Cet article fait suite à La cyberdéfense européenne, enjeux de souveraineté (partie 2)
QUE FAIRE AU NIVEAU EUROPEEN ?
⁂ En termes de souveraineté.
Le Commissaire européen Thierry Breton a parlé de la prochaine décennie comme d’une décennie numérique ou cyber. On rentre dans le domaine de la souveraineté, qui est concrètement un objet encore mal identifié de façon précise.
Quels pourraient être les grands constituants de la souveraineté :
- L’autonomie d’appréciation et d’action dans le cyberespace,
- Le respect des valeurs libérales européennes et la protection de nos biens immatériels (protection des données dans l’UE par exemple),
- Les infrastructures que nous jugeons critiques, comme la 5G ou le cloud par exemple.
On peut identifier quatre ou cinq gros enjeux autour de cette souveraineté:
- Arbitrer entre sécurité et souveraineté, au niveau européen, le plus sécurisé n’étant pas obligatoirement le plus souverain,
- Disposer d’un tissu technologique très dynamique par exemple via le projet de Campus Cyber à la Défense prêt à l’automne 2021, un hub national capable d’attirer des européens, •protéger en propre nos infrastructures (réseaux, câbles téléphoniques, satellites, équipements 5G)
- Définir une posture vis-à-vis des GAFAM.
Au plan industriel, EDF, par exemple, a une approche pragmatique de la souveraineté. Certains processus, informations et données ne doivent pas être accessibles à des étrangers, même au travers de lois extraterritoriales.
⁂ En termes de Stratégie autour du Cloud Public et de la 5G
Avec l’arrivée du cloud public et des outils de mobilité, depuis maintenant 10 ans, on peut de moins en moins travailler dans un environnement périmétrique contrôlé. Sauf à tout enfermer dans des réseaux industriels fermés et étanches, les échanges devront se faire dans la défiance généralisée, surtout avec l’arrivée prochaine de la 5G, dont l’objectif est de tout connecter. Avec la 5G, on a une virtualisation complète, quasiment que du logiciel. On aurait pu développer, au-dessus des couches de la 5G, une surcouche de confiance de cryptologie au niveau européen. Il n’est pas possible de tout contrôler mais il faut le faire sur quelques éléments. On aurait pu faire un appel d’offre européen car on a la compétence. Il y a eu trois initiatives sur le cloud en France : une lancée par le CFS, comité de filière stratégique, une à partir des travaux du CIGREF, sur les fameux cercles de confiance, le deuxième proche du ministère des armées, enfin celle de GAIA-X franco-allemand, auquel participe EDF.
A propos du cloud, l’UE a un bon niveau de certification et de qualification. Deux systèmes sont matures : un en France et un en Allemagne. Il faut une qualification dynamique. Le système logiciel n’est jamais figé et la qualification ne doit pas se faire sur une « photographie » à un instant donné. Il faut faire face à la problématique de fournisseurs qui n’existent plus en Europe ou sont rachetés par les US. Nous avons besoin d’un contrôle sur les équipements au niveau européen.
⁂ En termes de priorités pour l’UE,
La directive européenne NIS sur les activités d’importance essentielle est bien mais la question est de savoir si les réponses sont à la hauteur de l’enjeu. Il faut une politique industrielle pour créer des champions. On progresse, grâce hélas au COVID, mais il reste un long chemin à faire. L’investissement sur GAIA-X c’est 600 millions d’euros, l’Europe prévoit aussi 1,7 milliards d’euros sur la cyber entre 2021 et 2026. De leur côté, les USA consacrent 20 milliards de dollars par an sur le cloud public, alors que nous consacrons nos ressources ailleurs, par exemple cette année 10 milliards sur l’automobile qui n’est pas une technologie souveraine. Nous ne ferons pas un cloud européen de même niveau que les USA ou la Chine ; donc le défi est de faire différemment, d’utiliser autrement ces clouds existants, en les détournant à notre avantage.
