Universités d’été Hexatrust 2024 : fin de la parenthèse olympique, place à la course de fond NIS 2

Un écosystème cyber dynamique, mais fortement challengé

« Cette filière regroupe éditeurs de logiciels, services cloud, quantique, IA et métavers. C’est une filière en croissance à 2 chiffres […], mais c’est une filière internationale qui perd des parts de marché à l’étranger, et en France aussi. »

Néanmoins, si l’écosystème cyber français est dynamique, il a aussi des faiblesses. Celles-ci sont notoirement évidentes dans le secteur du cloud, où les acteurs français se sont fait damer le pion par les hyperscalers américains. Michel Paulin, préfigurateur du comité stratégique de filière Solutions numériques de confiance, l’a rappelé : « cette filière regroupe éditeurs de logiciels, services cloud, quantique, IA et métavers. C’est une filière en croissance à deux chiffres depuis des années, une filière qui crée des emplois, mais c’est une filière internationale qui perd des parts de marché à l’étranger, et en France aussi. Il y a des concurrents très puissants. On connaît tous les Américains, les Chinois, mais il y a aussi des filières extrêmement dynamiques en Corée du Sud, au Canada, en Israël, à Taiwan, qui gagnent des parts de marché et croissent ».

Pour Michel Paulin, la France doit avoir 5 priorités : investir sur l’offre, la régulation/certification, la commande publique. Il souligne aussi le besoin en ressources humaines du secteur – entre attirer des talents et féminiser le secteur – et celui d’exporter. Enfin, il a pointé le rôle des grands groupes où les acteurs cyber nationaux continuent de perdre des parts de marché.

Hexatrust et son président Jean-Noël de Galzain ont pris position sur ce point depuis de nombreuses années : « nous avons besoin de la commande des grands groupes, nous aurons besoin de la confiance des PME, des ETI et nous devrons nous mettre à leur portée, avec des solutions adaptées. Bien sûr, il faudra de la commande publique, des acheteurs dans la santé, les collectivités locales. Partout où il y a du numérique, il y a besoin d’un numérique de confiance ». Le PDG de Wallix pousse en faveur d’une troisième voie numérique : entre une IT ultra-dominée par les acteurs américains d’un côté et un numérique d’inspiration chinoise.

La transposition de NIS 2 à l’horizon

La parenthèse olympique s’achevant, l’écosystème cyber français va devoir concourir dans une compétition tout autre, celle de la conformité à la directive européenne NIS 2. C’est le 12 juin 2024 que le texte devait être présenté en conseil des ministres, soit 3 jours après l’annonce de la dissolution de l’Assemblée nationale par Emmanuel Macron.

Depuis, tout le processus est figé et la date butoir du 17 octobre fixée par l’Union européenne semble bien difficile à tenir. Mais, comme l’a souligné Anne Le Henanff, députée Horizon du Morbihan et rapporteure du groupe de travail de l’Assemblée nationale sur NIS 2, il n’y a pas péril en la demeure : « la France n’est pas plus en retard que les autres pays européens. En dehors de la Belgique, la Croatie et la Hongrie, aucun pays européen n’a transposé et le Danemark a déjà annoncé qu’il transposera en 2025 ».

« Octobre 2024 est l’échéance pour la transposition. Si la France n’est pas au rendez-vous, l’État se fera taper sur les doigts. ».

De même, Vincent Strubel, directeur général de l’Anssi a rappelé que les entreprises disposeront de 3 ans pour appliquer le texte de loi : « il faut se projeter dans NIS 2 sans fébrilité. Mais sans insouciance. Octobre 2024 est l’échéance pour la transposition. Si la France n’est pas au rendez-vous, l’État se fera taper sur les doigts, comme cela peut arriver. Clairement, du fait de l’incertitude parlementaire, nous ne serons pas les premiers à transposer, mais nous ne serons probablement pas les derniers ».

En outre, la transposition n’est qu’un début : « quel que soit le calendrier d’adoption du texte, nous nous donnerons 3 ans pour exiger la conformité complète aux exigences de NIS 2. […] Nous avons bien intégré la notion de proportionnalité et [voulons] faire des choses adaptées aux structures que nous régulerons demain. Nous gardons bien en tête la notion de co-construction et on le fait depuis un an avec vous pour l’élaboration de ce texte législatif et nous le ferons dans les prochains mois pour les textes d’application ».

Vincent Strubel a néanmoins souligné que ce délai de 3 ans passe vite à l’échelle cyber et qu’il ne faudra pas attendre les derniers jours pour lancer une mise en conformité…

De son côté, Jean-Noël de Galzain a insisté sur le défi que représente la mise en place d’un tel dispositif qui va potentiellement concerner 150 000 organisations en Europe, 15 000 en France et 25 000 en Allemagne : « c’est un défi immense avec une phase de build qui sera suivie par une phase de maintien dans la durée ».

Pour le président d’Hexatrust, l’écosystème cyber va devoir faire émerger des chaînes de valeur déployables, qu’il sera possible de faire passer à l’échelle. « Le mot d’ordre est aussi la devise d’Hexatrust : l’union fait la force. Il faudra être unis, travailler de manière collaborative pour faire face à ce défi ».