Le 31 octobre dernier se tenaient, au siège de la Direction générale de la Gendarmerie nationale (DGGN), les 5èmes Rencontres Parlementaires de la Cybersécurité. Organisé par le CyberCercle, cet événement quasi-intimiste a regroupé des personnalités incontournables du monde du cyber français autour d’une problématique fondamentale : comment les politiques publiques peuvent-elles aider à renforcer la filière cybersécurité des territoires à l’international ? Députés, élus régionaux, responsables de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), de la Direction générale de l’armement (DGA) et de sociétés françaises du domaine du cyber ont débattu sans détour lors de trois tables rondes, questionnant le dialogue public-privé, les politiques des collectivités territoriales et la conquête des marchés à l’international.
« Mise en adéquation de l’offre et de la demande d’emploi »
Tout au long de cette journée sont revenues sur la table quelques préoccupations centrales, au premier rang desquelles celle de la formation : avec seulement 25% des besoins en recrutement couverts en 2015 selon le cabinet Ernst & Young, 8% de croissance des effectifs attendus sur les cinq prochaines années et une mise en place tardive et désordonnée d’offres de formation initiales, continues et courtes, le sujet de l‘adéquation de l’offre et de la demande d’emploi dans le secteur n’a pas fini de tourmenter les acteurs publics. Côté recruteurs, les intervenants ont témoigné de leur difficulté à trouver les meilleurs candidats quand ceux-ci, se prévalant souvent plus d’une formation autodidacte que de diplômes, sont parfois attirés par des salaires jusqu’à trois fois plus élevés à l’étranger que les 45 000 euros annuels proposés en début de carrière en France dans un groupe comme Airbus. Pour pallier cela, Nacira Salvan, présidente du Cercle des femmes de la cybersécurité (CEFCYS) préconise – et œuvre déjà elle-même pour – une sensibilisation en amont, dès le collège et le lycée ; « le nerf de la guerre cyber aujourd’hui, c’est la ressource humaine et les talents », martèle quant à lui François Lavaste, responsable Digital Security chez Airbus Defence and Space.
C’est dans cette logique que le Pôle d’excellence cyber (PEC, créé fin 2014 sous l’égide du ministère de la Défense et implanté en Bretagne) a produit un catalogue des formations et des diplômés en France : ces derniers sont 2 000 à entrer sur le marché du travail chaque année quand le besoin avoisinerait plutôt les 6 000. Or dans ce domaine stratégique, la main d’œuvre n’est ni importable ni délocalisable. Selon Christian Daviot, conseiller stratégie du Directeur général de l’ANSSI, le problème viendrait de la « cécité » et de la lenteur de l’administration à réagir à de nouveaux phénomènes et à recruter en conséquence – que ce soit dans le domaine des objets intelligents, des smart cities ou du cyber. C’est pourquoi la DGGN finance chaque année des thèses et crée des partenariats avec des établissements d’enseignement supérieur et de recherche, tandis qu’une soixantaine de réservistes y sont sélectionnés pour leur spécialité en numérique, surtout sur le « dark net ». Du côté de la région Provence Alpes Côte d’Azur, Philippe Vitel a annoncé le vote fin octobre d’un dispositif doté d’un million d’euros pour la reconversion des militaires ayant des compétences dans ces métiers de niche. Il projette par ailleurs l’ouverture d’une option cybersécurité dans les lycées militaires à commencer par celui d’Aix-en-Provence. Selon cet homme d’expérience, « la région est un périmètre pertinent pour la prise en charge du cyber, tout simplement parce que c’est le périmètre pertinent du domaine universitaire ».
« PME et collectivités territoriales ne savent toujours pas bien vers qui se tourner»
En deuxième lieu, la question de la prise en charge efficace et coordonnée de la cybersécurité par les acteurs publics est revenue continuellement au cours de ces tables rondes. M. Daviot a certes souligné le grand chemin parcouru depuis dix ans quand, en écho aux cyber-attaques massives subies par l’Estonie, l’Etat français a commencé à s’y intéresser. Dans le Livre blanc sur la défense et la sécurité nationale de 2008 est alors demandée la création de l’ANSSI qui compte au début une centaine de personnes et ne s’occupe que de certifications mais développe par la suite une vraie politique industrielle. Figurent ensuite dans la Loi de programmation militaire (LPM) de 2013 des articles qui imposent aux « opérateurs d’importance vitale » (OIV) un certain nombre de mesures techniques (notamment des sondes de détection d’attaques informatiques) avec l’idée de favoriser le développement d’une filière. L’ANSSI accompagne les entreprises dans le développement de solutions de protection souveraines : on voit ici un exemple de politique publique qui a eu pour effet la création d’un marché industriel.
