S. Garnault : « La filière cybersécurité francilienne représente 70% de l’activité nationale »

L’Île-de-France est la région leader dans le domaine de la cybersécurité. Elle représente 70 % de la filière française. L’ensembles des grands acteurs institutionnels, économiques et académiques sont présents sur ce territoire. Des projets sont en cours de développement comme le Cyber Campus, qui ouvrira en septembre 2021 à La Défense. Les différents enjeux autour de ce secteur d’activité sont primordiaux pour plusieurs raisons. Sébastien Garnault, président de la société Garnault et Associés, agence de communication et événementielle spécialisée dans le domaine de la transformation numérique sécurisée, détaille pour Actu-Juridique les caractéristiques de la filière cybersécurité dans la région parisienne.   

Actu-Juridique : Quels sont les différents acteurs de la cybersécurité présents en Île-de-France ?

Sébastien Garnault : L’écosystème francilien de la cybersécurité est le premier en France dans lequel on retrouve tous les états-majors des acteurs clés. Il y a l’Agence nationale de la sécurité des systèmes d’information (Anssi). On retrouve aussi l’Alliance pour la confiance numérique (ACN), qui rassemble l’ensemble des entreprises de l’écosystème cyber, en France ou encore Hexatrust, composé de PME expertes, unifiées avec l’objectif d’être visible sur le marché. Il y a aussi des collectivités territoriales, comme Saint-Quentin-en-Yvelines, un territoire identifié comme étant moteur de la filière cybersécurité dans la région. On a aussi la gendarmerie nationale, qui a son centre de lutte contre les criminalités numériques (C3N) à Cergy-Pontoise. Globalement, vous avez trois typologies d’acteurs : les autorités publiques, les écosystèmes économiques et l’innovation/recherche. En Île-de-France, on retrouve ces trois types d’acteurs. Sur le plateau de Saclay et à Paris, on va avoir le secteur de l’éducation et formation. Sur l’axe La Défense Saint-Quentin-en-Yvelines, on va avoir énormément d’acteurs économiques de la start-up au grand groupe. Puis à Paris intramuros, on va avoir les institutions publiques.

AJ : Qu’est-ce que représente l’Île-de-France dans la filière cybersécurité au niveau national ?  

S.G. : Le marché français de la cybersécurité c’est 11,4 Md€, avec une croissance en 2019 de 10 %. Le secteur emploie 65 000 personnes. Globalement, l’Île-de-France représente 70 % de ces chiffres.

« En matière de cybersécurité, avoir une vision de l’implantation en Île-de-France serait utile et souhaitable »

Deux régions sont leader dans ce secteur d’activité : Paris et la Bretagne. Derrière, on retrouve Lyon, Bordeaux et Lille. Mais, l’Île-de-France est la locomotive. On estime qu’il y a 6 000 postes à pourvoir en cybersécurité, dont 4 500 dans la région francilienne. Il n’y a pas d’études spécifiques au niveau régional, donc il n’y a pas de données précises. Ce qui est dommage car l’important en cyber c’est de connaître ses forces. Avoir une vision de l’implantation en Île-de-France serait utile et souhaitable.

AJ : Globalement quels sont les différents projets en cours de développement dans la région Île-de-France autour de la cybersécurité ?  

S.G. : Le principal projet c’est le Cyber Campus. Une volonté du président de la République de rassembler en un même lieu le monde économique, le monde institutionnel et le monde académique. Ce site sera à La Défense avec un centre à Satory. Le Cyber Campus doit être un lieu totem et ouvrira en septembre 2021. C’est une manière pour la France de rendre son écosystème « cyber » visible depuis l’étranger et de construire sa souveraineté numérique. Ce lieu va aussi contribuer à créer des vocations.

« Un Cyber Campus en septembre 2021 »

Nous avons par ailleurs un deuxième hub sur le plateau de Saclay, avec Saint-Quentin-en-Yvelines, qui est en train de faire émerger une initiative sur les CERT (Computier emergency response team) dédiés aux collectivités. Puis, vous avez d’autres initiatives plus modestes sur le terrain avec des villes qui proposent des formations et des sensibilisations à la cybersécurité.

