LA TRIBUNE- Comment se présente l'édition 2023 du FIC ?

GUILLAUME TISSIER- L'édition 2023 s'annonce très bien. Nous attendons plus de 15.000 personnes pendant les trois jours du Forum autour de 650 partenaires publics et privés. C'est une mobilisation record. Nous avons également un programme de tables rondes, conférences et démonstrations très chargé avec près de 450 intervenants. Nous allons avoir pendant trois jours à Lille tous les représentants de l'écosystème international de la cybersécurité : les entreprises, la sphère académique et de recherche et bien sûr le monde institutionnel. C'est l'une des caractéristiques du FIC, qui fait le succès de cet événement créé par la gendarmerie en 2007. Cet événement est à l'image de la cybersécurité : il repose sur une dynamique publique et privée et une approche collaborative. Il illustre également très bien le besoin du continuum entre sécurité et défense dans l'espace numérique.

Mais comment expliquez-vous cette année la méfiance des ministères des Armées et de l'Intérieur vis-à-vis du FIC, qui n'ont pas souhaité prendre de stands ?

Il y a au départ, une polémique, déjà ancienne, orchestrée par des médias militants jetant le doute sur certaines activités de communication d'Avisa Partners, actionnaire de CEIS, organisateur du Forum. Malgré l'absence totale de fondement de ces attaques, elles ont fait peur à certains. Tout cela alimenté par l'incompréhension de quelques acteurs face au dynamisme d'Avisa et à son modèle associant dans un même groupe intelligence économique, cybersécurité opérationnelle et relations publiques avec la volonté de construire une licorne de la securetech pour disposer d'un champion tricolore de la gestion des risques. Incompréhension qui s'est développée après le choix des managements de Lexfo, pépite française de la cybersécurité, et de CEIS, acteur reconnu de l'intelligence économique, de rejoindre Avisa. Je précise d'ailleurs que les managements de ces entreprises sont toujours là.

Comment allez-vous lever cette incompréhension ?

Nous n'avons pas assez expliqué notre modèle. Mais au-delà des rumeurs, je rappelle qu'Avisa Partners ne fait l'objet d'aucune poursuite pénale et dispose de tous les agréments français et européens. Avisa est le partenaire privilégié de plusieurs grandes institutions à commencer par l'Agence européenne pour la cybersécurité (ENISA). Surtout le FIC, c'est le Bourget de la cybersécurité en France et en Europe. C'est donc l'événement phare de l'ensemble de la filière. Son objectif est de mettre en avant les débats sur le fond et de valoriser ses partenaires. Si certaines administrations n'auront pas de stand, leurs représentants seront donc bien là pour accueillir la cinquantaine de délégations étrangères qui sont annoncées. Ensuite, nous ferons œuvre de pédagogie pour montrer combien il est important sur un sujet aussi stratégique de disposer d'un événement fort pour développer l'empreinte française de cybersécurité au plan « business », technologique, industriel, juridique, diplomatique etc. Face à la menace, il faut jouer collectif si la France veut garder sa souveraineté numérique. C'est bien là l'ambition du FIC.

Mais une plainte de Reporter sans Frontière a été déposée contre vous pour une affaire en Bulgarie où vous auriez mis en danger la vie d'un journaliste...

... C'est un bon exemple de l'emballement médiatique dont Avisa Partners a été victime. Une plainte contre nous a été annoncée à grand renfort de publicité. Or il s'agissait tout simplement d'une note faite uniquement à partir de sources internet pour crédibiliser les informations que nous avions collectées, toujours en sources ouvertes, sur une entreprise dans le cadre d'une évaluation de conformité de type Sapin 2 pour un groupe français. Nous avons rencontré RSF pour leur expliquer le décalage entre la réalité et la situation décrite par des médias. Au vu des faits, ils ont donc renoncé à se porter partie civile. La plainte de RSF a donc été classée sans suite. Mais bien sûr, ce type d'information est beaucoup moins repris...

Quels seront les temps forts du FIC ?

