Selon le député du Rhône Christophe Guilloteau, la France a deux atouts importants en matière de cybersécurité : un cadre législatif fort et cohérent, marqué notamment par la publication du Livre blanc sur la défense et la sécurité nationale et le vote de la Loi de Programmation Militaire, et un marché dont elle n’a pas a rougir. Ce dernier représenterait 700 acteurs, pour 40 à 50 000 emplois, et il pèserait 4,5 milliards d’euros de Chiffre d’Affaire en France et jusqu’à 8,5 milliards à l’étranger. Autrement dit, c’est une bonne base qui n’attend qu’à se développer !

Et le développement, c’est précisément l’objectif de la feuille de route établie par l’ANSSI, associée à un groupe d’industriels et à des associations d’utilisateurs, dans le cadre du « Plan 33  » de la Nouvelle France Industrielle.

Convié par Défense & Stratégie à l’occasion d’un point d’étape, Philippe Blot, Responsable de la Division Produits et Services de Sécurité à l’ANSSI, a détaillé les actions envisagées pour accroitre à la fois les débouchées des acteurs industriels de la cybersécurité française, mais également d’en développer l’offre au profit à la fois de l’Etat et du secteur privé.

Pour cela quatre axes de développement ont été définis, et pour chacun une série d’actions à mener.

1. Développement du marché en France. Selon les auteurs de la feuille de route celui-ci peut croitre de 20% par an.

Parmi les actions envisagées pour y parvenir l’on trouve notamment la création d’un Label France pour les produits et services de confiance, qui permettra de communiquer plus largement et plus clairement à leur sujet.

Il est également question de faciliter l’achat public en matière de solutions de cybersécurité françaises, notamment en répertoriant ces dernières au catalogue de la centrale d’achat public UGAP.

2. Renforcer l’offre de produits ou services de confiance. Il s’agit ici d’identifier à la fois des domaines dans lesquels l’offre industrielle nationale est inexistante ou insuffisante, ainsi que ceux touchant à la souveraineté technologique nationale (par exemple, outre la crypto, dans le domaine des sondes de détection).

Pour cela, les actions proposées ont pour objectif d’aider les entreprises à s’orienter dans la jungle des aides au financement, mais aussi de leur proposer un plan d’investissement d’avenir permettant l’émergence et la sélection d’offres nouvelles. Pour le premier plan mis en oeuvre (il y en aura d’autres), cinq domaines prioritaires ont été identifiés :

1. Les solutions de sécurité pour l’informatique industrielle (par exemple des pare-feu SCADA). Car l’offre actuelle est inexistante.
2. Les sondes de détection performantes. Car l’offre actuelle n’est pas / peu disponible publiquement.
3. Les SIEM. Car l’offre actuelle demande à être améliorée, notamment en terme de performance face à de gros volumes d’événements à traiter.
4. Des offres de ToIP et de VoIP sécurisées.
5. Des moyens mobiles sécurisés. Car l’offre actuelle doit être améliorée, tant en termes de fonctionnalités que d’ergonomie.

Il a également été proposé dans ce cadre de créer une plateforme de tests et de présentation des offres qui soit notamment capable de les évaluer sur des réseaux à très haut débit et de tester leur interopérabilité.

Enfin, au delà de l’identification et l’accompagnement de solutions innovantes l’objectif est aussi d’aider ces dernières à franchir le cap de l’industrialisation, une difficulté hélas courante chez les solutions innovantes françaises.

3. Accompagnement à l’export. Il est estimé que l’exportation de solutions de cybersécurité françaises pourrait croitre de 30% par an.

Parmi les mesures proposées l’on trouve notamment la création d’un « forum » public-privé, un réseau qui permettrait, par exemple, d’alerter les industriels sur des appels d’offres captés à l’étranger par les représentations diplomatiques françaises, ou encore de mieux promouvoir les offres nationales lors des missions de « capacity building » réalisées par la France au profit de pays étrangers.

Evidemment, un tel réseau devrait aussi permettre aux industriels de s’entraider, par exemple dans le cadre d’une implantation à l’étranger lorsqu’un l’un des participants est déjà présent dans le pays cible et peut ainsi faciliter les contacts locaux pour un autre.

4. Consolider le marché français de la cybersécurité. Celui-ci contiendrait, selon les auteurs de cette feuille de route, trop de petits acteurs.

Sur ce point, qui est probablement le plus polémique et le plus délicat à mettre en oeuvre, l’Etat devra manier avec subtilité l’arme de l’influence et de l’encouragement afin de proposer à de petites entreprises opérant sur le même marché de s’unir pour atteindre une taille critique.

L’un des outils qui pourrait être mis en oeuvre serait la création d’un fond d’investissement privé spécialisé (les discussions seraient déjà en cours) destiné aux entreprises de taille moyenne. Et bien entendu, qui dit « taille moyenne » dit incitation vis-à-vis des (trop) petites entreprises à s’unir pour en bénéficier.

Cette courte liste d’actions n’est ni exhaustive ni définitive : elles sont 17 au total et doivent encore être validées à l’échelle ministérielle pour celles qui impliquent le soutien d’un ministère, puis passer un « grand oral » auprès des services du Premier Ministre.

Toutefois, pour celles qui ne dépendent pas de l’Etat, les choses semblent prometteuses puisque un certain nombre d’entre elles seraient déjà engagées. Et c’est d’ailleurs une axe intéressant du projet : non seulement l’Etat ne souhaite pas être seul à la manoeuvre, mais il ne souhaite pas que son apport soit purement financier : l’objectif est avant tout de tisser un lien entre les industriels privés et l’Etat et de leur faire bénéficier, au delà de fonds, d’une aide opérationnelle de la part de ce dernier, notamment sur la scène internationale.

Le comité de réflexion à l’origine de cette feuille de route est composé de l’ANSSI pour la partie publique et d’une quinzaine d’industriels français actifs au sein des grandes associations métiers (Prim’X, Dictao, Gemalto, STMicroelectronics, Airbus, Cassidian, Thales, Sogeti, Solucom, Trusted Labs…) ainsi que des communautés d’utilisateurs (Cigref, Gitsis, Cesin…)