La France veut devenir une place forte de la cybersécurité

La cybersécurité, bientôt un nouveau terrain d’excellence pour la France ? En tout cas, le pays met les bouchées doubles pour s’imposer. Il s’est même doté d’un «lieu totem», qui se veut une vitrine de sa (future) toute-puissance en matière de lutte contre la cybercriminalité. Le Campus Cyber a été inauguré le 15 février dernier par le ministre de l’Economie, Bruno Le Maire, accompagné de quatre autres ministres.

Situé au cœur de la Défense, à Puteaux, dans la nouvelle tour Eria, conçue par l’architecte Christian de Portzamparc, ce campus XXL rassemble sur 26.000 m² la fine fleur de l’écosystème. De grands industriels (Thales, Orange, Atos, Capgemini, SopraSteria…), des services de l’Etat (Agence nationale de la sécurité des systèmes d’information – Anssi –, ministère de l’Intérieur, ministère de la Défense), la recherche publique (Institut national de recherche en sciences et technologies du numérique – Inria –, CEA), des start-up (Gatewatcher, CybelAngel), des écoles (Epita, Efrei…). A peine ouvert, avec 1.800 postes de travail, il affichait complet. Concrètement, le Campus Cyber est géré par une société, à 8 millions d’euros de capital social, détenue et financée à 44 % par l’Etat, les 56 % restants étant répartis entre quelque 90 organisations.

Il accueille donc des formations, conférences, tables rondes, ou encore des speed datings investisseurs. Cette vitrine permettra aussi aux acteurs français de recevoir des délégations étrangères et de grands industriels.

Un milliard pour le secteur

Ce campus avait été voulu par Emmanuel Macron, dans une ambition plus globale : que la France prenne le leadership en matière de cybersécurité. Le président de la République avait annoncé ce projet en 2021. Avec à sa tête un vétéran en matière de politique cyber : Michel Van den Berghe, qui a quitté en août 2021 la direction d’Orange Cyberdefense pour piloter ce projet régalien.

L’idée d’un lieu fédérateur pour cette filière stratégique remonte déjà à une dizaine d’années, lorsque la cybersécurité était l’un des plans de réindustrialisation de la France. Mais il aura fallu une mobilisation politique forte sous le premier mandat d’Emmanuel Macron pour que le Campus Cyber devienne une réalité. Il s’inspire d’initiatives similaires à l’étranger, tels le CyberSpark de Beer-Sheva en Israël et le CSPRI à Washington. « Le gouvernement a mis la pression à tout le CAC 40 pour que chacun prenne un ticket », raconte à L’Agefi un startupper. Ce qui se reflète dans la longue liste des « partenaires » du Campus, qui ont loué des bureaux ou des espaces de co-working, tels LVMH, La Poste ou Alstom.

En février 2021, alors que des ransomwares (attaques informatiques contre rançon) venaient de frapper les hôpitaux de Dax et de Villefranche-sur-Saône, le président de la République avait dévoilé sa stratégie nationale pour la cybersécurité. Avec à la clé une enveloppe d’un milliard d’euros pour développer ce secteur, dont 515 millions alloués par l’Etat, le reste venant d’acteurs privés. « Ce programme cyber avait donné une impulsion énorme au secteur : peu de segments de marché bénéficient d’une telle aide de l’Etat », salue Nicolas Gaschy, président de la start-up cyber Seckiot.

Ce campus « réunit tous les acteurs en un même endroit : il va plus loin que les FIC (Forums internationaux de la cybersécurité, NDLR), Assises et autres événements ponctuels », se réjouit Michael Bittan, directeur exécutif France chez Accenture Security. Preuve que la French touch dans la cybersécurité s’exporte, le FIC, qui existe depuis plusieurs années – il tiendra sa prochaine édition à Lille du 7 au 9 juin 2022 –, va se décliner à l’étranger. « Le marché est énorme. Nous voulons développer des FIC à l’étranger : l’un va se tenir au Canada en novembre prochain », révèle Guillaume Tissier, co-organisateur du Forum et associé chez Avisa Partners. Et il entend bien travailler main dans la main avec le Campus Cyber de la Défense.

