Cybersécurité : l'Etat plaide pour une consolidation de l'offre industrielle
"La cybersécurité est une cause d'union nationale", martèle Guillaume Poupard, directeur général de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) depuis le printemps dernier. "Et dans un budget de DSI, elle ne peut plus être marginale et devra encore progresser". Le propos, s'il a tout pour séduire les deux mille professionnels réunis depuis ce premier octobre à Monaco pour la 14e édition des Assises de la Sécurité, correspond à la reconnaissance par les autorités françaises du caractère stratégique de la sécurité numérique. L'été 2014 ayant été marqué par la publication de la circulaire signée le 17 juillet par Manuel Valls qui dote l'Etat français d'une Politique globale de sécurité des systèmes d'information (PSSIE). Le public de Guillaume Poupard ? L'ensemble des agents de l'Etat. Son ambition ? "Assurer la continuité des activités régaliennes, prévenir la fuite d'informations sensibles et renforcer la confiance des citoyens et des entreprises dans les téléprocédures". Vaste programme !
Les révélations de Snowden ont changé la donne
Avec les discussions débutées en août 2013 au Sénat, relatives à la Loi de Programmation Militaire pour les années 2014-2019, dont les articles 21 à 25 concernent directement la cyberdéfense et la protection des réseaux télécoms, cela fait donc une bonne année que les sujets mêlant sécurité et informatique occupent l'agenda politique. Sachant que les annonces successives d'Edouard Snowden concernant les modalités de surveillance à grande échelle instaurées par l'Administration états-unienne ont donné au sujet une saveur particulière.
Les internautes commencent à comprendre les mesures de suivi et de profilage dont ils peuvent faire l'objet sur la Toile, notamment de la part des poids lourds du Net comme Amazon, Google, Facebook, Twitter... La collaboration étroite de ces derniers avec les autorités de Washington a été démontrée par Yahoo! qui a révélé officiellement le 11 septembre 2014 que la firme présidée par Marissa Mayer encourait une pénalité quotidienne de 250 000 dollars si elle se refusait de répondre aux requêtes formulées dans le cadre du programme d'interception des télécommunications Prism.
Vers une industrie nationale de la cybersécurité
Cet usage offensif des technologies de l'information rend plus crucial encore l'émergence d'un tissu économique français et européen dans le domaine numérique. "Il faut que l'industrie se consolide autour d'acteurs de confiance", prévient Guillaume Poupard. C'est tout l'enjeu du plan 33 dédié à la cybersécurité dans le cadre des 34 programmes de "reconquête de la Nouvelle France Industrielle" initiés en septembre 2013 par Arnaud Montebourg, alors ministre du Redressement productif, et validés par le gouvernement en juin 2014.
Et le directeur général de l'ANSSI d'annoncer une démarche de qualification des prestataires à partir de référentiels qui seront publiés pour définir ce critère "de confiance". Les fournisseurs de solutions ainsi labellisés seront listés, et cette liste sera publique. Elle sera mise à jour en fonction des évolutions techniques et changements capitalistiques qui pourraient survenir.
Parmi les métiers concernés : l'audit informatique, les tests d'intrusion, les équipes spécialisées dans la restauration de système informatique après une attaque, les services d'informatique en nuage (cloud computing). Pour ces derniers, l'ANSSI a ouvert jusqu'au 3 novembre 2014 un appel public à commentaires sur la première version du référentiel d'exigences qui leur serait applicable.
Le marché français de la sécurité informatique ne pouvant suffire à la prospérité de toute une filière, l'export doit faire partie de la stratégie des entreprises françaises.
Ce qui suppose, contrairement à ce qu'on a pu voir dans certains domaines comme l'énergie, que la démarche soit concertée et que les prestataires tricolores ne fabriquent pas leur propre concurrence face à des acheteurs étrangers.
Cette logique de "meute" est assumée par le collectif Hexatrust, piloté par Jean-Noël de Galzain, le PDG de Wallix, qui rassemble treize PME et ETI du domaine de la sécurité et de la confiance numériques. Leur but ? "Accélérer notre développement international en partageant notre expérience, nos réseaux et nos moyens d'accès aux marchés mondiaux", expliquent ses fondateurs. Outre l'actualité qui met régulièrement sur le devant de la scène des entreprises ou administrations qui ont fait l'objet de piratage de grande envergure (et qui mobilisent donc à la hâte les comités exécutifs en faveur d'investissements en matière de cybersécurité), le cadre normatif en construction devrait contribuer à étoffer le marché.
Un cadre juridique européen en cours de transposition
Le Parlement européen a adopté en mars 2014 la proposition de directive concernant les "mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union". La combinaison de la contrainte juridique et de la menace tangible de cyberattaques pourrait faire croire à un horizon forcément radieux pour les professionnels de la cybersécurité. Pourtant, ceux-ci ne voient pas encore de traduction massive de ce contexte a priori favorable dans leurs carnets de commandes. Le calme avant la tempête ?