En forte augmentation depuis la crise de la Covid-19, le nombre de cyberattaques sur le territoire français a considérablement augmenté par rapport à l’année dernière. Favorisées par le télétravail, les entreprises deviennent des cibles faciles. Comme l’électricité, les attaques se produisent là où il y a le moins de résistance.  Les SI des hôpitaux sont aussi fortement visées . 

C’est dans ce contexte anxiogène que le gouvernement a annoncé courant février la  mise en place d’un plan à 1 milliard d’euros d’ici à 2025  pour renforcer le niveau de cybersécurité du territoire français. 

Financé par le programme France Relance et le programme d’Investissement d’Avenir, le Gouvernement mobilise 1 milliard d’euros, dont 720 millions de financements publics. Ce plan a pour objectif de permettre à la filière cybersécurité française d’accélérer et de multiplier par trois le chiffre d’affaires de la filière et passant ainsi de 7,3 milliards à 25 milliards d’euros. Autre mission : doubler les emplois de la filière (de 37 000 à 75 000).

Cédric Lamouche , expert en cybersécurité chez Agaetis répond dans cette interview à toutes les questions que vous pouvez vous poser autour de ce plan de relance annoncé par le gouvernement. Il met en lumière les points stratégiques du chantier de la cybersécurité en France et fait un état des lieux de la situation actuelle. 

Pour commencer, le gouvernement a annoncé ce 18 février vouloir doubler les effectifs de la filière cybersécurité d’ici 2025, en passant de 37 000 à 75 000 emplois, selon vous ce plan est-il réalisable en 4 ans et où se trouve l’enjeu de cette annonce ?

Le constat du manque de mains en cybersécurité ne fait qu’empirer d’année en années, la digitalisation des entreprises et l’exposition de leurs systèmes informatiques font qu’aujourd’hui il est difficile de pouvoir couvrir correctement les risques en cybersécurité. Il est indispensable d’accélérer la formation et la qualification de nouveaux renforts pour rapidement combler les besoins actuels. Il faut se donner les moyens d’avoir cette bulle d’air pour être proactif aux cybermenaces et sortir du mode pompier trop souvent rencontré ces dernières semaines sur tous secteurs de métiers confondus. C’est pour cela que nous avons fait le choix d’étoffer notre offre d’un service de formation à distance sous forme de réalisations de scénarios réels d’attaque avec un accès sur une plateforme SaaS. Cette offre de formation permet d’acquérir ou de monter en compétences rapidement sur des solutions technologiques de cybersécurité et des méthodologies d’attaque/défense.

La transition numérique a-t-elle été trop rapide pour maîtriser les risques de cyber sécurité ?   

Incontestablement oui, l’accélération des derniers mois sur l’ouverture des systèmes d’information a créer des brèches au niveau de la gestion de la sécurité. Pour répondre à des besoins de continuité d’activités des entreprises ont dû ouvrir rapidement et sans analyse des risques leurs SI. On estime que certains secteurs ont gagné 5 ans en maturité de digitalisation, si on regarde le temps que prennent habituellement l’évaluation des risques et l’écriture d’un plan de gestion on voit que la sécurité ne peut plus suivre à ce rythme effréné. Il devient judicieux d’aller vers des approches de micro segmentations et de moindre privilèges pour arriver à maîtriser ses nouvelles expositions.

Avec son plan de relance d’un milliard d’euros, dont 720 millions de financements publics, le gouvernement veut faire émerger des champions de la cybersécurité et trois licornes françaises. Vous pouvez nous en dire plus ? Quels sont leurs objectifs et y en a t-il déjà sur le territoire français ?

La France a toujours été pionnière dans les nouvelles technologies et encore plus en cybersécurité. Nous n’avons rien à envier à nos voisins européens et partenaires outre atlantique mais il est important de garder cette volonté nationale d’avoir nos propres solutions nationales en développant et intégrant notre R&D reconnue mondialement. Il y a encore de la place sur des sujets d’automatisation, de veille et d’analyse, mais il est indispensable de piloter ces projets afin de ne pas se retrouver avec des doublons ou fork de solutions. L’état à tout à jouer et son rôle sur les prochaines années sera primordial notamment à veiller à ce que cette R&D et ces solutions restent sur le sol Français !

