IV. UN ENCOURAGEMENT AU DÉVELOPPEMENT D'UN ÉCOSYSTÈME DE LA CYBERSÉCURITÉ
A. UNE FORTE AMBITION PUBLIQUE EN MATIÈRE DE CYBERSÉCURITÉ
1. Un moteur de développement économique
a) Un marché en pleine expansion dans le monde
Le marché mondial de la cybersécurité était, en 2019, d'environ 106 milliards de dollars (dont 47 milliards pour les services de sécurité, comme les services d'intégration et de conseil, la formation à la cyber et l'éducation, 38 milliards pour les dépenses en logiciels, et 21 milliards pour les dépenses en matériel), soit une forte hausse de 10,7 % par rapport à l'année précédente, alors qu'il ne pesait que 75,5 milliards de dollars en 2016.
Il devrait franchir les 116 milliards en 2020 et dépasser les 151 milliards de dollars en 2023. Il augmenterait donc de plus de 420 % en quatre ans !
La cybersécurité est à la fois une menace pour les entreprises et une opportunité de développer un marché porteur de produits et de services de sécurité numérique.
b) Un marché créant une importante valeur ajoutée en France
Selon l'édition 2020 de l'Observatoire de la confiance numérique, la cybersécurité et la sécurité numérique réalisent en France 13 milliards d'euros de chiffre d'affaires 136 ( * ) , avec 8,8 % de croissance entre 2018 et 2019, dégage 6,1 milliards d'euros de valeur ajoutée et employait 67 000 personnes.
Elle est fortement exportatrice , avec 12,4 milliards d'euros réalisés à l'international et 4,4 milliards de chiffre d'affaires à l'exportation. Elle crée 6,1 milliards de valeur ajoutée et emploie 67 000 salariés.
Non seulement l'industrie de sécurité est la filière industrielle qui a la croissance la plus forte 137 ( * ) avec le plus fort taux de valeur ajoutée (près de 43 %), mais la cybersécurité constitue le segment de cette filière qui tire la dynamique du secteur 138 ( * ) .
Les produits électroniques de sécurité correspondent à 44 % du chiffre d'affaires total de la filière de sécurité, soit près de la moitié. Or, alors qu'une grande partie des étapes de production en amont de la chaine de valeur de l'industrie électronique française est réalisée en Asie, ce phénomène ne s'applique que peu au segment de la sécurité qui maintient les étapes de la production en France en raison de sa proximité avec les secteurs régaliens. D'autres filières françaises se concentrent plus fortement sur des activités d'intégration en amont de la chaîne de valeur et sur des activités d'ingénierie pure (design, développement, etc.). Étant donné qu'une grande partie de la chaîne de valeur de l'industrie électronique de sécurité est réalisée depuis la France, le taux de valeur ajoutée augmente.
Enfin, la cybersécurité dans son ensemble correspond à près de 25 % du CA total de la filière de sécurité en 2018. Or, les services de cybersécurité mais également les produits de cybersécurité impliquent une très grande partie de travail humain hautement qualifié (développement de logiciels, etc.), et correspondent donc à un taux de valeur ajoutée très élevé.
L'offre française est fortement exposée à la concurrence mondiale . Le poids des acteurs étrangers est estimé à 30 %à 40 % du marché français si on inclut les services. Les acteurs dominants sont concentrés dans quelques pays (en particulier États-Unis et Israël).
Associée jusqu'ici à l'idée de contraintes et de dépenses, la cybersécurité doit être considérée aujourd'hui comme un atout compétitif et un investissement productif . Un comportement cybersécurisé devient un critère de sélection pour les clients soucieux à l'idée de confier des données personnelles, voire sensibles, à une entreprise.
2. Les atouts de la France dans le marché de la cybersécurité
La France dispose d'atouts en matière de cybersécurité.