AJ : Comment a évolué le secteur de la cybersécurité ?

S.G. : Le domaine de la cybersécurité évolue de manière exponentielle depuis environ 15 ans. La France prend en compte et entre dans le cyberespace, à partir de 2007 avec la publication d’un Livre blanc et en 2009 avec la création de l’Anssi. Depuis, beaucoup de choses ont été faites sur les volets protection et attaque. Les attaquants ont toujours un temps d’avance et vont très vite, en toute agilité. Ils relèvent de deux catégories : les criminels et les actions de déstabilisation étatique. Face à cela, la société civile et l’État se sont structurés avec la mise en place du commandement de la cyberdéfense et l’Anssi. L’initiative « cybermalveillance.gouv.fr » est là aussi pour accompagner et aider les petites organisations à se retrouver dans la cartographie des acteurs de la cybersécurité. Le marché augmente. Les menaces explosent. Le confinement a créé une grosse faille de sécurité : en basculant tous dans le télétravail, sans sécuriser ses accès. On a tout ouvert en s’exposant à des risques et du coup les attaques ont fortement augmenté cet été. 

AJ : Quels sont les principaux enjeux autour de la cybersécurité ?

S.G. : L’enjeu pour la France c’est de garder son indépendance dans le XXIe siècle. Le mot « cyber » vient du grec et signifie gouvernement. Quand on parle de la cybersécurité des systèmes d’informations, on parle du gouvernement des systèmes d’informations. On comprend tout de suite le caractère stratégique du secteur et de l’industrie. Sans outil industriel, on n’a pas d’indépendance. Cela signifie que l’État doit maîtriser les choses. Puis, il y a aussi un enjeu de formation.

« Demain, si on a une pandémie numérique, on n’a pas de soignants » 

On fait face à une pénurie de compétences en cybersécurité. Demain, si on a une pandémie numérique, on n’a pas de soignants. Il y a deux grandes catégories de personnes à former : les professionnels de la cybersécurité et l’ensemble des salariés qui ont un rôle à jouer dans la chaîne de sécurité. Nous avons donc un axe formation continue et  professionnelle, auprès des salariés et un axe éducation et formation initiale pour les ressources humaines dédiées aux entreprises de la cybersécurité.

AJ : En quoi la cybersécurité est aussi un enjeu majeur pour les TPE/PME et start-up ?

S.G. : On est face à la catastrophe annoncée. Selon moi, les PME/TPE, start-up et petites collectivités territoriales font face aux mêmes problématiques. C’est d’abord un problème de connaissance du sujet, elles ne sont pas sensibilisées. C’est aussi un problème de compétences car elles n’ont pas en interne les compétences pour manager leur sécurité numérique. Puis, un problème de budget. Quand je croise une petite organisation, on me répond : « Je n’intéresse personne ». C’est le contraire. Un braqueur n’attaque pas la Banque de France. Il attaque cinquante petites caisses. C’est cela qui va être intéressant. L’enjeu est vital. Lorsque vous êtes attaqué, c’est votre activité qui s’arrête. Si votre ligne de production s’arrête cinq jours, c’est la clé sous la porte. Une PME ou une TPE doit absolument se sécuriser.

« Pour sécuriser les TPE et PME, le marché doit se rassembler »

Le problème c’est que les acteurs de la cybersécurité n’arrivent pas à produire des offres adaptées aux problématiques des TPE/PME et collectivités. C’est la raison pour laquelle souvent elles se tournent vers des GAFA, où les choses sont intégrées et simples. Le dirigeant de PME ou TPE doit avoir une administration simple, qui génère plusieurs services. C’est notamment ce que vous retrouvez chez Google sur Gmail avec le Drive et plusieurs services simples. L’initiative baptisée FIRST est une réponse à cette problématique. Plusieurs PME françaises veulent créer une plate-forme avec une interopérabilité entre elles pour offrir des services packagés. Pour sécuriser les TPE et PME, le marché doit se rassembler et arrive avec un seul interlocuteur comme dans le cas de l’association FIRST.