L’écosystème cyber français fait un point d’étape avant les grandes échéances de 2024
C’est la rentrée des classes pour les acteurs français de la cyber. Les Universités d’été d’Hexatrust sont l’occasion de rappeler l’agenda des prochains mois, alors que les échéances réglementaires nationales et européennes se profilent, mais aussi le défi des JO de Paris.
La 9e édition des Universités d’Été de la Cybersécurité et du Cloud de Confiance, organisée par Hexatrust, s’est tenue à Paris cette semaine, pratiquement 10 ans après la création d’Hexastrust. L’association, dont la vocation était de regrouper les acteurs français de la cyber, comptait alors 10 membres. Elle en compte plus de 110 aujourd’hui.
Son président, Jean-Noël de Galzain rappelait qu’il y a un an l’association publiait un manifeste pour un numérique plus responsable : « nous essayons d’établir un nouveau standard pour le numérique, un numérique plus durable, plus responsable. Un standard qui permette à l’Europe d’ouvrir une troisième voie à celle qui est aujourd’hui dominée par nos compétiteurs américains et la voie numérique chinoise qui se base sur d’autres concepts… »
Pour le président de l’association, un an plus tard, les choses ont évolué dans le bon sens. Les réglementations DSA, DMA et NIS 2 vont donner du temps à l’industrie européenne de construire des services numériques européens. En parallèle, un fonds France Relance de 176 millions d’euros est venu aider les collectivités locales et hôpitaux. Pour ces derniers, il va être relayé par le programme CARE du ministère de la Santé. Enfin, 2 contrats de filières doivent participer à entretenir le dynamisme du secteur cyber et du Cloud de confiance.
La préparation des JO se joue aussi sur le terrain cyber
Vincent Strudel, Directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) a rappelé les trois grands chantiers de l’agence pour les années à venir, à savoir les JO, la mise en place de NIS 2 et enfin le cloud : « le défi de fond, c’est le passage à l’échelle, pouvoir développer des solutions pour tous ceux qui ont été laissés de côté jusqu’à présent, car nous nous sommes concentrés sur les plus gros. C’est un défi qui est transverse à tous les grands chantiers ».
Le nouveau DG de l’Anssi a notamment évoqué le programme Fosbury qui vise à accompagner les fédérations sportives, les stades, afin de muscler leur sécurité en amont de l’événement. De même, avec une multiplication par 10 à 20 du nombre d’entreprises et d’organisations concernées par NIS 2, cette problématique du passage à l’échelle va être prégnante d’ici au deuxième semestre 2024, lorsque le texte entrera en application.
Quant au chantier « cloud », l’Anssi garde le cap : « on ne peut pas segmenter la problématique en plusieurs composantes ; la sécurité du cloud, c’est à la fois de la technique, de l’organisationnel, du droit applicable. Se focaliser sur une seule de ces composantes, c’est oublier l’essentiel. Nous tenons cette position avec SecNumCloud que nous promouvons à l’international, mais nous avons le besoin de faire de la pédagogie sur le sujet dans l’espace européen, pour convaincre, et vis-à-vis de nos amis américains, peut-être pas pour convaincre, mais pour expliquer… »
Une position française trop exigeante à l’échelle de l’Europe ?
Et l’effort de pédagogie semble effectivement encore insuffisant puisque Jean-Noël Barrot, ministre délégué chargé du Numérique, a publiquement évoqué, en session plénière, les oppositions à la position française dans les négociations sur le schéma volontaire de certification du Cloud EUCS : « nous menons sur ce sujet une négociation extrêmement serrée. Nous avons la chance d’avoir comme négociateurs un commando d’élite mené par l’Anssi qui fait un travail remarquable au niveau des services des administrations des pays concernés, pour les convaincre d’avoir dans ce schéma européen le niveau de sécurité le plus élevé, qui autorise l’immunité aux législations extraterritoriales. Et croyez-moi, ce n’est pas facile puisque nous-mêmes, au niveau politique avec Bruno Lemaire, faisons le même travail et avons face à nous des vents puissants ».
Face à des acteurs européens qui considèrent que la France veut pousser ses prestataires SecNumCloud en se servant de ce levier réglementaire, le ministre a appelé le secteur à faire confiance au gouvernement et ne pas faire de surenchère dans cette négociation visiblement difficile : « je vois dans le projet de loi, que je serai amené à défendre dans quelques heures sur les bancs de l’assemblée, fleurir des amendements qui nous réjouissent, car, nous aussi, nous aimerions aller plus vite sur les obligations faites aux uns et aux autres pour protéger leurs données sensibles et les héberger dans des solutions infonuagiques certifiées SecNumCloud. Mais si nous allons trop vite, nous donnons à tous les adversaires de notre stratégie EUCS des arguments pour faire tomber le niveau le plus élevé que nous souhaitons obtenir, c’est-à-dire l’immunité aux législations extraterritoriales ».
Le ministre a refusé toute position hégémonique vis-à-vis des autres pays européens, mais il a aussi rappelé qu’il compte bien imposer à ses administrations, voire à certains de ses acteurs les plus sensibles, l’obligation de loger leurs données dans des solutions cloud certifiées SecNumCloud.
La loi SREN en débat à l’assemblée
Le ministre est aussi revenu sur le débat à l’Assemblée nationale de la loi sur la sécurisation et la régulation de l’espace numérique. Une loi qui suscite de nombreux débats au sein de la communauté cyber, c’est le moins que l’on puisse dire.
Jean-Noël Barrot n’est pas entré dans les débats suscités par l’amendement visant à interdire les VPN pour accéder aux réseaux sociaux et sur les mesures de contrôle de l’âge des internautes, mais a préféré rappeler l’engagement du Président de la République sur le filtre anti-arnaque… « Nous avons deux enjeux dans les temps qui viennent. Grâce au travail de l’Anssi et des gouvernements précédents, des parlementaires et de la filière, nous avons réussi à mettre en place des dispositifs et des protections exemplaires sur le haut du spectre de la menace. Bien des pays les regardent avec intérêt pour s’en inspirer. Désormais nous avons deux sujets : la cybersécurité du quotidien et celui du passage à l’échelle ».
Selon le ministre, le filtre anti-arnaque doit adresser la problématique de la cybersécurité tandis que le passage à l’échelle, aussi évoqué par Vincent Strudel, doit préparer la France à la mise en application de NIS 2 et DORA.
Un appel à idées pour rendre la cyber plus « tendance » chez les jeunes
Le troisième point évoqué par le ministre est beaucoup plus consensuel : c’est le manque de talents qui freine le développement de la filière et plombe la sécurité de nombre d’entreprises. Le ministre a appelé tous les acteurs de la cyber à proposer des moyens originaux pour attirer les jeunes, rappelant avec raison que des places de formation en cyber restent désespérément vides, alors que bon nombre d’entreprises ont énormément de mal à recruter.
Outre une hypothétique série TV sur la cyber qui pourrait faire évoluer les esprits durablement, ou encore le rôle des World Skills, ces JO des métiers dont la finale mondiale se tiendra à Lyon en 2024, Jean-Noël Barrot a évoqué la nécessaire féminisation du secteur. Un appel à manifestation fait partie du plan France 2030 pour lancer de nouvelles initiatives, afin d’aiguiller jeunes et moins jeunes vers les métiers cyber. Le programme du Campus Cyber a été cité en exemple, mais les entreprises du secteur sont invitées à faire preuve d’imagination pour rendre les métiers de la cyber un peu plus « tendance ».