Humilité et confiance, valeurs essentielles pour une collaboration public-privé réussie

Le secteur privé est désormais incontournable pour l’Union européenne et ses États membres dans la réalisation de leurs politiques publiques relatives à la cybersécurité. C’est le constat qui a été rappelé à maintes reprises lors des diverses séances plénières du FIC 2022.

En matière de cybersécurité, « l’élément qu’il faut mettre dans l’équation (…) c’est le secteur privé », martelait ainsi Guillaume Poupard, directeur général de l’Anssi au FIC 2022. Dans le même temps, le général Jean-Philippe Lecouffe, Directeur exécutif adjoint chargé des opérations d’Europol, insistait sur la nécessité de « casser les silos (…) entre le public et le privé ».

Et casser les silos, Europol sait le faire ! À l’image de son Centre de lutte contre la cybercriminalité (EC3) qui élabore de nombreux partenariats public-privé pour mieux poursuivre ses missions, Europol « met les gens autour de la table » affirmait-il : « On a plus de 70 partenaires, on a 30 accords (…) avec un certain nombre d’organisations publiques et privées avec lesquelles on se consulte, on échange de l’information ».

Échange d’informations qui ne peut s’opérer que si chacun des acteurs publics et privés fait l’effort de « sortir de son monde ». Mais pour sortir de son monde, encore faut-il être mû par deux valeurs essentielles : celles d’humilité et de confiance.

Une nécessaire humilité

Dans son grand ouvrage Droit, législation et liberté, Hayek insistait sur le fait que la croyance en un État déifié capable de tout organiser et prévoir était révolue. C’est ce que Lyotard a aussi considéré dans sa condition postmoderne : avec l’émergence de ce qu’il appelait les « machines informationnelles », l’État ne détient plus le monopole du savoir, des données, de l’information. Il les partage désormais avec une multitude d’autres acteurs, dont les entreprises privées, qui s’engagent alors dans des stratégies pour en obtenir le plus afin d’accroitre leur puissance.

Ainsi, Hayek et Lyotard décrivent un véritable changement de paradigme : la toute-puissance de l’État est réfutée. Et cela ne peut que déboucher sur la pratique d’une nécessaire humilité à la fois pour les pouvoirs publics comme pour les acteurs privés : les premiers prennent conscience qu’ils ont besoin des seconds et vice versa afin d’augmenter leur puissance respective. En matière de cybersécurité, ce constat est plus vrai que jamais.

En effet, le cyberspace est exploité en grande partie par le secteur privé. De plus, selon Guillaume Poupard, « ceux qui ont des moyens compétents, formés (…), capables (…) de déplacer le barycentre en fonction de l’actualité, en fonction du besoin c’est avant tout le secteur privé ». Et en même temps, les pouvoirs publics se doivent d’user de leurs prérogatives de régulation du cyberspace non seulement pour diriger son utilisation vers le bien commun mais aussi pour exercer sur lui leurs nécessaires pouvoirs régaliens. Ainsi cet enchevêtrement du public et du privé contraint l’un et l’autre de s’accorder afin d’œuvrer à une nécessaire collaboration.

C’est pourquoi les pouvoirs de l’État et de l’UE se métamorphosent partiellement en instances régulatrices comme l’explique une note de Pierre Berthelet sur l’ « émergence d’un « État régulateur » européen en matière de cybersécurité » (note de 2017 pour le Centre de Recherche de l’École des Officiers de la Gendarmerie nationale). Ainsi, les pouvoirs publics se limitent principalement à organiser le jeu des divers acteurs privés en coordonnant leurs actions au moyen, surtout, d’un droit souple pouvant être formé avec eux et réajusté si besoin. Par conséquent, plutôt que des acteurs, les pouvoirs publics deviennent des entraîneurs en encourageant les acteurs privés.

À l’échelle de l’UE cela se traduit, par exemple, par l’élaboration du Partenariat public-privé contractuel (PPPc) formé après consultation publique et recueil de contributions des acteurs concernés visant à alimenter les réflexions quant aux mesures susceptibles de stimuler la cybersécurité européenne. Signé en 2016 entre la Commission européenne et l’European Cybersecurity Organisation, il a permis de consacrer un budget de 450 millions d’euros dans le cadre du programme européen Horizon 2020 afin de financer, par le biais d’appels d’offre, des projets privés relatifs à l’industrie, la recherche et l’innovation dans le domaine de la cybersécurité. Ainsi, comme l’explique Pierre Berthelet, « le PPPc a pour objectif de transcender les clivages et les effets de fragmentation inhérents à la prolifération des intervenants (…). Il se caractérise par une démarche fondée sur la cogestion, par un recours au droit souple ainsi que par une mise en réseaux d’acteurs publics et privés ».

Mise en réseaux qui se retrouve aussi à l’échelle de l’État et, en l’espèce, de l’État français. En effet, comme l’explique un rapport de 2021 des sénateurs Sébastien Meurant et Rémi Cardon concernant la cybersécurité, « la stratégie de l’État vise à encourager le développement d’un écosystème de la cybersécurité ». Et ce, en s’efforçant de coordonner les actions des acteurs publics et privés par le biais d’appels à projet « de recherche et développement cofinancés avec les acteurs privés de la cybersécurité » ou encore en participant à la mise en œuvre d’événements, comme la journée « autonomie et sécurité numérique », ou de structures, comme le Campus Cyber, qui développent des synergies entres les multiples acteurs de l’écosystème.

Par conséquent, chaque acteur public ou privé ne peut que pratiquer l’humilité pour apprendre des autres. Cette nécessaire humilité, Europol le démontre à merveille avec, par exemple, le site No More Ransom proposant des clés de déchiffrement pour une centaine de familles de ransomwares et que l’EC3 a initié avec Kaspersky, McAfee et la police néerlandaise. Ou encore avec sa collaboration avec le privé pour recueillir des informations relatives « aux menaces cyber issues de l’agression russe en Ukraine » comme l’a expliqué Jean-Philippe Lecouffe. Avant d’ajouter que « le partage d’informations est clé ».

En quête d’une confiance renforcée

Néanmoins, selon Guillaume Poupard, la « solidarité » entre les acteurs de la cybersécurité n’est pas suffisamment acquise. Et il semblerait que cela provienne d’un manque de confiance, laquelle est pourtant indispensable à la cybersécurité tant les divisions ne peuvent qu’être dans l’intérêt des cyberattaquants.

D’après une communication conjointe du Parlement européen et du Conseil intitulée « Résilience, dissuasion et défense : doter l’Union européenne d’une cybersécurité solide », ce manque de confiance résiderait dans la réticence à partager des informations à la fois de la part des pouvoirs publics « par crainte de compromettre la sécurité ou la compétitivité de leur pays » et de la part des entreprises privées par peur « de compromettre des informations commerciales sensibles, de mettre en péril leur réputation ou de risquer d’enfreindre les règles en matière de protection des données ». Pour y remédier, elle propose alors de multiplier les « centres d’échange et d’analyse d’informations » pour « créer le climat de confiance nécessaire à l’échange d’informations entre le secteur privé et le secteur public ».

Aussi, il semble indispensable que les acteurs publics et privés soient mus par des principes communs qui les transcendent afin que leur méfiance se dissipe. Face aux crises qui se multiplient et se complexifient, ces principes émergent de nouveau comme le prouve le retour, dans le débat public, des concepts de souveraineté, de patrie ou de nation. En effet, à travers eux se dessine la nécessité, pour tous les acteurs, de s’allier dans un intérêt similaire : la poursuite du bien commun.