La difficile définition d’une politique industrielle de cybersécurité
Fleur Pellerin, ministre de l’Economie numérique, avait plaidé, lors d’une Forum International de la Cybersécurité, fin janvier, pour l’élaboration d’une véritable «politique industrielle dans ce domaine.» Un principe qui semble consensus aux RIAMS, qui se déroulent actuellement à Saint Tropez. Mais il est difficile d’en dire autant des objectifs concrets d’une telle politique.
C’était le 28 janvier dernier, à Lille : en ouverture du Forum International de la Cybersécurité, Fleur Pellerin, ministre de l’Economie numérique, expliquait qu’il faut que «la cybersécurité se structure davantage. La France souffre de l’absence d’une véritable politique industrielle dans ce domaine.» Frédéric Cerbelaud, directeur délégué de la DSI groupe de la SNCF, n’aurait pas dit mieux, lui qui, en ouverture des Rencontres de l’Identité, de l’Audit et du Management de la sécurité (RIAMS), qui se déroulent actuellement à Saint Tropez, indiquait justement être «preneur» d’une telle politique. Pour lui, la professionnalisation croissante des auteurs d’intrusions et autres attaques conduit à une «course à l’armement technologique» dans laquelle il préfèrerait ne pas avoir à sa lancer alors même qu’il doit baisser les coûts récurrents de ses systèmes d’information de 30 %. Selon Frédéric Cerbelaud, «les entreprises en France ont besoin d’un tel environnement industriel» car «ça n’a pas de sens que chaque entreprise investisse énormément dans une technologie de sécurité très sophistiquée alors qu’on a les mêmes besoins.» S’il n’est pas sûr qu’une politique industrielle de la cybersécurité conduise à une mutualisation de ressources et à une réduction des coûts qu’il semble souhaiter, l’idée a manifestement fait mouche.
Tout pour les champions ?
De son côté, Fleur Pellerin s’inquiétait surtout d’une trop grande «dispersion» des acteurs du domaine. On pourrait l’imaginer rassurée après le rachat d’Arkoon Network Security par Cassidian CyberSecurity qui ne cache pas son ambition de former un géant européen de la cybersécurité. Interrogé par la rédaction lors de l’annonce de cette opération, Jean-Michel Orozco, président de la division cybersécurité d’EADS, expliquait avoir l’ambition de construire une base de recherche et développement disposant de la masse critique pour «rivaliser avec nos concurrents américains». Mais une politique industrielle de la cybersécurité s’arrête-t-elle à cela, la création de champions nationaux voire européens ? Interrogé sur ce sujet à l’occasion d’un point presse sur les RIAMS, Jean-Marie Bockel évoque un «mécano industriel» qu’il conviendrait de «renforcer». Mais quant à savoir s’il conviendrait mieux d’encourager au développement d’un écosystème ouvert et dynamique ou à la concentration du marché autour de grands champions, le sénateur souhaite... «les deux parce que le mécano passe forcément par des groupes qui ont une certaine surface et qui nouent des partenariats» avec de plus petites entreprises, mais refusant toute approche «dogmatique» : «c’est au cas par cas.»
... quitte à nuire à la diversité
Mais plus que de faire vivre un écosystème, les grands champions ne seraient-ils pas plutôt susceptibles de l’assécher ? Discrètement, le Contre-amiral Arnaud Coustillière hoche la tête, donnait l’impression de reconnaître le risque. Mais pour Jean-Marie Bockel, dans le cadre d’une politique industrielle, «vous ne pouvez pas faire l’impasse sur les success stories existantes, même d’une certaine importance.» Revendiquant un brin de provocation, le sénateur relève en outre que, si des Thales ou des Cassidian parviennent à grossir au point de nuire aux plus petits du secteur, «ce serait déjà formidable. Cela veut dire qu’ils réussissent et cela les confortent dans leurs positions. [...] On est à l’échelle du monde, là, s’ils se renforcent plutôt que de disparaître, mettons cela dans la colonne du positif.» Au moins «du point de vue d’un Etat.» Mais Jean-Marie Bockel et le Contre-amiral Arnaud Coustillière relèvent toutefois le risque, sur un écosystème innovant, que peut faire peser l’émergence de champions. Et ce dernier de souligner que, pour la Direction Générale de l’Armement, chercher à faire vivre les entreprises modestes d’un tel écosystème «c’est son axe d’effort», évoquant de petits contrats visant à soutenir des idées naissantes. Mais «est-ce que c’est suffisant et structurant dans la durée ? Je pense que non.»