Christophe Corne, le PDG de Systancia, l’éditeur d’une plateforme d’accès aux applications d’entreprises, de gestion des identités et des accès (IAM), etc., évoque le rôle de l’Etat pour optimiser la cybersécurité des entreprises privées et publiques.
1 – Que pensez-vous de la volonté de l’Etat de faire émerger des acteurs français du cyber ?
Il s’agit de l’élément clé de la stratégie pour une souveraineté dans le domaine de la cybersécurité. Les facteurs essentiels de réussite sont en premier lieu la commande publique et non les aides d’Etat. Les acteurs américains se musclent sur leur territoire grâce à la commande de l’administration qui en profite pour se moderniser et une fois la taille critique atteinte, ils deviennent des géants à l’international.
Nous ne sommes pas dans cette culture. A la question légitime des obligations du code des marchés publics, il peut être cohérent que l’Etat demande dans ses consultations que des produits reconnus par l’ANSSI soient privilégiés.
Un second facteur est la création de fonds d’investissement souverain piloté à parité par des spécialistes de la cybersécurité et des financiers pour investir dans nos pépites avec des obligations qui pourraient être présentes dans les pactes d’actionnaires de non cession hors territoire français ou européen.
Un troisième facteur est la reconnaissance de la filière par les pouvoirs publics et le développement de l’écosystème cyber de manière ouverte et inclusive, tout en préservant les intérêts nationaux et européens. L’état peut s’appuyer davantage sur des acteurs comme l’ACN qui représente la profession au niveau de la France.
2 – Quel doit être l’effort de formation de l’Etat dans le domaine Cyber ?
Aujourd’hui, nous manquons de spécialistes. Chaque PME, centre hospitalier, collectivité, au-delà de 100 personnes devrait avoir un responsable sécurité informatique.
A ce stade, c’est tout simplement impossible. L’effort doit être porté de toute urgence sur la formation. Une piste intéressante serait de doter l’Etat d’écoles sur le modèle de Saint Cyr, du domaine militaire donc, visant à former des officiers et sous-officiers spécialisés en cyber, aux côtés des écoles prestigieuses et d’excellence du domaine. Elles compléteraient les manques au sein des administrations, collectivités puis permettraient par capillarité d’apporter ces compétences au monde privé.
Il est également essentiel que ces initiatives de formations et de sensibilisation, et ces initiatives d’écosystème ne soient pas uniquement centrées sur la région parisienne. Un campus cyber à la Défense, c’est bien, mais ne faut-il pas un campus cyber par Région ? Il est étonnant que des régions comme la Bretagne ou le Grand Est n’en aient pas. Ces campus Cyber pourraient être le lieu d’émergence de start-up, de formations, etc.
3 – A quoi devrait ressembler un plan d’urgence pour le secteur hospitalier ?
Si nous analysons les dernières attaques, il s’agit souvent de systèmes non mis à jour. La réalité cruelle des hôpitaux aujourd’hui est le manque de moyens humains. Renforcer très significativement les équipes IT et sécurité informatique devrait être le premier objectif. Sans la dimension humaine, tous les plans seront vains.
Ensuite, attention à l’effet d’aubaine qui pourrait en découler pour les leaders mondiaux qui disposent de moyens marketing et commerciaux qu’aucune entreprise française de la cyber n’a. Soyons attentif à faire grandir en parallèle notre défense cyber et nos entreprises de la cyber, autrement nous produirons de la dépendance et un gâchis industriel. On voit ainsi que tout est lié : la commande publique envers des acteurs de proximité évoquée ci-dessus doit aussi faire partie de ce plan.