Close

Politique industrielle de cybersécurité : un enjeu clé pour la France

La dernière décennie a vu la prise de conscience, au niveau politique, de l’importance d’assurer la sécurité de nos systèmes d’informations pour garantir la résilience de la Nation, et de la nécessité de se doter de moyens techniques, technologiques et humains, nécessaires pour répondre à des cyber-menaces de plus en plus sophistiquées.

Pourquoi une politique industrielle est-elle indispensable

A mesure que la cybersécurité s’imposait comme un enjeu vital, une myriade de petites voire très petites entreprises, bien souvent issues du monde de la recherche, ont fait leur apparition sur ce marché en pleine mutation pour proposer des produits et services de cybersécurité. Quant aux acteurs traditionnels de la sécurité et de la défense, ils n’ont pas eu d’autre choix que d’intégrer ce nouvel impératif, soit en absorbant les solutions développées par ces nouveaux acteurs, soit en développant leurs propres solutions. Le paysage industriel, ainsi que l’offre et le profil des sociétés le composant, se sont donc considérablement transformés à mesure que s’imposait ce nouvel enjeu sécuritaire. Une transformation qui s’est la plupart du temps effectuée par le seul jeu des forces du marché, sans coordination ni planification, et donc sans réelle politique industrielle.

Or malgré des besoins croissants et un marché en forte progression, force est de constater que le secteur privé n’est pas en mesure de répondre de façon autonome aux enjeux de résilience sociétale et d’autonomie stratégique que sous-tendent la cybersécurité. Les raisons en sont multiples : lourdeur des investissements en R&D nécessaires (à l’instar des autres domaines de « deep technology »), dispositifs de financement de l’innovation inadaptés, forte concurrence anglo-saxonne, marché national étriqué, fragmentation des marchés européens, écosystème industriel encore trop peu structuré etc.

La mise en place d’une véritable politique industrielle, qui peut être définie comme un « ensemble de mesures interventionnistes des pouvoirs publics visant à développer certaines activités économiques et à promouvoir le changement structurel »[1], est donc indispensable. Et si certains l’accuseront de fausser le marché en favorisant certaines industries au détriment d’autres et de faire le lit du protectionnisme, le principe de réalité et une vision bien comprise de nos intérêts commanderont d’y voir le meilleur moyen de « promouvoir des secteurs qui, pour des raisons d’indépendance nationale, d’autonomie technologique, de faille de l’initiative privée, de déclin d’activités traditionnelles ou d’équilibre territorial, méritent une intervention. »[2]

Qui doit la formuler et la mettre en œuvre ?

Toute la question est ensuite de savoir à qui revient le rôle de formuler, porter et mettre en œuvre la politique industrielle. Le secteur de la cybersécurité recouvre en effet des enjeux et des réalités très diverses qui sont traités par plusieurs agences gouvernementales, lesquelles ont bien sûr leurs propres approches, contraintes et objectifs.

  • Le ministère de l’Économie, traditionnellement chargé d’élaborer la politique industrielle du pays ;
  • Le ministère des Armées, responsable, au travers du Commandement de la Cyberdéfense, de la défense « cyber », et le Pôle Technique de la Direction Générale de l’Armement (DGA)[3];
  • Le ministère de l’Intérieur, chargé notamment de la lutte contre la cybercriminalité et qui a confié à la Délégation Ministérielle aux Industries de Sécurité et de lutte contre les Cybermenaces (DMISC) des responsabilités précises en matière de politique industrielle et de R&D technologique[4];
  • L’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui est l’autorité nationale en matière de cybersécurité, mais dont le rôle en matière de politique industrielle reste pourtant à préciser ;
  • Le Comité de la Filière Industrielle de Sécurité (COFIS), chargé du développement de la filière.

De fait, chacune de ces entités s’est dotée de responsabilités et d’objectifs propres. En l’absence de mécanisme institutionnalisé de coopération ou de dialogue, elles peuvent toutefois s’appuyer sur des textes fondateurs qui, s’ils ne formulent pas directement une stratégie structurée, en donnent de facto les grandes orientations.

  • Le Livre Blanc de 2010, qui fait de la sécurité et la défense des systèmes d’information une priorité stratégique pour la France.
  • La Stratégie nationale pour la sécurité du numérique de 2015[5] dans laquelle l’État s’engage pour la sécurité du numérique, conscient qu’elle contribue à la stabilité de l’État, au développement économique et à la protection des citoyens.
  • Le Plan Cybersécurité de l’ANSSI[6] de 2015
  • La Revue Stratégique[7] de 2018, conçue comme une synthèse de la doctrine française en matière de cybersécurité, et qui émet des recommandations d’actions à mettre en œuvre tant par l’État que les entreprises, en particulier par les opérateurs d’infrastructures vitales (OIV).
  • Les travaux du COFIS sur ce sujet, et notamment ceux qui ont été présentés à Milipol 2017 qui fixent des objectifs relatifs à l’environnement des start-up, à la sécurité de la ville intelligente, à la cybersécurité et à la sécurité de l’internet des objets, à l’Europe et à la « marque France ».

