Close

Le financement de l’innovation en cybersécurité : le défi de la souveraineté

Les technologies de cybersécurité ont un caractère spécifique. Leur développement requiert donc la mise en place de mécanismes de soutien à l’innovation et de financement adaptés. Plusieurs raisons à cela : la nature profondément duale de ces technologies, la dimension stratégique du domaine « cyber », les cycles de R&D relativement longs qu’elles exigent du fait des briques technologiques issues de la « deep tech » (telles l’intelligence artificielle) sous-jacentes… Parce que l’innovation technologique en cybersécurité ne saurait obéir à une logique exclusivement « top down » et être l’apanage des grands groupes et de la R&D gouvernementale, il s’agit donc de prendre en compte ces contraintes pour concilier des logiques contraires : « temps court » du marché et « temps long » de la R&D, exigences de souveraineté et perspectives de sortie pour les investisseurs, extrême rapidité du progrès technologique, évolutivité des menaces et besoin de sécurité « by design ».

  1. ÉTAT DES LIEUX

Cybersécurité et deep tech

La deep tech, qui constitue le socle technologique de nombreuses solutions de cybersécurité, jouit aujourd’hui d’une véritable popularité qui lui a permis de bénéficier de levées de fonds relativement conséquentes. Depuis 2017, la deep tech se place en effet au premier rang des investissements en Europe, avec, depuis 2015, des investissements en capital-risque augmentant 3 fois plus vite dans ce secteur que dans les start-up technologiques B2C[1]

Mais malgré l’engouement que suscite la deep tech, le financement de l’innovation en cybersécurité reste pourtant limité, d’une part par sa complexité technique qui peut décourager certains investisseurs, d’autre part par un taux de retour sur investissement inférieur à d’autres domaines technologiques. Ainsi, si la prise de conscience du risque « cyber », le développement des réglementations sur la protection des données ou des infrastructures stratégiques (RGPD, NIS, LPM…) et les nouvelles exigences en matière de souveraineté ont permis une relative accélération de l’investissement en cybersécurité depuis 2017, le niveau reste encore largement insuffisant pour répondre aux besoins des start-up qui sont 87% en France à vouloir lever des fonds[2].

Des technologies duales

Force est de constater que l’innovation en cybersécurité est encore aujourd’hui en grande partie issue du secteur civil. A côté des fonds d’investissements publics, et pour bénéficier des avancées technologiques tirées par le marché civil, les opérateurs publics ont donc développé des mécanismes de financement reposant sur l’intégration des dimensions civiles et militaires. C’est par exemple le cas de la DARPA aux États-Unis, et en France, des dispositifs de financement RAPID (Régime d’Appui Pour l’Innovation Duale) et Astrid (Accompagnement Spécifique de Travaux de Recherche et d’Innovation Défense) qui ont vocation à améliorer la captation de technologies, complétés dès 2013 par « Astrid maturation » qui permet d’accompagner ces technologies un peu plus loin. Tous deux ont fait de la dimension duale des solutions candidates une condition sine qua non de l’octroi de financements, dans le but de permettre à la défense de se doter des technologies et solutions correspondant à ses besoins spécifiques, tout en évitant de priver les sociétés accompagnées de débouchés sur les marchés civils. Parmi les projets et sociétés de cybersécurité accompagnés par ces mécanismes, on peut par exemple citer Tetrane (détection des vulnérabilités et anticipation des attaques) ou Smartesting.

Considérant qu’elle devait permettre d’« innover plus vite »[3], cette nouvelle vision de l’innovation duale, poussée le ministère des Armées, s’est ainsi développée dans le sillage de la Loi de programmation militaire 2019-2025.

L’enjeu des solutions souveraines

A l’instar de certains secteurs spécifiques, la cybersécurité est au centre d’enjeux de souveraineté nationale et d’autonomie stratégique (localisation et hébergement des données, sécurité des OIV et des infrastructures critiques…). L’intérêt porté par la défense pour le chiffrement, la détection ou encore l’analyse prédictive en témoignent. Pour autant, toutes les solutions de cybersécurité ne sont pas destinées à devenir des outils souverains. Pour certains investisseurs comme pour les sociétés concernées, cette finalité peut même être perçue comme un obstacle qui limite la taille du marché accessible et peut compliquer leurs perspectives de sortie. D’où la nécessaire entrée en scène, aux côtés des investisseurs traditionnels du secteur, d’acteurs capables de mettre en place des mécanismes de financement adaptés aux exigences du marché de la défense.

  1. QUELS OUTILS ?

En France

La question de la souveraineté n’est pas spécifique à la cybersécurité, comme en témoigne l’intervention de Laurent Collet-Billon, alors Délégué général pour l’armement, lorsqu’il déclarait en 2016 : « De plus en plus de sociétés d’autres continents tentent de s’emparer de certaines de nos PME ‘pépites’ et nous n’avons pas d’outil pour les défendre »[4]. Un an plus tard, la création de Definvest, fonds de capital-risque doté de 50 millions d’euros à destination des PME géré par Bpifrance pour le compte du ministère des Armées, devait permettre de protéger ces entreprises jugées stratégiques pour l’Hexagone. Le mécanisme RAPID subventionne les innovations duales dans les premiers stades de leur développement, et les mécanismes Astrid et Astrid maturation ont vocation à les aider à traverser la « vallée de la mort » si cruciale à leur croissance. Definvest intervient de son côté en tant que co-investisseur pour accompagner le développement général ou la transmission de PME et start-up stratégiques. La DGA y apporte sa connaissance sectorielle et Bpifrance son expertise financière et sa connaissance de l’écosystème industriel.

