Investissements dans la cybersécurité : l’Europe peut-elle rattraper son retard ?

En février, devant les députés de la mission d’information « Bâtir et promouvoir une souveraineté numérique nationale et européenne », dont le rapport est paru fin juin, Cédric O, le secrétaire d’État chargé de la transition numérique, rappelait : « quand la France investit 5 milliards d’euros par an dans ses startups, les États-Unis misent 100 milliards », et le chiffre européen est « bien inférieur ». Sur 450 licornes (les entreprises valorisées plus d’un milliard) de la filière recensées dans le monde, ajoute-t-il, 200 sont américaines, 200 sont chinoises et 30 seulement européennes. Et lorsque Amazon et sa filiale Amazon Web Services (AWS) consacrent 20 milliards par an à la recherche et au développement, la France en dépense 60 comptabilisant l’effort privé et public.

Voilà pourquoi, résumait devant les députés, Jean-Noël de Galzain, le fondateur de Wallix et président d’Hexatrust, « nous sommes aujourd’hui ballottés entre (…) un monde numérique chinois organisé au bénéfice des organisations gouvernementales et du système chinois, et le reste du monde emmené par les Américains ». Mais lui comme d’autres gardent bon espoir qu’émerge un numérique de confiance national et européen – c’est-à-dire « un environnement numérique éthique, protecteur des données personnelles, et garantissant les critères de liberté, d’autonomie, et donc de souveraineté ».

La crise sanitaire a modifié la donne stratégique. Elle a confirmé l’essor inexorable des infrastructures numériques et la nécessité vitale de les sécuriser. Le marché du capital investissement a aussitôt réagi. En 2021, les levées de fonds réalisées par les startups françaises de la cybersécurité devraient doubler pour atteindre 200 millions d’euros, estiment les patrons d’Ace Capital Partners, cités par l’hebdomadaire Capital Finance. La société de gestion dirigée par Marwan Lahoud vient de constituer le plus gros fonds européen dédié (175 millions d’euros). Les véhicules spécifiques se multiplient, tel Cyber Impact (10 millions d’euros) lancé par Jean-Noël de Galzain, deux autres entrepreneurs et le fonds Auriga Partners. Cette mobilisation doit encore s’accélérer si l’Hexagone veut conserver ses pépites. En début d’année, elle assistait impuissant à l’acquisition pour 98 millions de dollars d’Alsid par l’Américain Tenable.

L’État stratège semble résolu à rattraper son retard. Il mise 720 millions d’euros du plan France Relance sur la filière d’ici 2025. Objectif : tripler son chiffre d’affaires et créer des champions. Prudents sur l’ampleur et l’impact réel de cette décision, les intéressés invitent l’État à réviser sa méthode. Stéphane Volant, le président du Club des directeurs de la sécurité et de la sûreté des entreprises (CDSE), est très clair avec les députés : « On nous dit qu’Orange et Atos sont des chantres de la souveraineté, alors qu’ils ont des partenariats stratégiques avec Microsoft (…). Les grandes entreprises, qui sont parfois gorgées d’argent public et de subventions, n’ont pas montré, ces dernières années, toute la force qu’elles auraient pu posséder. Nous attendons qu’elles laissent un peu la place aux PME et aux PMI, ainsi qu’aux startups ». D’où émane en réalité l’innovation, justifie l’expert.

La formation à la cybersécurité devient une cause nationale. À l’instar de la création par l’État du Campus Cyber, ce lieu « totem » qui rassemblera tous les acteurs à La Défense, les formations se multiplient. « C’est la bonne stratégie pour maintenir son rang à défaut de moyens », analyse Nicolas Arpagian, directeur de la stratégie de Trend Micro. La première condition pour se défendre dans le cyberespace, explique-t-il, c’est de pouvoir compter sur des spécialistes de l’attaque et sur des experts de confiance qui comprennent les technologies acquises sur étagère, et peuvent édicter des doctrines d’emplois garantissant à l’utilisateur la maîtrise des risques. Alexandre Papaemmanuel, professeur à Sciences Po Paris, acquiesce : « Le plus grand danger est d’importer une boite noire dans son organisation. La France possède les savoir-faire pour garantir de bout en bout l’autonomie de n’importe quel système, car elle a pris conscience très tôt de ses dépendances et a développé des parades dans le régalien ».

À Bruxelles, enfin, on aurait compris que les frontières entre la cybersécurité et la cyberdéfense sont floues, « et que la souveraineté n’est pas un vilain mot », souligne Olivier Kempf, chercheur associé à la FRS. Le 16 septembre, Thierry Breton, le commissaire responsable du marché intérieur, détaillait les volets du « Cyber Resilience Act », une feuille de route stratégique. Le durcissement des règles qui promeuvent une « vision démocratique des innovations technologiques » est déjà lancé, se félicite Rayna Stamboliyska, professeur à Sciences Po Paris et experte à l’ENISA. La directive « Sécurité des réseaux et des systèmes d’information » (dite « NIS ») de 2016 va être étendue à l’ensemble des infrastructures publiques et privées. Deux nouveaux règlements encadreront les pratiques de l’économie numérique (le « DSA ») et le design des plateformes en ligne (le « DMA »), de manière à écarter les modèles « prédateurs » qui tuent toute concurrence. Cet arsenal, dont la première brique est le RGPD, rendra le marché intérieur plus difficile à pénétrer pour les géants anglo-saxons.

Entre temps, il ne tient qu’aux Européens d’investir dans les technologies qui esquissent une nouvelle frontière : l’intelligence artificielle et le quantique ; « à chaque rupture, les compteurs reviennent à zéro », souligne Olivier Kempf. Thierry Breton estime que la « communauté » européenne des acteurs civils peut mobiliser 4,5 milliards d’euros entre 2021 et 2027 pour les technologies de cybersécurité. Un effort auquel s’ajoutent les budgets militaires. En France, le ministère des Armées y consacre 1,6 milliard d’euros entre 2019 et 2025, un montant record qui vise à consolider son avance tant dans le domaine défensif qu’offensif.