 

Les grands objectifs

On peut ainsi tirer de ces documents les grands axes et objectifs de la politique industrielle de cybersécurité.

  • Garantir la souveraineté nationale et l’autonomie stratégique de la France en favorisant l’émergence d’une filière française de la cybersécurité.

Le numérique et la cybersécurité sont aujourd’hui le moteur de la filière de sécurité française, à la fois en termes de croissance économique, de création d’emploi, d’exportations… S’appuyer sur ce dynamisme pour développer une industrie de confiance solide et sécuriser du même coup nos grands systèmes stratégiques nous permettra non seulement d’assurer notre sécurité, mais constitue également un avantage concurrentiel pour les entreprises françaises. Une industrie solide capable de rayonner à l’international est également un moyen de faire entendre notre voix et de renforcer notre position sur la scène internationale, tant au niveau industriel que politique et stratégique.

  • Contribuer au développement d’une industrie européenne en décloisonnant les marchés nationaux.

Le constat est simple : le marché français est étriqué et atomisé. Et il en va de même dans les autres pays européens : les marchés domestiques sont trop étroits et trop peu structurés. Face aux pays européens, ce sont donc les États-Unis, dont le tissu industriel est bien plus dense et le marché interne beaucoup plus vaste que le nôtre, qui concentrent tous les champions de la cybersécurité. Il paraît donc essentiel de mettre en pratique le fameux « marché unique du numérique » et de décloisonner les marchés européens de la cybersécurité. Il s’agit là d’une ambition politique, mais aussi d’une nécessité économique.

  • Investir dans des marchés d’avenir.

Pour développer l’offre française, il faut miser sur quelques technologies et applications. En termes de briques technologiques il faut bien sûr commencer par celles sur lesquelles la France est déjà en position de force : algorithmie, cryptologie, intelligence vidéo… Mais il faut aussi apprivoiser celles qui seront critiques demain, et en tout premier lieu l’intelligence artificielle (IA). Autre domaine clé : les technologies de simulation et de virtualisation indispensables en matière de test de sécurité et d’entrainement (cyber range) mais aussi de déception (mise en place de réseau « leurre » permettant d’attirer les attaquants sur des « pots de miel » et de mieux comprendre leurs modes opératoires). En termes d’applications, les priorités comprennent notamment la sécurisation des données, la sécurisation du poste de travail, l’automatisation de la cyberdéfense, la résilience des architectures ou bien encore les outils d’investigation forensic

 

Quels sont les outils de la politique industrielle ?

Ces ambitions et ces nouveaux impératifs doivent se traduire concrètement par la mise en place de différents outils à l’échelle sectorielle. Ceux-ci doivent permettre de :

  • Capter et soutenir l’innovation

C’est de l’innovation que nait l’avantage comparatif, tant au plan opérationnel et de performance qu’au plan économique et de concurrence commerciale. Il faut donc pouvoir identifier, le plus en amont que possible, les solutions, projets et expérimentations prometteurs. Or dans le secteur numérique et dans celui de la cybersécurité où les technologies sont la plupart du temps duales, l’innovation vient très souvent du secteur civil. C’est la raison pour laquelle le ministère des Armées s’est doté de divers dispositifs pour « capter » l’innovation. C’est le cas du DGA-Lab ou de l’Innovation Défense Lab, véritables showrooms de l’innovation où des start-ups et PME présentent et démontrent des solutions répondant à des besoins exprimés au préalable. D’autres projets en cours consistent également à cartographier les capacités et foyers d’innovation en matière de cybersécurité dans une démarche de veille et d’anticipation afin de détecter les technologies les plus stratégiques.

Des mécanismes de financement et d’accompagnement de l’innovation ainsi détectée permettent ensuite aux projets sélectionnés de se développer, de gagner en maturité, et in fine d’atteindre la phase de commercialisation. Ces dispositifs constituent à ce titre de véritables outils de politique technologique et de gestion de l’innovation. La DGA finance ainsi des projets et start-ups innovantes, dans le cadre du Régime d’Appui pour l’Innovation Duale (RAPID) et parfois des Plans d’Études Amonts (PEA). Des structures dédiées comme la Banque Publique d’Investissement (BPI), qui joue en la matière le rôle de fonds souverain, ou le Fonds pour l’Innovation et l’Industrie, créé en janvier dernier, peuvent aussi être sollicitées, tant pour le financement que l’accompagnement.