Avec la stratégie de 2015, la cybersécurité devait être considérée comme un avantage compétitif et les entreprises ont été responsabilisées sur ce point. Les arrêtés ministériels, non publics, traduction de l’article 22 de la LPM mis en œuvre en 2016, concernent une douzaine d’OIV. Ces mesures ne s’appliquent qu’à partir du moment où les produits sont disponibles et labellisés (ce qui n’est pas encore le cas des sondes de détection d’attaques informatiques). En 2016, l’ANSSI a détaché des agents au niveau des régions pour porter la « bonne parole » aux PME-PMI, pour lesquelles a été inauguré en septembre 2017 un dispositif d’assistance aux victimes d’actes de cyber-malveillance en associant des prestataires de proximité à la filière. L’ANSSI est aujourd’hui devenue la clé de voûte des travaux entre État et industriels.
Le ministère de l’Intérieur a souhaité marquer de son empreinte l’action collective sur le cyber et a donc créé en 2013 la Délégation aux industries de sécurité et à la lutte contre les cybermenaces, dirigée par Thierry Delville, présent lors de ces rencontres du 31 octobre. Elle travaille sur les questions de normalisation et appuie les projets à l’exportation en sollicitant d’une part le réseau des attachés de sécurité intérieure des ambassades qui préparent les délégations et se posent en relais, et d’autre part la société Défense conseil international (DCI), point d’entrée important pour qui veut investir à l’étranger dans ce domaine.
Pour sa part, la gendarmerie nationale s’est fixée au titre de ses priorités la transition numérique et la cybersécurité. Elle a donc ouvert un Centre de lutte contre la cybercriminalité numérique (C3N) et doublé le nombre de cyber-enquêteurs dans les unités de la police judiciaire qui doit atteindre un effectif de 6 000 en 2018. Une sensibilisation à la cybersécurité sera prévue dans la formation de tous les personnels dès 2018, date à laquelle sera également lancée la plateforme Perceval pour signaler les abus sur les moyens de paiement par les citoyens. La même année sera lancé le système Thésée permettant un dépôt de plainte. La gendarmerie nationale finance également des thèses portant sur la cybersécurité et noue des partenariats avec l‘enseignement supérieur. Son partenariat avec l’ANSSI a donné naissance à NeoGend, un terminal mobile doté d’une connexion haut débit sécurisée. Enfin, sa plateforme d’assistance aux cyber-malveillances oriente le citoyen vers des brigades locales.
À l’échelle des régions, les politiques publiques sont plus inégales. En pointe dans le domaine, la Bretagne a su fédérer tous les acteurs autour du Pôle d’excellence cyber, créé en 2014 avec la Région, le ministère de la Défense, le monde de la recherche, les PME et de grands groupes. Le Pôle noue des partenariats au niveau national voire européen, comme en Estonie. Dans le Midi, la région PACA aspire à devenir « la première smart region d’Europe » nous apprend son vice-président, Philippe Vitel. Elle voit en effet cent-dix startups créées chaque année, compte dix pôles de compétitivité, quatre écosystèmes FrenchTech, affiche 15 milliards d’euros de chiffre d’affaire dans le numérique et consacre 38 millions d’euros par an à l’innovation en plus des 100 millions d’euros investis par le Fonds européen de développement économique et régional (FEDER) – le statut de député européen du président de la région PACA faisant alors sens. Pour Philippe Vitel, le cyber relève du domaine régalien mais doit être pris en compte par la région. Sa région a donc développé douze opérations d’intérêts régionaux (OIR) auxquelles est consacré un milliard d’euros sur cinq ans. Il existe ainsi une OIR « industrie navale et maritime » dédiée au cyber-maritime.
En dépit des efforts de tous ces acteurs, il semble que les PME et les collectivités territoriales ne savent toujours pas bien vers qui se tourner pour développer leur protection cyber. Une meilleure coordination et fédération des acteurs locaux est nécessaire : si toutes les mairies se mettaient autour de la table dans une région, cela faciliterait le rôle du représentant de l’ANSSI préconise Philippe Vitel qui en appelle au rôle moteur des élus.
Alexis Maloux