Entretien
« Il est nécessaire d'accéder à une souveraineté numérique », Guillaume Tissier, coorganisateur du FIC
Après une précédente édition en septembre dernier, le FIC (Forum international de la cybersécurité) revient à Lille Grand-Palais les 7, 8 et 9 juin, avec 480 intervenants, 37 tables rondes et 20 000 m² dédiés aux questions de sécurité et de confiance numériques. En ligne de mire cette année, la coopération européenne face à des attaques toujours plus sophistiquées.
Picardie La Gazette : Quels sont les enjeux de cette édition du FIC ?
Guillaume Tissier, coorganisateur du FIC et associé Avisa Partners : Nous allons avoir un cycle très européen, à la fois dans le thème et les participants. Beaucoup de textes sont en concertation, avec notamment le Cyber Resilience Act, que la Commission européenne devrait adopter dans le courant du 3e trimestre 2022. Ce texte doit établir de nouvelles règles de cybersécurité pour les produits numériques et les services auxiliaires, dans le prolongement de la stratégie de cybersécurité de l'UE pour la décennie numérique de décembre 2020.
C'est donc l'occasion de renforcer la coopération internationale pour faire face aux enjeux de sécurité numérique ?
Avec nos voisins européens, nous partageons tous un certain nombre d'enjeux, d'intérêts et de craintes. Qu'il s'agisse du Covid ou de la crise ukrainienne, ces événements renforcent la prise de conscience de chacun des Etats sur la nécessité d'accéder à une souveraineté numérique. Nous aurons d'ailleurs une conférence, le mercredi 8 juin à 17 heures, en compagnie du joueur de rugby Serge Betsen sur le thème "La cybersécurité est un sport : votre équipe est-elle prête ?".
Justement, on a assisté à une montée en puissance des cyberattaques durant le Covid...
En effet, les menaces progressent énormément : +128% par rapport à 2021. On recense une attaque en rançongiciel toutes les onze secondes et la Commission nationale informatique et libertés (Cnil) reçoit 20 notifications par jour, dont 58% d'origine malveillante. La coopération est indispensable pour lutter contre des menaces de plus en plus sophistiquées. Surtout, les cyberattaques touchent tous types d'organisations : les entreprises quelle que soit leur taille, les collectivités, mais aussi les particuliers.
Comment explique-t-on cette montée en puissance des cyberattaques ?
Nous sommes de plus en plus dépendants du numérique. Prenez l'exemple du télétravail : il a fallu le déployer en un temps record et, parfois, avec des solutions inadaptées. Plus on dématérialise les processus, plus on est vulnérables, mais il y a une vraie prise de conscience, tant au niveau français qu'européen. Pour autant, ce serait aberrant de refuser le progrès.
Vous parliez des collectivités. Sont-elles plus vulnérables car moins bien protégées ?
Trente pour cent des collectivités ont déjà subi une attaque en rançongiciel. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) mène des travaux pour proposer des consultations aux collectivités et les soutenir grâce à la mise en place de centres régionaux pour les aider à répondre aux incidents.
Qu'en est-il des TPE et PME ? Comment aborder pour elles un sujet qui semble souvent bien complexe ?
On compte aujourd'hui en moyenne 45 solutions de cybersécurité déployées dans les grands groupes ! C'est énorme ! Cela génère évidemment de la complexité pour des solutions qui finalement adressent un besoin unique.
Cette complexité n'est pas du tout abordable pour les petites entreprises pour lesquelles les solutions mutualisées et packagées, via un prestataire cloud ou un hébergeur, restent plébiscitées. On ne peut pas demander à une TPE ou à une PME d'acheter des dizaines de solutions ou de monter en interne un "security operation center". Il faut une sécurité managée et régulée et en France il existe une richesse d'acteurs.
Quand on interroge les responsables d'entreprise, leur sujet est plutôt de gérer l'obsolescence technologique : il y a un tel rythme dans les innovations qu'il est difficile de suivre. L'idée n'est pas de ralentir mais de renforcer les obligations des éditeurs pour maintenir leurs logiciels au-delà des durées de commercialisation et de maintenir ainsi la sécurité.
Le début de cette année 2022 a bien évidemment été marquée par la crise en Ukraine. Doit-on craindre d'éventuelles cyberattaques ?
Il y a évidement eu des attaques en Ukraine au niveau des transports, de l'énergie... Mais pour l'instant, peu d'impact sur les opérations militaires. Néanmoins, il faut rester prudents. Et ces événements posent aussi la question de l'extrême dépendance à l'égard de certains pays, bien au-delà de la théorie.
De nombreuses start-up françaises émergent dans le paysage économique mais comment se font-elles une place à l'international ?
Chaque année, lors du Prix de la start-up – qui encourage l'innovation et l'entrepreneuriat dans le secteur de la cybersécurité –, nous publions un baromètre de l'innovation avec Tikehau Ace Capital : le dynamisme et le foisonnement ne sont pas nouveaux et on constate une montée en maturité des entreprises françaises et européennes, qui partent rapidement à l'assaut d'un marché européen ou américain.
Ce qu'il faut maintenant, c'est que l'investissement suive. Aujourd'hui, les fonds sont structurés pour les premières levées mais dès que l'on atteint des montants de 20 à 30 millions d'euros, la France est très en retard par rapport aux États-Unis ou en Israël.
Il manquerait 15 000 emplois dans la cybersécurité. Est-ce un défaut de formation ?
Il est clair que les besoins augmentent et l'arrivée de nouveaux diplômés et experts ne progresse pas assez vite pour couvrir l'ensemble des besoins. Le Président de la République a annoncé vouloir doubler le nombre d'emplois dans les métiers du numérique [ndlr, pour atteindre les 70 000 emplois d'ici 2025]. Rien que sur la filière cybersécurité, la France affiche un chiffre d'affaires d'environ 8 milliards d'euros (+11,5% en 2020) et il est question de le tripler d'ici 2025.
Je dirais que le sujet est plutôt celui de la valorisation des métiers et la formation des techniciens, encore trop peu développée. Le hacker à capuche qui travaille dans le noir, c'est caricatural. Il faut insister sur le fait qu'il y a aussi des hackers éthiques, des postes sur des profils techniques et non techniques, dans des sujets juridiques, marketing, commerciaux, de gouvernance...