La France est en effet aujourd'hui la quatrième nation la mieux armée en matière de cybersécurité derrière les États-Unis, Israël et la Grande-Bretagne.
a) Des atouts technologiques
La France dispose d'atouts de premier plan pour pérenniser son avance technologique et économique , notamment dans trois domaines :
- L'Intelligence Artificielle , l'apprentissage automatique ( machine learning) et l'apprentissage profond ( deep learning) 139 ( * ) . Les GAFAM installent des centres de recherche à Paris et débauchent de nombreux talents français, leur proposant des rémunérations plus attractives. Du côté de la R&D publique, l'INRIA met en place des équipes mixtes composées à la fois d'informaticiens spécialisés dans le deep learning et de mathématiciens fondamentaux. Ces équipes sont dédiées en particulier aux stratégies de défense et d'attaque via le deep learning ;
- La France fait historiquement partie des leaders mondiaux de cryptographie et maintient sa position ;
- Dans la technologie post-quantique 140 ( * ) (dont cryptographie), la France se maintient dans le « top trois » mondial. D'ici une dizaine d'année, les ordinateurs quantiques devraient atteindre des stades opérationnels. La cryptographie post-quantique est donc l'un des sujets de recherche les plus critiques pour la France.
La France est également en bonne position en blockchain et en sécurisation des objets connectés. Si la France dispose notamment de près de 1 000 chercheurs académiques affectés à temps plein à des thématiques de cybersécurité, l'Alliance pour la confiance numérique regrette que « la recherche publique souffre cependant du peu d'effectifs dédiés au Big data ».
b) Des start up dynamiques mais souvent rachetées pendant leur croissance
Selon M. Philippe Vannier, Président de l'Alliance pour la Confiance Numérique (ACN) 141 ( * ) , cette filière 142 ( * ) se caractérise par : « le dynamisme du taux de croissance annuel qui oscille chaque année autour de 10 %, l'apport de ce secteur au reste de l'économie avec un taux de valeur ajoutée supérieur à tous les autres domaines, ainsi que la qualité du tissu économique national composé à la fois de grands groupes leaders mondiaux, de PME-ETI très solides, de nombreuses start-up agiles et innovantes ainsi que d'une recherche académique de pointe » 143 ( * ) .
Selon le « radar 2019 des start-up en cybersécurité en France » publié par Wavestone, le nombre de start-up en cybersécurité a également augmenté de 18 % depuis janvier 2018 et les levées de fonds ont significativement progressé. Choisissant d'innover dans des domaines matures de la cybersécurité telle que la sécurité de la donnée, la gestion des identités et des accès ou encore la gestion des vulnérabilités, les start-up françaises misent de manière croissante sur l'international.
D'après l'Observatoire de la confiance numérique de 2019, la France comptait, en 2018, 2 088 entreprises dans le domaine, dont 65 grandes entreprises, 75 entreprises de taille intermédiaire et 636 PME et 1 355 micro-entreprises. L'offre en matière de cybersécurité est donc très fragmentée (63 % des entreprises de la confiance numérique font moins de 2 millions d'euros de chiffre d'affaires).
La France compte des leaders mondiaux sur les segments de la sécurité numérique (Thales, Airbus D&S, Atos), de la gestion des identités et des accès (Thales, Idemia, IN Groupe), des services de cybersécurité (Thales, Atos, Orange Cyberdefense, Cap Gemini, Sopra Steria), et de la sécurisation des paiements (Atos). Entreprise lilloise, Vade Secure est le leader mondial de la protection des messageries face aux menaces sophistiquées véhiculées par les e-mails, notamment le phishing , et les malwares avec plus de 1 milliard de boîtes aux lettres protégées dans 76 pays.
La France comporte également des start-up dynamiques et innovantes.
Les plus innovantes dans le domaine de la cybersécurité se voient récompensées par des prix décernés dans le cadre du Forum International de la Cybersécurité, organisé conjointement par la Gendarmerie nationale et CEIS, société de conseil en stratégie et en management des risques, avec le soutien de la Région Hauts-de-France. Le prix est parrainé par Atos, avec le soutien du CESIN.
Certaines de ces start-up sont regroupées dans le réseau FIRST (French Industrials for Resilience, Security & Trust).
