5 min

Money, money, money

Cet article est tiré des discussions de l’événement « Million Euro Baby : What’s next for EU funding in cybersecurity? » (Perspectives de financement de l’UE pour la cybersécurité » organisé par le FIC à Bruxelles le 25 avril 2022. Il a réuni un panel d’experts du secteur public et privé.

La résilience dans l’espace numérique figure désormais en tête des priorités de l’Europe en matière de cybersécurité ; les institutions européennes s’efforçant de soutenir la transition numérique des États membres, d’encourager la standardisation commune des produits et des pratiques de cybersécurité et de promouvoir le renforcement des capacités dans toute l’Union. Atteindre un niveau plus élevé de cybersécurité dans l’UE nécessitera un effort financier substantiel.

Définir des priorités communes

La définition de priorités communes aux États membres reste un défi majeur pour accroître la cyber-résilience de l’UE. La consultation au niveau national est une première étape essentielle, suivie d’un alignement entre les États membres de l’UE. Seules une réponse coordonnée et la promotion de la coopération permettront de renforcer la cybersécurité sur le continent. L’UE a un rôle important à jouer dans la coordination entre les États membres, mais aussi entre les acteurs de différents secteurs et entre les organisations des secteurs public et privé. Les acteurs européens doivent aligner leurs priorités pour concentrer les efforts dans une direction commune et faciliter l’élaboration de solutions pertinentes.

Des initiatives ont été lancées au niveau de l’UE pour définir des priorités communes, comme le Centre de compétences et réseau européen en matière de cybersécurité (CCCC) récemment créé à Bucarest. Cette entité permettra de mieux organiser un réseau coordonné de professionnels de la cybersécurité dans toute l’UE et leur fournira un espace pour définir conjointement les priorités, à commencer par celles en matière d’investissement en cybersécurité.

L’UE doit cependant travailler au plus près du terrain, en assurant un soutien, même indirect, aux PME aux niveaux local et régional. Elle doit veiller à ce que ses actions et ses programmes de financement complètent ce qui est fait par les gouvernements nationaux et les investisseurs privés, afin d’éviter les duplications et de maximiser le retour sur investissement.

Des priorités au financement

L’UE a mis au point un vaste ensemble de programmes de financement de la cybersécurité afin de développer « une Europe adaptée à l’ère numérique« . Le programme pour l’Europe numérique (Digital Europe Programme – DEP), qui couvre la période 2021-2027, investira 1,9 milliard d’euros dans les capacités, les infrastructures et les outils de cybersécurité dans toute l’UE, pour les secteurs public et privé ainsi que pour les citoyens. Le nouveau dispositif « Connecting Europe Facility » (CEF2) allouera 1,7 milliard d’euros pour développer et soutenir les cyber-capacités dans l’Union, avec un financement pour les infrastructures de connectivité numérique. Horizon Europe, le programme-cadre de recherche de l’UE, accordera environ 13,5 milliards d’euros à la R&D en matière de cybersécurité.

En plus de fournir des financements, l’UE continue de réglementer le secteur. L’imminente NIS 2 s’appuie sur la directive initiale NISD (directive sur la sécurité des réseaux et de l’information, qui prévoit des mesures juridiques pour améliorer le niveau de cybersécurité de l’UE) pour accroître encore le niveau de cybersécurité dans les États membres en se concentrant sur la préparation et en renforçant les exigences en matière de protection des infrastructures critiques. S’appuyant sur le Cybersecurity Act de 2019, qui a renforcé le mandat de l’Agence européenne de cybersécurité (ENISA) ainsi que sur les dispositions de la directive NIS, l’UE a lancé un mécanisme de certification des produits TIC européens. À ce titre, l’ENISA travaille sur des certifications qui établiront une norme harmonisée pour les produits de cybersécurité dans l’UE. Parallèlement, la stratégie de l’UE en matière de cybersécurité (EU Cybersecurity Strategy 2020) a renforcé les dispositions de la loi sur la cybersécurité, et une nouvelle loi européenne sur la résilience en matière de cybersécurité (Cybersecurity Resilience Act) est en cours de rédaction et devrait être votée en 2022. Parmi les autres réglementations clés figurent la loi sur les services numériques et la loi sur le marché numérique (Digital Services Act et Digital Market Act), un ensemble de règles qui visent à garantir un espace numérique plus sûr et plus ouvert protégeant les droits fondamentaux des citoyens tout en favorisant l’innovation, la croissance et la compétitivité. Enfin, l’UE a été pionnière et reste un leader mondial en matière de protection des données et de la vie privée, avec la promulgation du RGPD en 2016 et ses travaux actuels sur un nouveau règlement ePrivacy.

Cet ensemble de réglementations crée des obligations coûteuses et une charge de conformité pour les acteurs de la cybersécurité européenne. Elles créent également d’innombrables opportunités de croissance, car de nouvelles solutions devront être développées pour aider les organisations et les entreprises à atteindre la conformité et, au final, un niveau plus élevé de cybersécurité.

Vers des actions concrètes

Le montant total investi dans les entreprises de cybersécurité en Europe en 2021 était de 2 milliards d’euros, soit 2,5 fois plus qu’en 2020. Cela ne représente toutefois que 10 % du total mondial. La transaction** moyenne en matière de cybersécurité en Europe est de 10 millions d’euros, contre 40 millions d’euros aux États-Unis et 20 millions d’euros en Israël… L’Europe peut rattraper son retard mais doit se donner les moyens, les financements et les infrastructures pour le faire. Elle doit également apprendre de ces leaders mondiaux pour devenir et rester compétitive.

Cela implique d’investir dans l’éducation. L’UE souffre d’une grave pénurie de compétences, qui a des répercussions sur sa R&D et sur la croissance du secteur. Le marché de l’emploi dans le domaine de la cybersécurité reste moins attractif qu’outre-Atlantique. Les talents doivent être encouragés et retenus dans l’UE, ce qui est essentiel pour la souveraineté numérique du continent. Il faut développer des produits adaptés, hautement spécialisés et bien commercialisés, en encourageant les entreprises à passer de la technologie aux produits. L’UE doit encourager l’ensemble des compétences en matière de cybersécurité, en ajoutant au savoir-faire technique une expertise en matière de finance, de marketing ou de gestion.

** Levée de fonds, l’argent versé dans une entreprise pour se développer, et non pour racheter les actionnaires.

Regarder le replay de l’événement : https://www.youtube.com/watch?v=_d1DtNrydqk&t=2148s

Partager cet article avec un ami