Le 31 octobre dernier se tenaient, au siège de la Direction générale de la Gendarmerie nationale (DGGN), les 5èmes Rencontres Parlementaires de la Cybersécurité. Organisé par le CyberCercle, cet événement quasi-intimiste a regroupé des personnalités incontournables du monde du cyber français autour d’une problématique fondamentale : comment les politiques publiques peuvent-elles aider à renforcer la filière cybersécurité des territoires à l’international ? Députés, élus régionaux, responsables de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), de la Direction générale de l’armement (DGA) et de sociétés françaises du domaine du cyber ont débattu sans détour lors de trois tables rondes, questionnant le dialogue public-privé, les politiques des collectivités territoriales et la conquête des marchés à l’international.
Vous pouvez retrouver la première partie ici.
« Difficulté de navigation pour les PME face à la multiplicité des réglementations »
Parmi les nombreuses interrogations avancées lors de cette cinquième édition, celle de la normalisation et de la certification du secteur fut l’une des plus importantes. La réglementation en matière de cybersécurité évolue à des rythmes différents aux niveaux français et européen, avec une tendance à l’harmonisation autour de normes européennes en décalage avec les normes françaises. Il en résulte une inquiétude pour 92% des dirigeants et décideurs français de ne pas être en conformité lors de l’entrée en vigueur en France le 25 mai 2018 du Règlement général sur la protection des données (RGPD) et de sa mise en œuvre associée de sanctions par la CNIL. François Lavaste met en lumière la difficulté de navigation pour les PME face à la multiplicité de réglementations : à qui s’adresser et comment veiller à l’évolution du cadre normatif ?
Quant aux certifications européennes, moins exigeantes que celles de l’ANSSI, elles posent un problème en termes de souveraineté et de sécurité pour nos entreprises. Certes, le « cyber package » annoncé par le président de la Commission européenne Jean-Claude Juncker a permis l’augmentation des moyens attribués à la directive « Network and information security » (NIS) du 6 juillet 2016, mais il a créé la surprise concernant les certifications. Philippe Blot, chef de la division produits et services de sécurité à l’ANSSI, rappelle que la certification a pour but de « rassurer l’utilisateur » et de « séparer le bon grain de l’ivraie » dans la pléthore de produits cyber offerts.
« L'Équipe France » à la conquête des marchés internationaux
Les intervenants ont ensuite débattu de la pertinence et de la capacité pour le cyber français d’aller à la conquête des marchés internationaux. L’enjeu est de taille : le chiffre d’affaires global pour la cybersécurité devrait doubler, passant d’environ 75 milliards d’euros aujourd’hui à 150 milliards en 2020, d’autant plus que la donne a changé depuis l’affaire Snowden, les clients ne regardent plus uniquement vers l’offre américaine et réorientent leurs prospects.
L’ANSSI suit cette tendance et tente depuis deux ans de s’emparer de la problématique du soutien à l’exportation. Elle est ainsi présente sur les salons internationaux, y finance la présence de sociétés françaises, redirige les clients vers elles, etc. Mais ses ressources sont limitées (avec un soutien sur une poignée de salons seulement). L’accompagnement des entreprises françaises à l’export reste marginale, les salons n’étant d’ailleurs pas une priorité pour celles-ci : certaines refusent même d’y être sous pavillon français. En revanche, d’autres types d’actions peu coûteux existent comme la rédaction de lettres de soutien, de certifications, de catalogues ou encore d’éléments de langage pour les autorités politiques. Il n’en demeure pas moins que lors des salons Infosec et NIAS en Belgique, le pavillon français est à chaque fois le plus important. Toujours en faveur de l’exportation, l’ANSSI lancera début 2018 les « visas de sécurité », gages de sécurité et de confiance annoncés par Guillaume Poupard aux Assises de la cybersécurité 2017.
L’industrie mondiale de la cybersécurité a ses spécificités. Elle est moins visible que d’autres industries de défense et vient en accompagnement d’autres domaines : « on ne vend pas de la cybersécurité mais un bateau cybersécurisé » distingue Nicolas Guillermin, architecte cyber à la DGA (Direction générale de l’armement). Pour Pierre Calais, PDG de Stormshield, se tourner vers l’export est vital: l’entreprise doit être globale en raison des énormes efforts de R&D nécessaires et de la taille des concurrents. De plus, se positionner à l’étranger permet de développer des produits compétitifs sur le marché français : c’est là l’approche de la DGA, dont la priorité reste l’équipement des forces armées. Or, les entreprises françaises n’ont pas encore atteint la taille critique sur le marché mondial, il en résulte qu’une majorité des solutions utilisées par des grands groupes français sont américaines ou israéliennes.
