Les cyberattaques se généralisent, elles dépassent les frontières pour s’attaquer aux plus hautes sphères étatiques et dérober des données toujours plus critiques. Les récentes affaires de piratages - Sony ou encore Belgacom - démontrent une fois de plus la sensibilité de nos données et surtout à quel point il est facile pour des hackers de les atteindre. Elles prouvent aussi l’impact considérable d’une cyberattaque sur une entreprise, ou pire encore sur un État. A ce sujet, le rapport de la Délégation Parlementaire au Renseignement (DPR), rendu public le 18 décembre est sans appel : « l’administration française est extrêmement vulnérable en matière d’espionnage industriel et économique ». De quoi se montrer inquiet quant à la sécurité des données critiques de nos institutions.

Pourtant, la France est reconnue comme étant une championne des technologies de sécurité grâce à un riche écosystème de grands groupes, PME et start--‐up de pointe, capables de proposer des solutions de haute qualité, innovantes, sûres et… « Made in France » (développement, hébergement et support). La lecture de ce Rapport, entre autres, nous amène à nous poser plusieurs questions : un recours plus systématique aux acteurs nationaux de la sécurité permettrait--‐il de mieux sécuriser nos données ? Les technologies françaises sont--‐elles assez valorisées en France, notamment sur les marchés publics ? Nos entreprises sont--‐elles prêtes à tirer profit du marché très porteur de la cyberdéfense ?

La cybersécurité, une question de confiance avant tout

Le manque de sécurisation de nos institutions est un fait que le Rapport de la DPR ne fait que confirmer. Conscient de cet enjeu, l’État a fait, depuis longtemps déjà, de la cybersécurité l’une de ses priorités. De grandes manoeuvres ont été lancées pour renforcer la sécurité de nos données critiques et industrialiser la cybersécurité au niveau national. Ainsi, l’ANSSI a dernièrement annoncé vouloir faire émerger des « acteurs nationaux de confiance » en matière de sécurité en labellisant les fournisseurs de solutions, et en rendant publique la liste de ces acteurs de confiance (Label prévu pour 2015).

Les acteurs nationaux ne sont toutefois pas du genre à rester les bras croisés et se regroupent également au sein de collectifs tels que Hexatrust, un groupement de 19 PME et start-up dont l’objectif est d’améliorer la visibilité de l’offre française en matière de sécurité des SI, de cybersécurité, et de fédérer les « champions français » afin de proposer une solution alternative crédible aux fournisseurs majoritairement américains ou asiatiques.

Dans une période où les attaques s’internationalisent et frappent de plus en plus loin et de plus en plus haut, il est naturel de vouloir porter sa confiance vers des solutions proches de soi et dont on connaît l’origine.

Nos entreprises et institutions à la merci du cyberespionnage

En effet, sans pouvoir garantir une sécurité à 100% face à des attaques en évolution permanente, toujours plus élaborées et ciblées, le recours à des solutions nationales permettrait a minima de ne pas laisser des données critiques circuler librement hors de nos frontières. Depuis 2013, alors que la NSA et son homologue britannique se sont vus accuser d’intercepter des millions de données d’utilisateurs de Yahoo! ou Google, la question de l’indépendance des éditeurs de solutions IT par rapport à des organismes d’État, continue à se poser. La médiatisation de l’affaire des back doors utilisées à l’insu de certains constructeurs par la NSA a également mis en lumière des activités pouvant être menées par des États en vue d’espionner des particuliers, des entreprises ou d’autres États. Et d’autres problématiques apparaissent comme la localisation des données, avec notamment les dernières affaires Microsoft.

Si ces affaires d’espionnage, toujours plus régulières, PRISM en tête pour la France, ont l’avantage de sensibiliser les particuliers à la sécurité informatique et les entreprises à la protection des données, elles ne suffisent pas à propulser la cybersécurité française. Pourtant, dans ce contexte, il serait probablement plus logique d’opter pour des solutions « Made in France », et de garantir un hébergement des données sensibles en France, plutôt que de laisser la porte ouverte à leur utilisation par des éditeurs étrangers, voire par des États.

Booster la croissance de nos entreprises en France et à l’international

Accorder davantage de confiance aux sociétés locales spécialisées sur le marché de la cybersécurité impacterait également positivement la croissance économique française. Promouvoir nos entreprises est primordial :

• Au niveau mondial : les ventes de solutions et de services de sécurité devraient en effet atteindre 77 Md$ en 2015 contre déjà 71Md$ en 2014, selon le Gartner. La prise de conscience du potentiel de ce marché au niveau mondial par la France est bien réel : le Plan Cybersécurité de la nouvelle France industrielle a entre autre pour objectif affiché, l’augmentation de l’export des solutions de sécurité françaises de 30 %.
• Le Label métropole French Tech a pour but de faire de la France une pépinière à start--‐up. La forte affluence d’entreprises et d’institutionnels français au CES 2015 de Las Vegas a également démontré cette nouvelle influence française à l’international.
• Au niveau national : En France, le Cabinet Pierre Audoin Consultants estime que le marché français de la cybersécurité devrait croître de 8 à 10 % par an jusqu’en 2017. Certainement l’occasion de créer quelques milliers emplois dans une filière où les perspectives sont plutôt optimistes !

Un accès aux marchés publics trop difficile pour les start-up et PME ?

Malheureusement, malgré la volonté affichée et le réalisme croissant de nos dirigeants sur cette thématique majeure qu’est la cybersécurité, nos entreprises françaises et nos institutions sont encore loin de se tourner vers des solutions et des technologies nationales. La préférence continue encore trop souvent d’aller vers des références du marché mondial, indépendamment de leur origine et ce malgré la qualité des technologies développées sur le territoire national.

Ainsi, dans le cadre des marchés publics, les freins pour les petites structures sont (trop) nombreux et la réponse aux appels d’offres est souvent tout simplement trop complexe, pour plusieurs raisons : le manque de références et d’ancienneté des start- up - une gamme de solutions pas assez large pour répondre seul à des appels d’offre imprécis - des règles trop complexes (un certain niveau de CA demandé, etc.).

Le Label de confiance annoncé par l’ANSSI pour 2015 doit permettre de privilégier les solutions françaises labélisées dans le cadre d’achats publics. Cette démarche permettra t--‐elle d’assouplir un peu les règles établies et de valoriser les start--‐up et PME françaises sur d’importants marchés publics ? Alors qu’aujourd’hui la solution qui s’impose souvent pour une PME française afin d’accéder à ce types de marchés publics est probablement de se faire racheter par un « gros » constructeur.

Les affaires de piratage de données d’entreprises ou de cyberespionnage d’États risquent fort de se multiplier. La cyber--‐attaque est devenue une arme considérable, puisqu’elle a une portée économique, industrielle et politique. Aussi, la valorisation de nos technologies françaises revêt une double importance : permettre à nos entreprises de profiter d’un marché mondial extraordinaire et booster la croissance économique de la France, tout en assurant un maximum de sécurité à nos données critiques. Ne manquons pas ce virage !