RIAMS, Saint-Tropez – En matière de SSI, la France doit-elle apprendre à recruter des talents et non plus seulement des diplômés ? Doit-elle être capable de produire ses propres routeurs de coeur de réseau afin de ne dépendre d’aucune nation étrangère en la matière ? Ces questions se sont imposées lors de la rencontre entre les journalistes présents aux RIAMS, le contre-amiral Arnaud Coustillière, officier général en charge des questions de cyberdéfense au sein de l’Etat-Major des armées, et le sénateur Jean-Marie Bockel.

Pour Michel Van Den Berghe, le fondateur d’Atheos et à l’origine des RIAMS, il est très difficile de recruter de bons pentesteurs, tant les profils sont rares et ces compétences pas vraiment enseignées formellement. Les plus doués sont donc des autodidactes, qui trouvent certes aisément un emploi mais sont trop peu nombreux pour satisfaire les besoins. Il est selon lui grand temps d’organiser la filière d’enseignement afin de permettre à ces passionnés d’accéder à des formations professionnalisantes dans le domaine de la SSI offensive. Il se propose d’ailleurs d’y travailler avec l’aide des pouvoirs publics et des écoles d’ingénieurs.

« Recruter des compétences, et non des diplômes, est aujourd’hui essentiel dans le domaine de l’offensif, pour des pentesteurs par exemple » , confirme l’amiral Coustillière. Il est cependant plus mesuré quant à un éventuel grand programme national de formation à la SSI offensive : « Il est difficile de former des gens au hacking dans des filières académiques sans savoir ce qu’ils feront ensuite. On ne va tout de même pas favoriser la prolifération ! » , prévient l’amiral. Un journaliste présent avance alors l’idée d’un modèle similaire aux grandes écoles de l’administration, où les étudiants « doivent » du temps à l’Etat après le formation. Elle semble ne trouver cependant qu’un écho mesuré auprès de l’amiral Coustillière et du sénateur Bockel.

L’autre grand sujet du jour était la politique industrielle de la France dans le domaine de la sécurité des systèmes d’information. Tout le monde semble d’accord pour dire que l’Etat doit favoriser l’émergence d’une offre nationale afin de ne pas dépendre de fabricants étrangers pour certains usages à risque (équipements de routage, authentification forte, etc…). Et même le libéral Jean-Marie Bockel accepte l’idée d’une intervention de l’Etat dans ce domaine : « tout le monde le fait : les Etats-Unis, l’Angleterre, l’Allemagne… pourquoi devrions-nous nous en priver ? »

Le sénateur Bockel prône la création d’un éco-système de petites entreprises innovantes autour des poids-lourds du domaines que sont les Thales, Cassidian, Sogeti et autres Bull. Si l’on ne peut que défendre cette idée, le risque est toutefois de ne pouvoir maîtriser la voracité de ces grands groupes, souvent prompts à engloutir les petites entreprises innovantes. Et donc de se retrouver avec un « plus gros Thales » au lieu d’un véritable éco-système générateur d’innovation et d’agilité.

Selon le paléo-anthropologue Pascal Picq (lire notre article « Darwin et la sécurité » ) les grandes entreprises sont très bonnes pour développer le business mais moins pour faire de l’innovation. Les PME, en revanche, savent très bien faire ce qu’il appelle « de la fixation de l’innovation » : générer des idées et mettre en marche celles qui le méritent le mieux en fonction des stimulus extérieurs (marché, besoins…). Il conseille donc de prendre le meilleur des deux mondes, et notamment aux grandes entreprises de s’entourer d’un vivier de PME innovantes dont elles pourront aider à développer le marché.

Hélas un tel éco-système est un équilibre délicat et il n’est pas certain que la France soit culturellement le terreau le mieux placé pour y parvenir (opposition entre notre culture lamarckienne fascinée par les grandes écoles et les grands groupes, et la culture darwinienne que l’on trouve notamment aux Etats-Unis). Et ce n’est d’ailleurs pas l’excellent Nicolas Baverez, intervenu au RIAMS un peu plus tôt dans la matinée, qui dira le contraire : ses chiffres sur la vigeur du tissus entrepreneurial allemand, par comparaison à l’assèchement français dans le domaine, témoignent de la difficulté de la chose. Cela n’effraie cependant pas le sénateur Bockel, qui après avoir pu s’entretenir sur le sujet avec Fleur Pellerin, tente désormais de convaincre – sans succès pour l’instant – Arnaud Montebourg de l’importance du sujet.

La création d’une véritable filière industrielle SSI nationale s’inscrit dans la démarche de certification des solutions par l’ANSSI, et plus globalement dans le besoin, pour les entreprises, de pouvoir estimer le niveau de confiance à apporter à certains équipements ou logiciels critiques, aujourd’hui fournis par des prestataires étrangers avec peu de contrôle (actuellement seul l’Etat peut se permettre d’avoir une préférence nationale en la matière, quitte à faire développer en petites séries les équipements qui font défaut au marché) .

Aujourd’hui, certains dispositifs existent déjà : la DGA dispose notamment de fonds pouvant aider à l’amorçage de jeunes entreprises dans le domaine de la Défense, et le gouvernement peut interdire la vente d’une technologie offrant l’indépendance nationale sur un domaine. Mais il s’agit désormais, au delà d’une aide directe de l’Etat, de laisser les grands du domaine entretenir, aider et « cultiver » l’innovation à travers des start-ups françaises (une loi destinée à moraliser les contrats de distribution ou d’ouverture de marchés serait un très bon début, tant nous avons entendu d’histoires d’horreur au sujet de start-ups mortes après avoir signé un contrat de distribution avec l’un des trois gros français, dans l’espoir de trouver de nouveaux marchés, ndlr…)

Bien sûr une production nationale n’éliminera certainement pas tous les risques, et poussée à l’extrême cette tendance pourrait même conduire à un isolationisme technologique néfaste (sans parler de subventions évaporées, autre grand jeu national).

Mais l’enjeu est tel que l’on ne peut plus ignorer le besoin d’autonomie sur certains de ces systèmes critiques. A l’heure où le domaine cyber est considéré comme un terrain de manoeuvres militaires au même titre que la terre, l’air et la mer, il serait incohérent de ne pas disposer d’une industrie de cyber-défense nationale.