À la série de regrets exprimés, il faut ajouter celui-ci : il semble que la France ne sache pas à qui vendre ni comment. Les entreprises françaises se sont polarisées sur le marché gouvernemental, lequel ne représente pourtant que 20% de l’ensemble du marché pour le cyber. La question du label « armée française » pour l’export a aussi été sujette à débats : certains intervenants ont relevé le fait que cet argument peut être un handicap dans certains pays même s’il est un gage de sérieux. Pour Erwan Keraudy, co-fondateur et CEO de CyberAngel, ce label constitue même un « poison » et il vaudrait mieux afficher des références comme le label ANSSI.
La France est attractive mais doit structurer sa filière
Parmi les écueils récurrents, on constate en amont un manque de précautions lors de l’analyse des marchés étrangers, avec des négligences dans la prise en compte de la variabilité des comportements d’achat selon les pays. En aval, les sociétés françaises n’ont pas toujours les moyens humains pour rester sur le qui-vive et se font oublier après un premier contrat selon l’idiome « loin des yeux loin du cœur ».
Pourtant, les agents de CCI France International analysent les marchés pour le bénéfice des sociétés françaises. FrenchTech Hub, émanation de Business France, aide à définir des stratégies et à vérifier si l’offre d’une entreprise est au point et correspond aux attentes des clients sur place ainsi qu’à leurs us et coutumes. En France et en Allemagne par exemple l’approche des produits est très technique, alors que les anglo-saxons ne seront pas intéressés par un produit trop complexe. Il faut également s’appuyer sur des ressources locales malgré un réseau souvent difficile à pénétrer. Le travail de préparation est donc lourd, il peut prendre entre 18 et 24 mois avant l’expression du « go / no-go » selon Pierre Calais. « Dans le secteur des technologies de cybersécurité il faut être capable de placer trois ou quatre personnes pendant douze mois pour commencer à irriguer le marché, se faire une idée mais ensuite être capable de vite passer à dix ou quinze personnes » ajoute-t-il. Mais lui-même admet ne pas s’être beaucoup appuyé sur Business France, qu’il ne juge pas très adapté.
De la même façon, E. Keraudy lui préfère le réseau local des entrepreneurs français à l’étranger, véritable « village gaulois » et écosystème d’entraide structuré par FrenchTech. Il suggère aux PME françaises de se rassembler sur les salons et de mutualiser le coût d’une bonne place – qui peut atteindre les 50 000€ aux Etats-Unis. Dominique Brunin, directeur International, Industrie, Innovation et Intelligence économique à la CCI France, souhaite voir les PME françaises gagner le pari d’une installation locale au-delà d’une première réussite. Pour cela il faut une certaine maturité et être protégé sur le plan des brevets.
La France est attractive en termes de cybersécurité : elle constitue le premier marché en Europe pour les acteurs mondiaux comme les Etats-Unis. E. Keraudy recommande une alliance avec l’industrie allemande du cyber afin de gagner des parts de marché face aux géants américains. Mais le problème reste le même, à savoir celui de la structuration d’une filière française du cyber. Il existe certes entre 400 et 700 sociétés dédiées en France, mais le tissu est fragmenté : il y a trop d’entreprises par rapport à la capacité de financement et d’accompagnement. L’effort de mutualisation et de système collectif pour les PME manque. Il souhaiterait voir naître « des plateformes sectorielles avec guichet unique, des PME qui se regroupent pour prendre des VIE à plusieurs, des gros qui prennent les petits sous leur aile », bien qu’il ne croit pas vraiment à la logique de portage des PME par des grands groupes à l’international, qualifiant ces derniers de « prédateurs ». Il fait surtout confiance aux petits comme moteurs de l’innovation et de l’entraide.
E. Keraudy conclut sur cette anecdote : à l’occasion d’une rencontre sur la sécurité organisée par le ministère de l’Intérieur à l’Ambassade de France à Washington, il explique avoir appelé le CEO d’une petite entreprise (CyberTest) qu’il avait rencontré deux ans plus tôt, et l’avoir invité à cet évènement. Après avoir fait le déplacement depuis Singapour pour une journée, CyberTest réalise aujourd’hui d’importants chiffres d’affaires grâce aux contrats signés suite à cette rencontre. Ainsi, « quand l'Équipe France se met ensemble et avance dans la même direction, nous sommes imbattables ».
Alexis Maloux