Le thème de l'année sera le cloud computing et la confiance numérique. Ce sujet, qui serait traité lors du FIC, soulève deux questions : l'une sur la sécurité et l'autre sur la souveraineté. On voit le cloud comme une solution miracle en termes de sécurité. Ce qu'il n'est pas forcément. La concentration de données que génère le cloud fait exploser les effets de bord lorsqu'un risque se matérialise. En fait, cela ne fait que déplacer le problème. Puis, il y a un sujet de droit extraterritorial qui soulève de vrais enjeux de souveraineté, tant au niveau des entreprises qui externalisent ainsi leurs données et leurs processus métier et deviennent dépendantes d'un acteur tiers, qu'au sens étatique du terme, en raison de l'application possibles de législations extraterritoriales, même sur des données stockées et traitées en France. En Europe, il y a un fort lobbying aujourd'hui conduit par certains États contre la position française qui vise à imposer un premier niveau de sécurité élevé, à l'image de la certification SecNumCloud. Ce premier niveau devrait imposer que les offres soient totalement immunes à toute influence et application extraterritoriale. Aujourd'hui, le débat n'est pas tranché. La balle est dans le camp de la Commission européenne.

Le FIC élargit son domaine...

... Le FIC est en train d'évoluer vers tous les sujets de confiance numérique. Nous étions au départ sur la cybersécurité. Nous gardons ce cœur mais nous nous diversifions sur les sujets liés au numérique de confiance (cloud, offre logicielle, identité numérique, systèmes embarqués, etc...). De plus en plus d'entreprises, qui ne sont pas des « pure players » de la cybersécurité mais qui ont des offres intégrant du numérique, viennent participer au FIC. Nous travaillons également de plus en plus sur les enjeux liés aux contenus en ligne. On a ainsi lancé un programme FIC Impact destiné à aider les associations travaillant sur la lutte contre le harcèlement en ligne, la lutte contre les contenus violents, la pédopornographie... Et nous avons créé l'année dernière dans le cadre du FIC un événement, qui s'appelle Trust & Safety Forum dédié à la modération des contenus.

Les Américains seront-ils présents au FIC ?

Bien sûr ! Le FIC est un événement engagé en matière de souveraineté numérique mais très ouvert. Un certain nombre d'offreurs américains seront donc présents. Tout comme des utilisateurs finaux venus d'Amérique du Nord, comme les entreprises américaines et canadiennes. Dans le cadre de notre internationalisation, nous développons aujourd'hui le Forum en Amérique du Nord. Nous organisons en octobre la deuxième édition du FIC Canada et nous allons lancer deux FIC aux États-Unis, l'un à New York et l'autre au Texas sur des formats et des sujets plus ciblés. L'objectif est de mieux faire connaître l'excellence française à l'extérieur, en complément du FIC Europe de Lille qui est déjà une exposition internationale du savoir-faire français.

Y a-t-il vraiment une excellence française en matière de cybersécurité ?

Cette excellence s'appuie notamment sur des capacités de recherche et développement (R&D) très innovantes, par exemple dans le domaine du chiffrement. Elle a également des pépites comme HarfangLab ou Tehtris, spécialisées dans la détection des menaces. Ce sont des solutions qui agissent comme des antivirus beaucoup plus perfectionnés qui captent la menace dès qu'elles arrivent et appliquent des premiers correctifs. L'une des missions du FIC est justement de promouvoir ces innovations et ces startup.

Comment protéger ces entreprises contre les prédations étrangères à l'image d'Alsid ?