Bruno Le Maire, Ministre de l’Économie, des Finances et de la Relance, a déclaré que la cybersécurité était un “enjeu majeur du XXIe siècle” et qu’elle était “essentielle à la souveraineté des États, à la pérennité du développement des entreprises et à la sécurité des citoyens”. Comment se situe la France par rapport aux autres puissances mondiales dans la sécurisation de ses SI ? Sommes-nous en retard ou plutôt en avance ? 

Nous avons une bonne sécurisation globale sur l’ensemble du CAC 40 qui sont impactés et régis par des réglementations de plus en plus drastiques sur la sécurisation des données, on retrouve par exemple le RGPD, la LPM, NIS etc … Mais il reste encore beaucoup à faire sur le segment de marché intermédiaire où peu de sociétés sont soumises à des réglementations à part le RGPD qui concerne tout le monde. On le voit aujourd’hui des secteurs sont des cibles privilégiées comme la santé et les administrations publiques, on ne peut pas dire que ces structures n’ont pas investi dans des moyens de protections mais force est de constater qu’aujourd’hui elles arrivent à leurs limites. Il faut pouvoir leur proposer des solutions de cyber défense adaptées aux niveaux des fonctionnalités mais surtout au niveau coût d’acquisition. De nouveaux business models doivent être inventés pour rendre accessible ces solutions avec des tickets d’entrées acceptables. La mutualisation peut être une porte de sortie vers le haut pour faire face rapidement à ces cybermenaces de plus en plus sophistiquées.

Un des axes d’action avec ce plan de relance est de diffuser une véritable culture de la cybersécurité dans les entreprises, quelles vont être les missions principales pour que cette culture soit adoptée et à quel niveau est-elle déjà présente en France ?

En France nous avons déjà un très bon travail de sensibilisation de l’ANSSI qui sort régulièrement des guides sur la sécurisation des SI, en parallèle l’état a mis en œuvre la plateforme  cybermalveaillance.gouv.fr  qui permet de donner des conseils aux entreprises mais surtout de les prendre en charge dès lors des premiers signaux d’attaque. Il ne faut surtout pas relâcher les efforts et les messages doivent être relayés régionalement, départementalement et localement. Il doit y avoir beaucoup plus d’interactions entre les sociétés de service en cyber sécurité, les partenaires locaux et les entreprises car les enjeux sont communs autour d’une volonté de croissance et de pérennité.

Enfin un des derniers axes d’action est de stimuler la recherche française en cyber et l’innovation industrielle avec dans l’idéal une hausse de 20% des brevets, est-ce réalisable en 4 ans et quels sont les sujets les plus importants à traiter selon vous ?

Oui, c’est tout à fait raisonnable, nous avons une très bonne R&D comme je vous le disais plus haut mais encore faut-il savoir la valoriser et lui donner les moyens de passer à l’échelle. Trop de projets restent dans les tiroirs des laboratoires soit par manque de financement ou de méthodologie pour aborder le marché. Entre avoir une idée et la valoriser commercialement ce n’est pas si simple que ça si ces laboratoires ne sont pas accompagnés le taux de résultat sur le delivery et l’usage restera très faible. Je suis tout à fait d’accord sur le besoin de produire des brevets mais il faut absolument une dynamique de valorisation de ces brevets et surtout de veiller qu’ils permettent de donner de la croissance aux entreprises françaises.

Et Agaetis dans tout ça, où vous situez-vous et où en êtes-vous ? 

Nous avons pris le virage de la cybersécurité car de plus en plus de projets que nous abordons requièrent des niveaux de sécurisations importants. Il est très rare aujourd’hui de trouver des projets clients sans une volonté de sécurisation ce qui est plutôt rassurant pour nous consommateurs et usagers de ces projets de digitalisation. Notre expertises et nos retours d’expériences nous permettent d’être dans l’anticipation sur des sujets brûlants comme la cybersécurité c’est pour cela que nous avons produits des offres baptisées :