Comment l’Alliance pour la Confiance Numérique (ACN), qui représente les entreprises du secteur de la confiance numérique, dont notamment celles de la cybersécurité entend soutenir et accélérer la structuration de la filière française de cybersécurité ? Eléments de réponses avec Jean- Pierre Quémard, Président de l’Alliance pour la Confiance Numérique.
La France dispose dans ce domaine d’un tissu industriel très performant et d’une excellence internationalement reconnue grâce à des leaders mondiaux, des PME, des ETI et aux différents acteurs dynamiques du secteur. On dénombre environ 850 entreprises réalisant en France près de 9 Milliards d’euros de chiffre d’affaires dans ce secteur en forte croissance (plus de 12% de croissance chaque année depuis 2014).
La transformation numérique des entreprises et des services de l’État est un levier puissant pour le développement économique mondial et pour celui de la France. La croissance future de nos entreprises bénéficiera largement des nouvelles technologies et les relations entre les services de l’État et les citoyens profiteront également avantageusement de cette révolution numérique. Pourtant, de nombreux exemples récents ont montré que, sans sécurité et sans confiance numérique, ce monde interconnecté et virtualisé pouvait devenir un vecteur propice à la désinformation, à la manipulation économique ou politique, aux escroqueries et au terrorisme.
Les soupçons de cyber-attaque pendant l’élection présidentielle américaine et la prise de conscience par les autorités françaises et les candidats d’un risque d’ingérence dans le processus électoral français ont conduit le Président de la République à demander que des «mesures spécifiques de vigilance et de protection, y compris dans le domaine cyber» lui soient présentées.
Pour autant, le risque cyber ne se limite pas aux attaques informatiques à visée politique ou idéologique. L’Internet est devenu au fil du temps le premier vecteur d’attaque du grand public par la cybercriminalité mondiale. L’actualité récente, avec l’attaque mondiale dite « Wannacry », avec plusieurs centaines de milliers de machines infectées, montre que les entreprises de toutes tailles sont aussi des cibles de choix pour les attaques informatiques. Ainsi, le cyber-terrorisme coexiste avec le cyber-espionnage, la cyber-criminalité et la cyber-délinquance.
La France, en décidant en 2013 avec la loi de programmation militaire et la réglementation sur les Opérateurs d’Importance Vitale, de créer des obligations en matière de cybersécurité pour ces acteurs stratégiques, a servi de modèle à l’Europe qui a, à son tour élaboré une règlementation adaptée aux enjeux de la cybersécurité (directive « Security of network and information systems » (NIS). En complément, l’adoption du Règlement général sur la protection des données personnelles (RGDP) est également intervenue pour fournir des outils complémentaires dans un domaine connexe et intrinsèquement lié à la cybersécurité.
L’avance législative française et sa traduction administrative à travers l’instrument majeur qu’est l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) sont des atouts importants pour notre pays. Ils sont complétés par un tissu académique et industriel très performant dans le domaine de la confiance numérique et de la cybersécurité. En effet, nous disposons de laboratoires reconnus mondialement et d’entreprises dotées de compétences rares, composées à la fois de grands groupes et de PME agiles et dynamiques. Cet ensemble offre un panel de compétences extrêmement précieux et permet à notre pays de faire partie des leaders mondiaux dans ce domaine stratégique. C’est d’autant plus notable dans une économie numérique mondialisée où de grands acteurs étrangers ont des positions dominantes.
A la fois avec l’objectif de maintenir et de renforcer la souveraineté de notre pays, de protéger notre économie, nos entreprises et nos savoir-faire et de promouvoir une industrie technologique génératrice d’emplois et d’exportations, les industriels français de la confiance numérique et de la cybersécurité souhaitent proposer les actions suivantes :
Soutenir l’écosystème français en poursuivant le soutien à la filière
L’industrie française (industriels et prestataires de services) est l’une des plus qualifiées du monde dans le domaine de la cybersécurité. Dans le cadre de la Nouvelle France Industrielle, le plan 33 portant sur la cybersécurité a su réunir autour d’un même projet les utilisateurs d’outils de cybersécurité, les offreurs de composants, de produits, de services et de solutions, et des représentants des autorités publiques. Ce plan a mis en place un certain nombre d’outils structurants pour la filière comme le label France Cybersecurity, par exemple. Il nous apparait essentiel que l’Etat continue à soutenir la filière, en impliquant utilisateurs et offreurs à côté de l’Etat, afin d’accélérer son développement, lui permettant ainsi de parler d’une seule voix au niveau européen et de promouvoir les intérêts français.
Proposition concrète
– Favoriser la mise en place d’une instance publique/privée et en assurer le financement pérenne afin de capitaliser sur les actions et l’élan créé par l’ANSSI, les industriels et les utilisateurs dans le cadre du plan 33.
