La cybersécurité, fer de lance de la souveraineté numérique

La Gazette Nord Pas-de-Calais. «In Cloud we trust ?», c'est le thème choisi pour cette édition 2023 du FIC. Le cloud est-il vraiment le moteur de la transformation numérique ou est-ce une menace ?

Guillaume Tissier. La révolution du cloud, en marche depuis plusieurs années, est en train de s'accélérer. Elle apporte des bénéfices énormes en termes de coût, d'efficacité, de disponibilité, de scalabilité, etc. Pour les entreprises, je dirai même que c'est l'assurance d'avoir une énergie informatique de qualité à des prix assez raisonnables. Mais évidemment, cela suscite des questions de sécurité et de souveraineté.

De sécurité d'abord parce que même si les offres cloud permettent une meilleure sécurité, cela génère une complexité importante pour les entreprises : au-delà de l'engouement sur les solutions de sécurité et leurs fonctionnalités proposées par les gros acteurs du cloud, il faut en maîtriser l'ensemble pour être bien protégées et malheureusement, les compétences manquent.

Et concernant la souveraineté ?

Ce n'est pas parce qu'on dispose d'un très bon niveau de sécurité que le problème de la souveraineté ne se pose pas. La cybersécurité est avant tout un sujet d'essence juridique avec des contrats et des lois applicables sur les données stockées dans le cloud. Il est indispensable de pouvoir garder une maîtrise sur les contrats avec des garanties de réversibilité, de transférabilité et d'interopérabilité. Il faut savoir que lorsque l'on stocke les données chez un acteur américain par exemple, même si elles sont stockées sur le territoire français et sont soumises au droit américain.

Est-ce aussi à l'Europe et aux différents gouvernements de prendre des mesures en faveur de cette souveraineté européenne ?

Il y a un vrai nouveau rapport à la donnée et cela suppose que l'Europe, de manière volontariste, mette le paquet en termes de politiques industrielles. C'est par exemple le cas avec l'IPCEI (Projet Important d'Intérêt Européen Commun), un instrument d'aide européen qui permet aux Etats membres concernés de soutenir des projets hautement innovants. C'est aussi l'objet du texte européen sur la législation des marchés numériques de 2022, le DMA, (Digital Markets Act). L'objectif est de réguler cette concurrence et de permettre à d'autres acteurs d'émerger tout en empêchant des fusions qui viendraient encore plus réduire le marché.

Ce ne sera jamais suffisant face à des GAFA présents depuis bien trop longtemps mais il s'agit quand même de 7 milliards d'euros injectés par 13 pays européens pour financer le développement d'offres de cloud européens.

Si le marché est dominé par les entreprises américaines, est-ce parce qu'on manque d'acteurs en Europe ?

La domination des «hyper scalers» est très nette : ils détiennent 70% du marché. Le premier acteur européen qui apparaît dans les 10 premiers mondiaux, c'est OVHcloud – dont le siège est à Roubaix – mais il reste très loin derrière les premiers. L'Europe peut tirer des avantages de la présence importante de son industrie ainsi que de ses compétences sur le le edge computing (optimisation du cloud computing qui consiste à traiter les données au plus près de leurs sources, ndlr) : il ne faut pas rater cette révolution là car l'Europe a déjà pris du retard sur le cloud.

On a pu connaître, en 2022, de nombreuses attaques envers des collectivités ; fin février 2023, la Mairie de Lille s'est elle aussi faite cyberattaquée, paralysant de nombreux services publics. Pourquoi ce changement de cibles ?

Selon le rapport 2022 de l'Anssi (Agence Nationale de la Sécurité des Systèmes d'Information) sur les attaques et incidents dont elle a eu connaissance, les collectivités représentent 23% des incidents en rançongiciel, les TPE/PME/ETI, 40% et les institutions de santé 10% ; le reste concernant les grands groupes.

Le nombre d'attaques et d'incidents ont été en légère baisse en 2022 mais les attaques sont plus perverses et font davantage de dégâts. Les collectivités et les TPE/PME/ETI sont des cibles très importantes parce qu'elles sont moins matures que les autres. Les secteurs d'activité sont inégaux face à la menace. Mais il y a des progrès : l'offre de sécurité s'est structurée, des certifications sont lancées pour garantir la qualité et un système de référencement des offres a été créé, via le site www.cybermalveillance.gouv.fr.

Et du côté des établissements de soins ? Ils représentent 10% des rançongiciels traités ou rapportés à l'Anssi en 2022.

Depuis 2021, le Gouvernement a pris des mesures en investissant pour la sécurité des systèmes d'informations des hôpitaux, mais cela reste un point faible, tout simplement parce que leurs équipements sont souvent vieillissants. Certes, ils sont numérisés, mais souvent datés. La principale préoccupation de leurs RSSI (responsables de la sécurité des systèmes d'information) est de détecter les attaques pour pouvoir débrancher les équipements à temps. Mais ils n'ont pas la possibilité de remplacer les équipements ou de les mettre à jour parce que cela coûte cher...

Qu'en est-il du plan de l'Etat, à hauteur d'un milliard d'euros (1Md€) pour renforcer la cybersécurité, dévoilé en 2021 ?

Le Gouvernement a pris la mesure de la menace. Il s'agit surtout de faire décoller les offres souveraines : c'est là où sécurité et souveraineté se rejoignent. À coûts et fonctionnalités égales, l'achat public doit être engagé vers des solutions françaises. La cybersécurité est le fer de lance en matière de souveraineté. Ce n'est pas tout d'avoir des politiques, il faut aussi des collaborateurs pour les mettre en place et les accompagner.

La cybersécurité souffre encore d'un déficit de recrutement ?

Il n'y a pas assez de formations sur les métiers opérationnels. On manque de formations courtes, professionnelles et en apprentissage. Mais on n'attire pas en amont assez de vocations. Ces métiers souffrent de clichés : on a besoin du numérique partout et ça n'est pas uniquement technique. C'est du droit, des sciences humaines, de l'intelligence artificielle, de la R&D... En plus de susciter les vocations, il faut mieux exploiter les ressources.