QUELQUES PÉPITES FRANÇAISES DE LA CYBERSÉCURITÉ CybelAngel, spécialiste de la détection des fuites de données de grands groupes, détecte les menaces en-dehors du périmètre de l'entreprise et les résout avant qu'elles ne causent des dégâts en scannant chaque jour 3 milliards de pages qui échappent à Google. Créée en 2011, elle a fait son entrée dans le Next 40, ayant pour clientes la moitié des entreprises du CAC 40. Citalid : Pionnier de la quantification et du pilotage du risque cyber en Europe, le logiciel Citalid évalue dynamiquement l'exposition financière des entreprises aux menaces informatiques. Capable de simuler l'impact de chaque investissement sur la réduction du risque, il permet aux décideurs de rationaliser leur arsenal cyber et d'assurer leur risque résiduel de façon optimale. Olvid est une messagerie instantanée unique, dont la sécurité ne repose plus sur les serveurs mais uniquement sur la cryptographie. Nous apportons la preuve mathématique de l'inviolabilité des communications. Résultat : une application aussi facile d'usage que WhatsApp, sans fuites de données, qui ne collecte aucune donnée personnelle et dans laquelle l'usurpation d'identité est impossible. Oxibox est une solution de cyber-résilience, garantissant la capacité de retour à la normale des systèmes informatiques après une cyberattaque en quelques minutes. Avec un déploiement simple, rapide et compatible avec tous les environnements, nous rendons les sauvegardes invisibles et incorruptibles par les ransomwares. TheGreenBow. Avec plus d'un million et demi d'utilisateurs à travers le monde, TheGreenBow est le logiciel Client VPN le plus éprouvé. Disponible sur plusieurs plateformes, il permet d'établir des connexions sécurisées aussi bien pour des postes nomades, que pour des accès extranet de type télétravail ou des applications gouvernementales. Vates est l'éditeur français de solutions de virtualisation open source. L'entreprise développe son propre hyperviseur basé sur Xen, XCP-ng, et sa solution d'administration et de backup de machines virtuelles, Xen Orchestra. Vates investit massivement dans le durcissement et la sécurisation de son hyperviseur et exporte massivement son expertise en Europe et dans le monde. Seela est une plateforme de e-learning permettant la réalisation de parcours de formation dans les domaines des réseaux, du SI et de la Cybersécurité notamment au travers son accès à la CyberRange d'Airbus CyberSecurity. RESCO Courtage est un courtier en assurance spécialisé dans les risques Sécurité, Sûreté et Cyber. Expert en protection des entreprises, sa mission est de conseiller les entreprises et de rechercher avec réactivité et discrétion, les meilleures solutions d'assurance face aux actes de malveillance et à la cybercriminalité. Source : FIRST |
Cet écosystème est extrêmement dynamique et évolue rapidement. De nombreuses « pépites » françaises de la French Tech sont rachetées par les géants du numérique, lors des levées de fonds, faute de la disponibilité d'un financement français.
Pour certains experts 144 ( * ) , « avec leurs données et leurs algorithmes, les géants d'Internet peuvent détecter les menaces concurrentielles et racheter les start-ups qui peuvent devenir leurs rivales. Ils peuvent également manipuler les marchés qu'ils hébergent, par exemple en faisant réagir rapidement leurs algorithmes afin que les concurrents n'aient aucune chance de gagner des clients » 145 ( * ) .
* 136 Le chiffre d'affaires est réparti entre « Cybersécurité » (produits / logiciels et services) à hauteur de 57 % et 43 % pour la « Sécurité Numérique » (identité numérique, systèmes et sous-systèmes électroniques de confiance).
* 137 Près de 6 % pour la période 2013-2016.