Porter notre industrie au rang mondial
Afin de pérenniser l’industrie française de la cybersécurité et maintenir son excellence technologique face aux autres grands acteurs internationaux, l’accélérateur de développement réside dans le marché européen et mondial. Pour être reconnu au rang mondial, il devient nécessaire de disposer de « champions » européens de la cybersécurité, capables de diffuser largement ses technologies. Il est donc important d’avoir une vision tournée vers les attentes européennes et de soutenir la promotion de savoir-faire français. Les travaux techniques européens liés notamment à la certification en cybersécurité doivent être considérés comme stratégiques pour défendre les intérêts français en Europe et européens dans le concert mondial. En effet, en l’absence d’une réponse européenne efficace, le risque est d’affaiblir nos acteurs au profit d’entreprises d’autres continents ne partageant pas la même vision que l’Europe sur des sujets majeurs tels que la sécurité ou la protection des données. En complément, des actions conjointes publiques et privées et un accompagnement fort et spécifique de l’Etat pourraient être menées à l’export, notamment à travers la diplomatie économique, pourrait être un catalyseur pour cette industrie stratégique.
Propositions concrètes
– Créer un lien fort entre le Quai d’Orsay et l’ACN pour faciliter, dans le cadre de la diplomatie économique, le portage des solutions de cybersécurité développées par le tissu industriel français.
-
Systématiser l’insertion des sujets de cybersécurité dans les agendas des voyages diplomatiques.
Poursuivre le développement de la réglementation (LPM, NIS…)
Avec la loi de programmation militaire, puis la transposition de la directive NIS, la France est engagée fortement dans le renforcement de la sécurité de ses entreprises et services publics critiques. Ce mouvement doit se poursuivre afin d’élever le niveau de sécurité des organismes français. La réglementation a un rôle majeur de levier pour permettre de garantir un niveau de sécurité optimal au regard des usages considérés, mais aussi de susciter une prise de conscience de l’ensemble des acteurs autour de ce sujet. En effet, au-delà des aspects économiques, la cybersécurité est également un enjeu de souveraineté nationale et, dans une certaine mesure, européenne.
Proposition concrète
– Favoriser le développement prioritaire de capacités de cybersécurité françaises spécifiquement liées aux exigences formulées par la réglementation.
– Créer une obligation générale de sécurité numérique, sur le modèle de l’obligation générale de sécurité de l’employeur prévue dans le Code du Travail, imposant aux entreprises une obligation de résultat concernant la mise à disposition de mises à jour de sécurité de leurs produits, services et solutions, notamment au regard des vulnérabilités officiellement publiées.
-
Afin d’accompagner les entreprises dans leur nécessaire sécurisation numérique, mettre en place un dispositif d’incitation fiscale (éventuellement sous forme de crédit d’impôt) pour les PME déployant des solutions de confiance et de sécurité numérique.
Mettre en œuvre la souveraineté et la sécurité en achetant en France
En raison des liens historiques avec les domaines de la sécurité nationale et du renseignement, tous les produits de la cybersécurité ne se valent pas et les technologies de provenance étrangère ne sont pas toujours dignes de confiance. Pour faire respecter sa souveraineté, la France doit s’appuyer au premier chef sur les technologies françaises de la cybersécurité. En outre, pour assurer le meilleur niveau possible de sécurité, les grands organismes utilisateurs de technologies et services de cybersécurité doivent s’appuyer sur des acteurs français, au moins pour la protection de leurs ressources les plus sensibles.
Proposition concrète
– Utiliser tous les leviers, dans le respect des réglementations en vigueur, pour orienter prioritairement la commande publique et privée vers des entreprises françaises de cybersécurité. En effet, ces dernières doivent être considérées comme des actifs stratégiques à préserver pour la souveraineté de notre pays.
Systématiser l’évaluation par un tiers pour les technologies de sécurité
En matière de cybersécurité, la confiance doit se démontrer et ne peut être présumée au vu des seules déclarations du fournisseur, potentiellement trompeuses. Les produits de sécurité doivent donc faire l’objet d’évaluations systématiques de sécurité par des tiers compétents, si possible dans le cadre de schémas de certification officiels tout en veillant à ce que ces démarches demeurent économiquement soutenables. Ces évaluations doivent être adaptées aux exigences de sécurité requises au regard des usages et applications considérées, la démarche auto-déclarative ne pouvant être acceptée pour des besoins de sécurités limités. Par ailleurs, il est important d’éviter la fragmentation horizontale (secteur par secteur) des certifications et exigences requises.
Propositions concrètes :
– Adapter le cadre réglementaire français et européen avec le double impératif d’assurer le niveau de protection adéquat sans que cela ne constitue un facteur bloquant de développement et d’innovation pour les entreprises.
– En tout état de cause, pour les technologies de sécurité, l’évaluation par des tiers doit être rendue obligatoire.
– Elaborer un dispositif d’accompagnement financier pour les PME dans le cadre de leurs démarches de certification, en particulier lorsque l’entreprise dispose d’un projet client abouti.