Le temps est venu de reprendre le contrôle de notre cybersécurité

mars 2025 par Mathieu Isaia, Directeur Général de TheGreenBow

Depuis 2021, j’alerte sur l’urgence de reconquérir notre indépendance technologique, un enjeu stratégique que je mettais déjà en avant dans un article publié dans S&D Magazine. Aujourd’hui, les bouleversements géopolitiques ne font que confirmer cette réalité : notre dépendance technologique aux États-Unis nous expose à des risques majeurs. Chaque nouvelle crise nous rappelle brutalement qu’un sursaut est indispensable. Il ne s’agit plus de simples alertes, mais d’un impératif stratégique.

Dans son allocution télévisée du mercredi 5 mars, le président E. Macron a rappelé que « L’indépendance économique, technologique, industrielle et financière sont des nécessités ». L’heure est venue de traduire les paroles en actes en nous mettant réellement en capacité de disposer de cette liberté de choix pour « renforcer notre indépendance en matière de défense et de sécurité ».

Le débat sur la souveraineté ne date pas d’aujourd’hui et a toujours été très clivant. La prise de conscience de l’importance du sujet pour notre économie et notre sécurité nationale a progressé à petits pas, certainement parce que ses partisans brandissaient des menaces potentielles et incertaines.

D’autre part, les pays européens ont bien volontiers accepté le confort du parapluie américain pour assurer leur défense. La France avait même fini par réintégrer le commandement de l’OTAN en 2009. Or le contexte géopolitique de ce début d’année montre que ces menaces sont désormais bien réelles et concrètes.

A l’évidence, l’attitude de notre allié historique outre-Atlantique démontre que nous ne partageons plus les mêmes priorités ni les mêmes ennemis. La décision de suspendre les opérations cyber offensives à l’encontre de la Russie est une parfaite illustration de ce changement majeur de stratégie de la part des Etats-Unis.

L’HEURE DU CHOIX EST ARRIVE

Dans ce nouvel ordre multipolaire qui se dessine, l’Europe ne peut maintenant compter que ses propres forces. L’heure des choix et des renoncements est arrivée pour les entreprises et les organisations publiques françaises et européennes.

Deux options s’offrent clairement à nous : la première consiste à nous complaire dans nos illusions en acceptant notre dépendance aux solutions américaines, une réalité régulièrement mise en lumière par les rapports de la Commission Européenne. Par exemple, le rapport publié le 21 février 2022 (EU strategic dependencies and capacities : second stage of in-depth reviews) pointe l’asservissement technologique de l’Europe dans plusieurs domaines, à commencer par la cybersécurité. Un chiffre de ce rapport laisse particulièrement pantois : 70% des achats de produits et services des pays membres de l’UE dans le domaine de la cybersécurité, proviennent de pays non membres (Etats-Unis et Chine en particulier). Par ailleurs, ce rapport alerte sur les conséquences néfastes de cette fragilité stratégique à savoir le risque de sécurité des informations, le risque de pénurie ou de blocage à l’export ou encore l’import de vulnérabilités.

Le maintien du statu quo serait clairement un renoncement définitif et implicite à la confidentialité de nos données, qui viendrait s’ajouter à un autre risque déjà perceptible et subi par les RSSI : la sécurité des informations. En effet, étant hégémoniques, les solutions logicielles américaines sont les premières cibles des cyberattaques et révèlent par ailleurs de plus en plus de vulnérabilités (voir le rapport 2024 Trends in Vulnerability Exploitation). Ces solutions mettent déjà à rude épreuve les nerfs des professionnels de la sécurité informatique qui doivent enchaîner les mises à jour à un rythme infernal. Tout le monde a encore en tête, la mise à jour défectueuse distribuée par CrowdStrike et qui a causé des pannes massives sur les systèmes Microsoft Windows. Plusieurs millions de systèmes ont été affectés à travers le monde, entraînant des perturbations importantes dans divers secteurs d’activités, notamment dans les transports, les services financiers, les services gouvernementaux et les soins de santé.