Le concept a aussi vocation à se décliner en régions dans l’Hexagone, selon les compétences locales. « On a une vraie expertise en France. Le Campus va dans la bonne direction. Si on crée une vraie dynamique aussi dans les régions où la cybersécurité a été bien implantée, comme à Rennes, la France pourra s’imposer », espère Carlos Martin, directeur de la cybersécurité de La Banque Postale. L’incubateur Euratechnologies à Lille va ainsi porter le Campus Cyber du Nord, « qui sera centré sur la santé et l’e-commerce », indique Guillaume Tissier. Rennes, en Bretagne, accueille déjà un campus cyber axé sur la défense militaire.

Fédérer

Après plus de deux ans de gestation, celui de la Défense est donc opérationnel. L’enjeu ? Fédérer autour de l’écosystème tricolore de la cybersécurité, et lancer une véritable logique de filière. Sont prévus aussi des programmes communs qui rassembleront industriels, start-up et centres de recherche. « Ici, on veut mener les entreprises à travailler ensemble. Et aussi se mettre au service de plus faibles : il faut aider les PME et TPE à se protéger », précise Michel Van den Berghe, son président.

En la matière, les grandes banques et assurances françaises ont déjà un coup d’avance. « Dans le Campus, 800 m² ont été pris par huit grandes banques. Elles vont développer ensemble un projet pour mieux lutter contre le phishing », indique Michel Van den Berghe. La plupart des grandes banques et assurances ont quelques postes fixes sur le campus. Un groupe de travail dédié aux enjeux spécifiques de ce secteur a été lancé, à l’initiative notamment d’Axa, de BNP Paribas et de la Société Générale.

Le secteur bancaire, a priori cible privilégiée pour les cyberattaques, a une politique particulièrement mature dans sa gestion de ce risque. Toutes les banques consacrent 5 % à 10 % de leur budget informatique à la défense cyber, relevait l’institut Wavestone dans sa dernière étude en mars. « Le fait de voir ces groupes bancaires, entreprises moteurs dans leur gestion du risque cyber, présents dans le Campus va pousser les autres à vouloir y être, pour y apprendre des autres », souligne Michael Bittan.

Souveraineté numérique

Cet esprit collaboratif doit aussi amener grands groupes et start-up à travailler ensemble. Trois jeunes pousses, GateWatcher, YesWeHack et Tehtris, disposent de leur propre espace dédié. Le Campus accueille ainsi une fabrique à start-up cyber, Cyber Booster. Car cet écosystème commence à se structurer. Ce qu’observe le FIC de Lille, qui organise un concours de start-up cyber à chaque édition. « Il y a de plus en plus de spécialisations technologiques des start-up par types de besoins, de menaces cyber : autour de la sécurisation des données, de la sécurité des applications, de la détection de réponses incidents, etc. », détaille Guillaume Tissier.

Autre enjeu, peser face aux géants américains et chinois du secteur. « C’est vital pour notre souveraineté et une opportunité économique essentielle pour nos entrepreneurs et nos start-up », insistait Bruno Le Maire en février. Il s’agit aussi d’éviter une fuite des talents et de mobiliser les investisseurs. « Les start-up cyber – et leurs ingénieurs – doivent rester en France, ou ne pas tomber sous la coupe de fonds d’investissements américains », estime Nicolas Gaschy.

Pour atteindre ces objectifs, il faudra aussi accélérer pour former des professionnels en cybersécurité. « Il y a 15.000 postes non pourvus aujourd’hui, de bac+2 à bac+8. Outre des ingénieurs, nous avons besoin de techniciens à bac+2 », souligne Michel Van Den Berghe. En la matière, les partenaires du Campus ont édité un Référentiel des métiers de la cybersécurité, qui liste 45 métiers d’avenir.

Car le secteur est en tension. « Il y a des écoles d’ingénieurs implantées au sein même du Campus Cyber, c’est très intéressant pour nous car il est très difficile de recruter dans le secteur, souligne Carlos Martin. Nous devons souvent recruter dans d’autres entreprises, ou des jeunes en écoles, que nous formons ensuite. » « Les grandes écoles développent des masters en cybersécurité, encore inexistants il y a cinq ans », souligne Michael Bittan. Preuve de la prise de maturité accélérée dans le secteur.