L’investissement public en matière d’innovation doit cependant être ciblé pour éviter tout saupoudrage des efforts. Compte tenu de l’urgence de la situation et de la faiblesse de nos moyens, nous n’avons ainsi ni le temps ni les moyens de développer plusieurs champions pour chacun des segments clés du marché de la cybersécurité comme l’exigent souvent la doxa en matière de politique industrielle. Autre point clé : à l’instar de la DARPA américaine, savoir arrêter des projets de R&D qui n’aboutissent pas ou ne rencontrent pas le marché suffisamment rapidement.

Les financements ne peuvent toutefois pas provenir uniquement de dispositifs publics. Si les fonds d’investissements commencent à s’intéresser à la cybersécurité, à l’instar d’ACE Management, d’Axeleo Capital, de Kima Ventures ou d’Idinvest, ils sont encore trop peu nombreux et les montants investis trop faibles.

  • Mobiliser la commande publique et privée

Pour s’imposer durablement sur les marchés et devenir les champions de demain, les pépites d’aujourd’hui doivent en effet avoir les moyens financiers de s’émanciper des aides et subventions de l’Etat pour se frotter très rapidement au « marché » grâce à la commande publique et privée, qu’il s’agisse d’achat public avant commercialisation (APAC ou pre-commercial procurement). Il est ainsi essentiel que les administrations et les grandes entreprises montrent l’exemple en recourant aux solutions et services des start-up et PME françaises de cybersécurité, quitte à utiliser les services de grands intégrateurs pour se « réassurer » et bénéficier d’une couverture fonctionnelle plus large.

A plus large échelle, les outils de soutien à l’export permettent également aux entreprises d’élargir leurs perspectives de marchés. On peut regretter à ce titre que les labels délivrés par l’ANSSI (certifications et qualifications) ne fassent pas encore l’objet d’une harmonisation, a minima à l’échelle régionale et européenne.

  • Structurer une filière de confiance

Pour être compétitive et pouvoir rivaliser avec ses concurrents étrangers, la filière de cybersécurité doit se développer de façon structurée, en prenant en compte à la fois les besoins et contraintes du marché, les compétences disponibles et les insuffisances. En l’absence de politique publique dédiée, un dialogue État-entreprise comme celui porté par le COFIS permet justement de recenser les acteurs, cartographier les compétences et les lacunes, et in fine de proposer une vision prospective du développement de la filière.

Sur un plan plus opérationnel, l’émergence de groupements industriels et clusters comme Hexatrust ou de pôles d’excellence comme le Pôle d’Excellence Cyber, contribuent aussi à structurer et renforcer la filière, notamment parce qu’ils permettent de décloisonner les approches et de favoriser les coopérations. En rassemblant les acteurs industriels, institutionnels et académiques autour d’un projet de création d’une chaîne de valeur confiance, ils permettent ainsi des mutualisations et émulations qui ne peuvent que bénéficier à leurs membres à titre individuel et à la filière à titre collectif.

  • Construire une industrie et un marché européen

Le décloisonnement des marchés européens suppose la mise en place de mécanismes de coopérations formels et réguliers à tous les échelons de la chaîne de valeur et entre tous les acteurs : marchés et industries (entreprises), administrations publiques (agences nationales et gouvernementales, ministères concernés…) monde académique (universités, centres de recherche…). Il passera notamment par :

  • L’harmonisation des politiques nationales de qualification et certification nationales grâce à une démarche de standardisation « par le haut » sur la base des critères proposés par les pays présentant les niveaux d’exigence les plus élevés ;
  • Une coopération approfondie entre les agences nationales, dans la lignée de ce qui existe déjà entre la CNIL et ses homologues réunies au sein du G29, ou au niveau bilatéral entre l’ANSSI et le BSI allemand ;
  • Le renforcement des liens entre les grands salons professionnels, à l’instar du Forum International de la Cybersécurité (FIC) et du grand salon allemand ITSA qui ont formalisé leur coopération en juin 2018 ;
  • Au niveau de l’Union européenne : la multiplication des initiatives de promotion de l’innovation comme le European Public Private Partnership on Cybersecurity lancé par l’ECSO (European Cybersecurity Organisation) en 2016, et la poursuite des programmes de recherche type Horizon 2010. A ce titre, les réflexions de la Joint European Disruptive Initiative (JEDI) sur la création d’une agence européenne d’innovation sur le modèle de la DARPA américaine peuvent s’avérer déterminantes.

[1] http://www.cae-eco.fr/IMG/pdf/26.pdf

[2] Idem

[3] https://www.defense.gouv.fr/dga/la-dga2/missions/presentation-de-la-direction-generale-de-l-armement

[4] https://www.interieur.gouv.fr/Le-ministere/Organisation/Delegue-ministeriel-aux-industries-de-securite-et-a-la-lutte-contre-les-cybermenaces

[5] https://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_fr.pdf

[6] https://www.ssi.gouv.fr/uploads/2015/01/Plan_cybersecurite_FR.pdf

[7] https://www.numerique.gouv.fr/files/files/revue_strategique_de_cyberdefense.pdf