L’Europe est une chance car c’est le plus grand marché.
Il faut :
- une réglementation et une reconnaissance de la sécurité des produits, pour créer le marché,
- des startups sur ces marchés, pour qu’elles puissent grandir une volonté des politiques et des industriels.
Pourquoi y-a-t-il tant d’acteurs extérieurs sur le cloud européen : Alibaba, Google, IBM ?
La diversité des 27 États ne facilite effectivement pas la tâche, il faut une coopération entre quelques États (France, Allemagne, Pays Bas, Suède), en faisant des compromis, et former un noyau dur européen. En France cela dépend des secteurs, nous sommes bons en technique et en compétence mais pas en organisation ni en commercialisation. Il y une forte complémentarité avec les Allemands.
Pourquoi pas ne pas créer une cyberforce franco-allemande, en fusionnant BSI et ANSSI ?
Il convient d’évoquer la Joint European Disruptive Initiative (JEDI), sorte de DARPA, organisation privée, sous forme d’association, autour d’une quarantaine de personnes bénévoles, avec seulement deux salariés. C’est une agence de programmes sur des thèmes identifiés, avec des ressources propres faibles. Il y a 50 projets cyber innovants en France, qu’il faudrait fusionner dans une masse critique, avec une organisation souple et réactive comme JEDI. Il faut créer un seul guichet de financement au lieu de 10. Un bon modèle a été EUREKA piloté par industriels, très mal vu par Bercy et la Commission européenne, qui n’étaient pas décisionnaires.
Nous serions capables de reproduire TEAM 8 israélien, qui a levé 800 millions de dollars. Sur un projet, ses dirigeants font venir une cinquantaine d’experts pour une durée limitée. Le gouvernement israélien finance 50% des projets dans une approche top down. Il faut une synergie entre universitaires et experts opérationnels. TEAM 8 dispose de beaucoup de fonds et vient de réaliser 3 belles réussites.
Il y a aussi un exemple californien qui fédère chercheurs, fonds et experts : le « Y Combinator ». Il faut inciter les experts étatiques à lancer des startups en payant pendant 3 ans leurs salaires. Il faut des idées et des avantages financiers, fiscaux et autres. Les hommes ont les a.
Terminal européen souverain
C’est une utopie. L’Open source n’est pas plus sécurisée. OPEN SSL a eu une faille pendant 10 ans. Sécuriser un logiciel est d’une extrême complexité. Il faudrait 7000 ingénieurs sur un Operating System. Idem pour les composants.
A propos des Startups
Quel est leur intérêt si elles sont rachetées par les Américains dès qu’elles démarrent ? La difficulté est la deuxième levée de fonds à 100 millions qui est encore très difficile en Europe. Il faut une politique européenne d’achats. Il devrait exister une forme de lien entre acheteurs et producteurs. C’est contraire à la libre concurrence mais ce serait bien si on pouvait disposer d’une facilité à acheter ce dans quoi on a investi, mais pas au coup par coup.
En conclusion, la prise de conscience de la menace au niveau stratégique est encore lente, parfois trop tardive. Les réponses au niveau européen sont pertinentes. Elles doivent être basées sur l’innovation, sur la création d’écosystèmes réunissant toutes les parties prenantes, autour de campus cyber et de forces cyber, comme le font Américains et Britanniques. Cela ne peut pas se faire à 27 mais autour de quelques pays, en particulier la France et l’Allemagne
Article tiré de la visioconférence EuroDéfense-France / Association Minerve
Avec la participation de :
- Oliver Ligneul, Directeur cybersécurité du Groupe EDF
- Bernard Barbier, CEO de BBcyber
- Marc-Antoine Brillant, Sous-directeur adjoint Stratégie de l’ANSSI
- Thierry Leblond, IGA (2s), Président de Scille, Membre du conseil d’EuroDéfense-France
