Effort de guerre : l'industrie cyber va-t-elle en profiter ?
Dans un contexte international tendu, la France souhaite augmenter significativement son budget militaire. Tandis qu'Emmanuel Macron veut le faire passer de 2% à 3,5% du PIB, le ministre des Armées Sébastien Lecornu parle de le doubler pour l'élever à 100 milliards en 2030. Cette augmentation amplifierait un mouvement déjà lancé par la loi de programmation militaire (LPM) 2024-2030. Celle-ci a permis une hausse du budget de 40% par rapport à la précédente LPM 2019-2025 pour aboutir à 50 milliards d'euros en 2025. En outre, la dernière LPM fait plus que doubler le montant alloué à la cybersécurité. Celui-ci représente 4 milliards d'euros contre 1,6 auparavant.
"Tous ces investissements vont nécessairement bénéficier à un périmètre plus large que celui du ministère des Armées", indique le colonel Loriquet, chef du pôle innovation & ressources du commandement de la cybersécurité (Comcyber). C'est ce que confirme le général 2e section Jean-Jacques Pellerin, consultant cyber au Groupement des industries françaises de défense et de sécurité terrestres et aéroterrestres (Gicat). Evoquant la sécurisation des échanges d'information que finance la dernière LPM, il précise que "pour garantir une confidentialité, une disponibilité et une intégrité des données échangées, tous les aspects de la cybersécurité seront mis en œuvre, du firewall jusqu'à la sonde en passant par les différents types de chiffreurs".
En outre, l'industrie cyber pourrait profiter des nombreux investissements qui ne concernent pas directement la cybersécurité. C'est l'avis de Lionel Salmon, directeur cybersécurité des systèmes d'information chez Thales : "Il y a un effet bénéfique indirect car il y a de plus en plus besoin de cybersécurité dans les systèmes d'armement. Donc acheter plus de systèmes d'armes comme des véhicules, des navires ou des avions profitera à l'industrie cyber dans son ensemble. Par exemple, à bord d'une frégate ou du futur système principal de combat terrestre, il y aura des capacités de cyberdétection et cyberprotection embarquées."
Un ruissellement limité
Cependant, Lionel Salmon tempère. Selon lui, "les discours de réarmement actuels tendent surtout à privilégier la production de masse au détriment de la technologie. Est prôné le réarmement avec plus de munitions, de véhicules terrestres, de navires, de drones à bas coûts, ce qui pourrait produire un effet d'éviction du champ cyber, au moins à court terme." Cet avis est partagé par Samuel Hassine, PDG de Filigran, start-up spécialisée dans la cyber threat intelligence qui a notamment pour clients le FBI et des acteurs de la défense.
Pour lui, ce sont surtout les entreprises produisant des technologies cyber duales et offensives qui pourraient profiter de l'effort de guerre : "celles qui relèvent de l'exploitation de vulnérabilités zero-day ou encore les outils cyber de renseignement. Les autres secteurs sont moins impactés." Pour autant, certaines technologies cyber duales et défensives comme celles concernant la cryptographie tirent parti de l'augmentation du budget de la défense selon le colonel Loriquet, notamment au regard de la menace quantique.
En outre, très souvent, seules les entreprises bénéficiant de certaines qualifications peuvent accéder à des marchés publics de la défense. Il en va ainsi de Jizô AI qui a été créée grâce à la LPM 2019-2025 : "Audrey Amedro, notre fondatrice, a rencontré l'Agence nationale de la sécurité des systèmes d'information. Celle-ci l'a informé que pour la mise en œuvre de la LPM il fallait des entreprises qualifiées par elle et capables de produire des sondes de détection pour les réseaux critiques de l'Etat", indique Antonin Hily, directeur technique de Jizô AI. C'est pourquoi Audrey Amedro et son équipe ont fait qualifier leur entreprise par l'Anssi peu après sa création visant à répondre à ce nouveau marché public. Or cette qualification nécessite de nombreuses, coûteuses et très exigeantes évaluations échelonnées sur environ une année.
Des cycles d'achat inadaptés à l'évolution rapide du cyber
Lionel Salmon pointe du doigt l'inadéquation entre la lenteur des cycles d'achat propres à la défense et l'évolution rapide des technologies de cybersécurité. "Les cycles de vie des produits achetés par le ministère des Armées sont très longs. Par exemple, si celui-ci veut introduire dans des satellites ou véhicules scorpion des capacités de cyberdetection et cyberprotection, elles devront durer au moins 10 ou 15 ans. Cela peut être un véritable frein pour des start-up de cybersécurité qui préfèrent l'agilité propre à leur secteur plutôt que le temps long des systèmes d'armes. C'est pourquoi il est préférable pour elles de se lancer directement dans des partenariats avec des grands industriels de la défense si elles veulent produire pour ce secteur."
Toutefois, ce problème d'inadéquation serait en train d'être résolu selon le colonel Loriquet. "Dans un monde où les menaces évoluent rapidement, nous devons être capables d'adapter nos capacités très vite. C'est pourquoi les structures de marché négociées entre la Direction générale de l'armement et les industriels dans le domaine du cyber ont été modifiées. Les marchés permettent désormais d'avoir des cycles de développement beaucoup plus rapides. Aussi l'organisation interne à l'administration a évolué pour pouvoir décider plus vite grâce à des méthodes de gestion de projet adaptées."
La Cyber defense factory créée en 2019 illustre les efforts progressifs d'adaptation de la Direction générale de l'armement (DGA) pour répondre au besoin d'agilité de l'industrie cyber. Installé dans la banlieue de Rennes, il s'agit d'un incubateur piloté par la DGA, l'Agence de l'Innovation de Défense et le Comcyber. Toute start-up et entreprise de taille petite, moyenne ou intermédiaire peut y développer un projet de cyberdéfense produisant des résultats tangibles au bout de six mois. La société Sahar, spécialisée dans la cyber threat intelligence et qui compte désormais une quarantaine de collaborateurs, y a d'ailleurs été créée. "On s'organise collectivement pour être capables d'intégrer dans les systèmes d'information de demain non pas l'innovation d'aujourd'hui, mais bien celle de demain", ajoute le colonel.