Je ne parlerai pas de prédation étrangère sur ce cas... Il est en effet positif que les entreprises françaises soient attractives et convoitées. Bien sûr, il est dommage que certaines se vendent à des concurrents ou des grands groupes étrangers. Mais c'est d'abord à nous, en France ou en Europe, de les retenir avec les capitaux nécessaires à leur développement ou des grands groupes qui puissent les accueillir. Cette année, dans le cadre du prix de la startup FIC, nous avons récompensé une société comme Astran, une startup qui sécurise les données en les dispersant dans les cloud grâce à une méthode innovante et dont le principe est validé par la CNIL. Ce sont des entreprises qui vont exploser sur des créneaux nouveaux. Comment accélérer leur croissance ? Au-delà de la commande privée, essentielle, des subventions et du plan cybersécurité du président de la République (1 milliard d'euros), elles ont aussi besoin de la commande publique. Et c'est là où le bât blesse comme on l'a vu récemment avec le marché qui a été récemment passé à SFR Business par l'UGAP, qui représente 22.000 collectivités et établissements publics. SFR n'a référencé quasiment que des solutions étrangères. L'argent public va permettre à des solutions étrangères d'arriver et de se développer sur le marché français. Ce n'est pas normal. A fonctionnalité et performances identiques, les solutions nationales, ou à défaut européennes, doivent être privilégiées.

Le marché français est-il suffisant pour ces startup ambitieuses, qui veulent se développer ?

Non. Assurément. Le marché de la cybersécurité est évalué à environ 3 milliards d'euros pour la France, 34 milliards pour l'Europe et 250 milliards au niveau mondial. Il est donc essentiel que ces startup et entreprises partent rapidement à la conquête de l'international. L'Europe est bien sûr la cible la plus logique, mais le marché européen reste très fragmenté, ce qui est un véritable obstacle au développement des entreprises françaises. C'est aussi pour cela que nous voulons internationaliser le FIC. Nous voulons leur permettre d'exporter en Europe et au-delà.

Y aura-t-il des fonds d'investissements au FIC ?

Oui, le FIC est également un rendez-vous important pour les investisseurs. Nous avons beaucoup de fonds et des banques d'affaires qui viennent année après année. En 2023, nous aurons ainsi une bonne trentaine de fonds. Cela montre que les entreprises françaises sont attractives. Une entreprise qui lève des fonds ou qui se vend, cela permet aussi à ces entrepreneurs de recréer ensuite des entreprises et d'investir. Il y a une dynamique vertueuse.

Les entreprises françaises sont-elles « bankable » ?

En France en 2022, d'après le baromètre que produit le FIC avec le fonds Tikehau Capital, il y a eu 39 levées de fonds avec de très belles opérations comme Tehtris (44 millions d'euros) ou Mailinblack (50 millions). Et si le nombre de levées de fonds a baissé légèrement en 2022 en raison d'une année exceptionnelle en 2021, ce n'est pas très significatif. En revanche, le montant moyen des levées a progressé en Europe et atteint 13 millions d'euros. Bien sûr très loin de ce qui se fait en Israël (22 millions d'euros) ou aux États-Unis. Cette hausse des montants montre une maturité des entreprises qui sont en croissance et dont les besoins en capitaux sont plus importants. Dans le cadre de la consolidation du marché, elles ont besoin de levées plus importantes pour se développer. Tout l'enjeu est de savoir si les fonds seront capables demain de suivre les besoins du marché sur des levées de fonds de l'ordre de 30 à 50 millions d'euros.

Estimez-vous que le secteur va vers une consolidation ?

Oui, je pense que c'est inéluctable car le secteur est encore très éclaté. Il existe ainsi une multitude de solutions au périmètre fonctionnel souvent assez limité. Les responsables de la sécurité des systèmes d'information (ou RSSI) nous expliquent souvent qu'ils ont une quarantaine de solutions en moyenne dans le domaine de la cybersécurité. Cela crée de la complexité, et donc de l'insécurité quand il y a trop de solutions qui sont chacune sur une niche et qui ne se parlent pas. C'est toute la problématique de la sécurité dans le cloud computing avec des fonctionnalités et des solutions de sécurité multiples et difficiles à paramétrer, tout cela dans des architectures multicloud ou hybrides particulièrement complexes. Le résultat, ce sont des failles de configuration et des fuites accidentelles ou malveillantes... Cette situation devrait pousser le secteur à se consolider et à se structurer davantage. Avec le cloud, il y a une barrière à l'entrée plus importante qu'aujourd'hui. Les gros utilisateurs comme les banques choisissent d'abord des solutions "cloudisées" dans les magasins de leurs prestataires cloud. Cela va donc exclure de facto un certain nombre de petites entreprises.