* 138 En termes de valeur ajoutée, la filière industrielle de sécurité se place à la 11 ème place des industries manufacturières françaises (sur 15), entre la filière bois et la filière électronique. En termes d'emploi, la filière industrielle de sécurité se place à la 10 ème place des industries manufacturières françaises (sur 15), entre l'industrie chimique et l'industrie des équipements électriques. Étant donné la croissance de l'industrie française de sécurité, celle-ci devrait dépasser en valeur ajoutée la filière Bois, papier et imprimerie ainsi que l'industrie pharmaceutique dans un horizon proche.
* 139 Le Machine learning (apprentissage automatique) est la technologie la plus ancienne et la plus simple. Elle s'appuie sur un algorithme qui adapte lui-même le système à partir des retours faits par l'humain. La mise en place de cette technologie implique l'existence de données organisées. Le système est ensuite alimenté par des données structurées et catégorisées lui permettant de comprendre comment classer de nouvelles données similaires. En fonction de ce classement, le système exécute ensuite les actions programmées. Il sait par exemple identifier si une photo montre un chien ou un chat et classer le document dans le dossier correspondant. Après une première phase d'utilisation, l'algorithme est optimisé à partir des feedbacks du développeur, qui informent le système des classifications erronées et lui indiquent les bonnes catégories.
Le Deep learning (apprentissage profond) n'a pas besoin de données structurées. Le système fonctionne à partir de plusieurs couches de '' réseaux neuronaux , qui combinent différents algorithmes en s'inspirant du cerveau humain, permettant au système de travailler à partir de données non structurées. Cette approche est particulièrement adaptée pour les tâches complexes, lorsque tous les aspects des objets à traiter ne peuvent pas être catégorisés en amont. Le système identifie lui-même les caractéristiques discriminantes des données, sans avoir besoin d'une catégorisation préalable. Il n'a pas besoin d'être entraîné par un développeur. Il évalue lui-même le besoin de modifier le classement ou de créer des catégories inédites en fonction des nouvelles données. Tandis que le Machine learning fonctionne à partir d'une base de données contrôlable, le Deep learning a besoin d'un volume de données bien plus considérable et disposer de plus de 100 millions d'entrées pour donner des résultats fiables. Par ailleurs, la technologie nécessaire pour le Deep learning est plus sophistiquée. Elle exige plus de ressources et s'avère nettement plus coûteuse : elle n'est donc pas intéressante, du moins à l'heure actuelle, pour une utilisation de masse par les entreprises.
* 140 Voir à ce sujet la note n°18 de l'Office parlementaire d'évaluation des choix scientifiques et technologiques de juillet 2019 :
* 141 Elle fédère les principaux acteurs français et européens de la confiance numérique, représente la filière auprès des pouvoirs publics. À ce titre, elle est membre de la FIEEC et participe aux travaux du Comité Stratégique de Filière des industries de sécurité.
* 142 Elle comporte, selon l'ACN, la « Cybersécurité proprement dite », qui correspond à la sécurisation interne des systèmes numériques et associe les services (conseil, conception, mise en place, exploitation, formation), et les logiciels et solutions, destinés aux marchés professionnels (État et secteur public, installations critiques, entreprises, PME) et grand public (ordinateurs, smartphones, maison, véhicules et objets connectés, etc.) et la « Sécurité Numérique », c'est-à-dire les produits et solutions électroniques de mise en oeuvre de systèmes numériques pour instaurer la confiance dans le monde extérieur : gestion des identités, gestion des accès, biométrie, transactions, communications numériques, objets et véhicules connectés, processus industriels et logistique, transports, réseaux, villes intelligentes, etc. Les produits de sécurité numérique sont des produits matériels (cartes à puce, documents, lecteurs, etc.) ou des équipements (gestion des accès, biométrie, détection, localisation, communication, etc.).
* 143 Introduction au rapport annuel de l'Observatoire de la filière de la Confiance Numérique, édition 2020.
* 144 « Virtual Competition. The Promise and Perils of the Algorithm-Driven Economy » Ariel Ezrachi de l'Université d'Oxford, et Maurice Stucke de l'Université du Tennessee, 2016.
* 145 Rapport de la Plateforme RSE sur la responsabilité numérique des entreprises, 2020.