Universités d’été Hexatrust 2024 : fin de la parenthèse olympique, place à la course de fond NIS 2
Les Jeux paralympiques n’étaient pas encore totalement achevés, mais l’ambiance était à fêter la victoire de l’équipe de France cyber. Il reste cependant à relever un défi majeur en 2024, celui de la transposition de NIS 2 en droit français…
L’édition 2024 des Universités d’été d’Hexatrust, l’association des acteurs de la cybersécurité française et du cloud de confiance, fut le reflet d’une année où la France cyber fait face à deux grands défis : les Jeux olympiques et paralympiques et leur cohorte de menaces informatiques, mais aussi celui de la transposition de la directive NIS 2 en octobre 2024.
« Avant d’entamer le second, il faut rappeler les batailles gagnées par l’équipe de France de la cybersécurité ces dernières années », déclarait Jean-Noël de Galzain, président d’Hexatrust, lors de la plénière des Universités d’été d’Hexatrust. « En 2020, nous avons mobilisé l’écosystème pour assurer la continuité d’activité des entreprises pendant le confinement. En 2021, nous avons participé à la création de la stratégie nationale cyber, à la mise en place de nouveaux cursus, puis à l’émergence du Campus Cyber. Il s’agit de relever le défi de faire de la France la terre de la cybersécurité en Europe ».
Il a évoqué ensuite le programme France Relance qui fut confié à l’Agence nationale de la sécurité des systèmes d’information (Anssi) en 2022, pour aider les collectivités et le système de santé, un programme depuis relayé par le programme CaRE du ministère de la Santé.
Un écosystème cyber dynamique, mais fortement challengé
Michel PaulinPréfigurateur du comité stratégique de filière Solutions numériques de confiance
Néanmoins, si l’écosystème cyber français est dynamique, il a aussi des faiblesses. Celles-ci sont notoirement évidentes dans le secteur du cloud, où les acteurs français se sont fait damer le pion par les hyperscalers américains. Michel Paulin, préfigurateur du comité stratégique de filière Solutions numériques de confiance, l’a rappelé : « cette filière regroupe éditeurs de logiciels, services cloud, quantique, IA et métavers. C’est une filière en croissance à deux chiffres depuis des années, une filière qui crée des emplois, mais c’est une filière internationale qui perd des parts de marché à l’étranger, et en France aussi. Il y a des concurrents très puissants. On connaît tous les Américains, les Chinois, mais il y a aussi des filières extrêmement dynamiques en Corée du Sud, au Canada, en Israël, à Taiwan, qui gagnent des parts de marché et croissent ».
Pour Michel Paulin, la France doit avoir 5 priorités : investir sur l’offre, la régulation/certification, la commande publique. Il souligne aussi le besoin en ressources humaines du secteur – entre attirer des talents et féminiser le secteur – et celui d’exporter. Enfin, il a pointé le rôle des grands groupes où les acteurs cyber nationaux continuent de perdre des parts de marché.
Hexatrust et son président Jean-Noël de Galzain ont pris position sur ce point depuis de nombreuses années : « nous avons besoin de la commande des grands groupes, nous aurons besoin de la confiance des PME, des ETI et nous devrons nous mettre à leur portée, avec des solutions adaptées. Bien sûr, il faudra de la commande publique, des acheteurs dans la santé, les collectivités locales. Partout où il y a du numérique, il y a besoin d’un numérique de confiance ». Le PDG de Wallix pousse en faveur d’une troisième voie numérique : entre une IT ultra-dominée par les acteurs américains d’un côté et un numérique d’inspiration chinoise.
La transposition de NIS 2 à l’horizon
La parenthèse olympique s’achevant, l’écosystème cyber français va devoir concourir dans une compétition tout autre, celle de la conformité à la directive européenne NIS 2. C’est le 12 juin 2024 que le texte devait être présenté en conseil des ministres, soit 3 jours après l’annonce de la dissolution de l’Assemblée nationale par Emmanuel Macron.
Depuis, tout le processus est figé et la date butoir du 17 octobre fixée par l’Union européenne semble bien difficile à tenir. Mais, comme l’a souligné Anne Le Henanff, députée Horizon du Morbihan et rapporteure du groupe de travail de l’Assemblée nationale sur NIS 2, il n’y a pas péril en la demeure : « la France n’est pas plus en retard que les autres pays européens. En dehors de la Belgique, la Croatie et la Hongrie, aucun pays européen n’a transposé et le Danemark a déjà annoncé qu’il transposera en 2025 ».
Vincent StrubelDirecteur général de l’Anssi
De même, Vincent Strubel, directeur général de l’Anssi a rappelé que les entreprises disposeront de 3 ans pour appliquer le texte de loi : « il faut se projeter dans NIS 2 sans fébrilité. Mais sans insouciance. Octobre 2024 est l’échéance pour la transposition. Si la France n’est pas au rendez-vous, l’État se fera taper sur les doigts, comme cela peut arriver. Clairement, du fait de l’incertitude parlementaire, nous ne serons pas les premiers à transposer, mais nous ne serons probablement pas les derniers ».
En outre, la transposition n’est qu’un début : « quel que soit le calendrier d’adoption du texte, nous nous donnerons 3 ans pour exiger la conformité complète aux exigences de NIS 2. […] Nous avons bien intégré la notion de proportionnalité et [voulons] faire des choses adaptées aux structures que nous régulerons demain. Nous gardons bien en tête la notion de co-construction et on le fait depuis un an avec vous pour l’élaboration de ce texte législatif et nous le ferons dans les prochains mois pour les textes d’application ».
Vincent Strubel a néanmoins souligné que ce délai de 3 ans passe vite à l’échelle cyber et qu’il ne faudra pas attendre les derniers jours pour lancer une mise en conformité…
De son côté, Jean-Noël de Galzain a insisté sur le défi que représente la mise en place d’un tel dispositif qui va potentiellement concerner 150 000 organisations en Europe, 15 000 en France et 25 000 en Allemagne : « c’est un défi immense avec une phase de build qui sera suivie par une phase de maintien dans la durée ».
Pour le président d’Hexatrust, l’écosystème cyber va devoir faire émerger des chaînes de valeur déployables, qu’il sera possible de faire passer à l’échelle. « Le mot d’ordre est aussi la devise d’Hexatrust : l’union fait la force. Il faudra être unis, travailler de manière collaborative pour faire face à ce défi ».