pas vraiment de frontière entre les deux. À l’inverse, en Europe, nous avons tendance à vouloir financer l’innovation en saupoudrant les budgets entre tous les États membres, au lieu de concentrer les investissements sur des acteurs qui ont vocation à devenir globaux.

Au-delà de l’investissement, la question de la politique industrielle européenne peut être posée en ces termes : voulons-nous développer le domaine de la cybersécurité et créer des politiques d’achat public qui s’appliqueraient aux organismes européens ou gouvernementaux de chaque pays, sur le principe de la préférence européenne ? Cela favoriserait les entreprises présentes sur notre continent.

Par ailleurs, je dirais que l’Europe, au-delà des aspects régulation et financement, doit montrer l’exemple en créant des alliances et des coopérations afin que ses entreprises d’envergure internationale puissent travailler ensemble, mais aussi avec des universités, des laboratoires de recherche et des partenaires publics. Typiquement, c’est une initiative telle que celle du Campus Cyber au niveau national, qui pourrait voir le jour au niveau européen.

Enfin, dès que cette coopération européenne sera instaurée, il nous faudra en faire la promotion. On le constate à la lumière des conflits géopolitiques actuels : il existe un vrai besoin de « vendre » la capacité de l’Europe à offrir des solutions de cybersécurité à des pays ou des entités parapubliques et privées, indépendamment des concurrents étrangers. La cybersécurité fait désormais partie des technologies clés des guerres informationnelles, voire des guerres classiques.