L'écosystème français est également dépendant des normes internationales. Comment lutter pour que les normes américaines ne s'imposent pas de facto dans le domaine de la cybersécurité ?

Il y a également une sorte de norme de marché, une norme de fait : un responsable informatique ou cybersécurité ne s'est sans doute jamais fait « engueuler » pour avoir choisi une solution chez un grand éditeur américain. Un grand nom rassure tout le monde. En revanche, choisir la solution d'une PME française peut potentiellement représenter un risque pour lui vis-à-vis de son management si un problème arrive. Il faut trouver les moyens de le conforter. Notre problème n'est donc pas l'innovation ou l'existence de solutions. Nous avons une offre logicielle très développée mais très éclatée et sans réelle plateforme susceptible de les agréger. La filière française souffre en réalité de l'absence de grandes plateformes et de grands éditeurs généralistes européens. C'est cela la faiblesse de la France et de l'Europe. En revanche, nous avons de très belles entreprises de services numériques.

La bataille est-elle déjà perdue ?

Non. Et nous avons des cartes à jouer. Si l'Europe a pris le train du cloud public assez tard, il existe en France et en Europe une industrie traditionnelle assez puissante qui se transforme numériquement très rapidement et travaille sur des cloud plus verticaux comme la santé, l'automobile etc... Cela fait partie des projets que lance le commissaire européen, Thierry Breton. Nous avons, nous Européens, une vraie carte à jouer à cet égard par rapport aux grandes plateformes non-européennes. Mais c'est lourd, cela va être long et cela va prendre du temps. Il ne faut pas oublier non plus que nous avons quelques champions français comme OVHCloud, qui est entré dans le top dix mondial en 2019

Les menaces pèsent de plus en plus sur les TPE, les PME et les collectivités, qui sont plus vulnérables. Quelle est votre analyse ?

Il y a effectivement un angle mort de la cybersécurité constitué des TPE, PME, collectivités et hôpitaux, qui sont davantage attaquées aujourd'hui. Le rapport de l'ANSSI le montre bien : les trois quarts des déclarations d'incidents faites à l'ANSSI proviennent de ces acteurs. Deuxième effet, si les attaques sont un peu moins nombreuses, elles sont plus féroces, plus ciblées et donc avec des impacts plus lourds notamment en matière de fuites de données. Les chiffres de la CNIL sont intéressants :  il y a 4.700 fuites de données notifiées à la CNIL en 2022. Soit treize fuites de données par jour, dont une majorité sont d'origine malveillante. Les fuites de données occasionnent une perte d'image considérable...

Dernier point, l'Ukraine où finalement il n'y a pas eu de Pearl Harbor. Mais avez-vous constaté un bouleversement ?

Il n'y a pas eu le niveau d'attaque que certains attendaient même s'il y a eu de nombreuses perturbations. La situation en Ukraine illustre bien le continuum entre sécurité et défense avec des cyberattaques contre les infrastructures privées, comme celles des transports et de l'énergie. La question est de savoir si c'est un échec russe ou si c'est un succès ukrainien. Sans doute un peu des deux.

C'est certainement un succès des Américains qui ont beaucoup aidé les Ukrainiens...

...Exactement, je crois beaucoup à ce constat. Nous avons la chance d'accueillir le patron de l'armée cyber ukrainienne au FIC. On peut noter qu'il n'est pas général mais CEO. Les capacités cyber militaires ukrainiennes étant limitées, ils ont aggloméré toutes leurs compétences civiles pour monter une IT Army. Les Ukrainiens sont réputés être très bons et créatifs en cyber. Cela montre bien que la mobilisation nationale est la condition de l'efficacité.