A l’international

La France est loin d’être un cas isolé. Outre-Atlantique, les États-Unis ont depuis 1999 développé des mécanismes de financement allant dans ce sens. La société In-Q-Tel, qui permet à la CIA d’intervenir dans le financement de l’innovation, illustre cette tendance. Plus récemment, Israël s’est également saisi de la question avec le lancement de Libertad Ventures et du programme Xcelerator.

Point commun à ces différentes initiatives : elles reposent sur l’interaction des gouvernements, de la communauté du capital-développement et de l’écosystème des start-ups, et entendent jouer un rôle majeur dans ce nouveau modèle de financement de l’investissement collaboratif. Par ailleurs, elles couvrent les secteurs considérés comme « stratégiques » dont la cybersécurité fait partie.

Chaque État a toutefois développé des outils de financement différents, à la mesure des caractéristiques de son marché, de ses objectifs et capacités d’investissement. La France se distingue par exemple par le fait que le développement à l’international n’est pas toujours envisagé par une start-up dans les premières phases de son existence. Et ce d’autant plus que nombre de fonds d’investissements nationaux n’ont pas la portée internationale suffisante pour les y accompagner. D’autre part, l’absence de grands éditeurs susceptibles de tirer vers le haut les start-up et de consolider progressivement le secteur, contribue à affecter le dynamisme de l’écosystème numérique français. L’approche israélienne, au contraire, est tournée avant tout vers le marché mondial en raison d’un marché domestique trop restreint pour se suffire à lui-même. Et cela à la différence de l’approche américaine, qui repose sur un marché intérieur particulièrement vaste et des fonds d’investissement nationaux solides et dynamiques.

  1. QUELS OBJECTIFS DE SOUVERAINETÉ POUR LES ÉTATS ?

Assurer son « autonomie stratégique »

Pour assurer son « autonomie stratégique », l’État doit se doter des moyens d’assurer le développement de sa base industrielle et technologique de défense (BITD), en particulier en matière de cybersécurité. En France, si l’implication d’un opérateur public dans le financement de l’innovation n’est pas nouvelle, l’approche adoptée par Definvest se distingue en ce qu’elle combine accompagnement de l’innovation et défense de la souveraineté, et se traduit par l’entrée du fonds au capital de PME stratégiques pour la défense. In-Q-Tel fait de même aux États-Unis, en prenant des participations dans des entreprises jugées stratégiques pour le renseignement de son côté.

Protéger son écosystème national

Aux côtés des autres mécanismes déjà existants, les nouveaux modes de financement concourent au développement, voire à la création, d’un écosystème de cybersécurité national. Les États entendent ainsi garder la main sur l’innovation conçue en leur sein, et consolider une véritable relation à double sens entre les pépites technologiques et les opérateurs publics : les premières y perçoivent des cas d’usage leur permettant d’améliorer et d’éprouver leurs solutions ainsi qu’une nouvelle source de financement indispensable à leur développement, les seconds y trouvent des technologies souveraines répondant à leurs besoins. Par exemple en Israël, s’il n’y a pas de prise de participation dans les entreprises financées par les opérateurs publics, le Mossad (Libertad Ventures) peut en revanche exploiter la propriété intellectuelle de la technologie financée, via une licence non commerciale et non exclusive[7].

Anticiper les enjeux futurs

A mesure que les dispositifs de financement et d’accompagnement se multiplient, les États affirment ainsi leur volonté de porter l’innovation au-delà de la simple identification des entreprises ou projets innovants. En France, la politique industrielle de cybersécurité a notamment pour objectif d’investir dans des marchés d’avenir et de miser sur des briques technologiques à fort potentiel. Si l’algorithmie ou la cryptologie représentent l’excellence française en matière de cybersécurité, la France doit aussi prouver qu’elle est capable d’investir dans les technologies stratégiques de demain, au premier rang desquelles l’intelligence artificielle[8]. Sur les 250 millions d’euros par an investis par le Fonds pour l’innovation et l’industrie (FII), créé sous le modèle de la DARPA américaine[9] au profit des innovations de rupture, 150 millions d’euros serviront ainsi à financer les grands défis technologiques et sociétaux – dont les 2 premiers concernent l’IA – et 70 millions seront dédiés à l’accompagnement de sociétés de la deep tech française. Parallèlement, la « stratégie nationale de recherche en intelligence artificielle » dévoilée par le gouvernement le 28 novembre devrait permettre d’affirmer le rôle moteur de l’Hexagone à l’échelle mondiale dans le domaine de l’intelligence artificielle, notamment grâce à la création d’une vingtaine de chaires liées à l’IA dès 2019, qui viendront s’ajouter aux 20 déjà existantes afin d’attirer les meilleurs talents étrangers tout en évitant la fuite des cerveaux nationaux[10].

 

[1] https://www.wavestone.com/fr/insight/deep-tech-global-investor-survey-2017/

[2] L’Observatoire FIC des start-up cyber

[3] https://www.usinenouvelle.com/editorial/le-ministere-des-armees-cree-une-agence-dediee-a-l-innovation.N667849

[4] http://www.opex360.com/2017/11/17/definvest-le-fonds-dinvestissement-de-la-defense-pour-les-entreprises-strategiques/

[5] https://www.wired.com/2010/07/exclusive-google-cia/

[6] https://www.israelvalley.com/2018/07/tel-aviv-baptise-the-xceleratorle-contre-espionnage-lance-incubateur/

[7] http://www.libertad.gov.il/eng/

[8] Le programme Man Machine Teaming, visant à intégrer l’IA dans l’avion de combat du futur, en est le parfait exemple

[9] « A la différence que les innovations soutenues ne seront pas uniquement militaires » (Bruno Le Maire)

[10] https://www.numerama.com/sciences/443615-voici-les-6-axes-de-la-strategie-de-recherche-en-intelligence-artificielle-pour-la-france.html