La seconde option consiste à se tourner vers les solutions alternatives françaises ou à défaut européennes. Ces alternatives existent dans tous les domaines. Pour s’en convaincre, il suffit de consulter les nombreuses initiatives de mappings et de listings de solutions qui fleurissent sur les réseaux sociaux. Par exemple, le mapping édité en début d’année par l’European Champions Alliance recense 832 entreprises proposant des solutions dans de nombreux domaines comme la cryptographie, la détection et la prévention des fraudes, la protection du cloud et des données ou encore la gouvernance cyber.

Outre la perspective de prise d’indépendance, ce choix présente l’avantage de donner leur chance aux solutions européennes et françaises, leur offrant ainsi l’opportunité de se développer davantage et, par conséquent, d’améliorer continuellement leur qualité.

PASSER DES PAROLES AUX ACTES

Cette seconde voie ne peut être emprunté sans choix politiques majeurs à plusieurs niveaux. Tout d’abord au niveau national. L’État français, qui devrait incarner l’exemplarité en matière de souveraineté numérique, dispose encore d’une marge de progression importante. L’exemple emblématique de l’hébergement des données de santé françaises via le Health Data Hub, confié à Microsoft Azure en 2020, est l’exemple criant de cette contradiction. Malgré la vive controverse suscitée lors de cette décision et les questions légitimes soulevées concernant la protection de ces données sensibles, ce choix stratégique n’a toujours pas été réellement remis en cause, témoignant du décalage persistant entre les discours officiels prônant l’autonomie technologique et les pratiques concrètes de l’administration.

Lorsque des données personnelles sont en jeu, la commande publique devrait privilégier les solutions souveraines. De même, au niveau européen, toutes les initiatives visant à encourager l’achat de produits et services européens dans le domaine de la défense et de la cybersécurité devraient être développées. A l’heure où l’administration Trump menace d’augmenter les droits de douane sur les produits et services européens, la mise en place d’un « Buy European Act » apparait comme une nécessité.

La remise en question doit être profonde et l’action rapide car en matière de cybersécurité comme en matière d’armement le poids de dépendance aux équipements américains a atteint des niveaux très élevés et affecte sans nul doute notre capacité d’action. Rappelons ici que près des deux tiers des dépenses d’armement des États de l’Union Européenne sont destinées à des équipements américains. Pourtant lorsqu’elle le veut, l’Europe est capable de renforcer ses défenses. Pour des raisons de sécurité nationale, elle a su agir pour limiter l’utilisation des équipements de Huawei et ZTE. Onze pays européens parmi lesquels l’Allemagne et la France ont ainsi décidé d’exclure ou de limiter les équipements télécoms chinois de leurs réseaux 5G. SFR et Bouygues Telecom, les deux opérateurs à avoir déployé des équipements Huawei, ont jusqu’au 31 décembre 2031 pour retirer près de 11 000 antennes.

Faut-il appliquer le même niveau de méfiance aux solutions technologiques américaines qu’aux solutions chinoises ? Peut-être pas, a minima une méfiance équivalente, une analyse de risque et le développement d’une souveraineté numérique européenne dans les secteurs critiques comme la défense et la cybersécurité s’imposent comme une évidence.

La bonne nouvelle est que nous avons les moyens de mettre en œuvre cette souveraineté. Les capacités technologiques, le cadre réglementaire, le financement et la recherche sont déjà là pour alimenter un écosystème local riche comme le démontre le mapping de l’ECA. La France est même le leader de cet écosystème avec près de 40% des 832 entreprises identifiés par l’ECA et des champions internationaux comme Thales, Atos ou Stormshield. Cette dynamique s’appuie sur un tissu technologique en pleine expansion et une réglementation qui encourage l’innovation.

Pourtant, si ces solutions existent, elles restent sous-exploitées. Il ne manque qu’un véritable sursaut stratégique pour les imposer comme des références incontournables au niveau européen et international.

LA BITD FRANCAISE A DEJA MONTRE LA VOIE

L’industrie de défense prouve que la souveraineté n’est pas un idéal, mais un choix stratégique réalisable. La France a démontré qu’une indépendance technologique est possible lorsque convergent volonté politique et solutions interopérables. C’est ce qu’ont accompli les industriels français de la Base Industrielle et Technologique de Défense (BITD) en matière de communications sécurisées. Ils ont su développer et déployer des solutions souveraines, garantissant l’autonomie de nos forces armées et de nos infrastructures critiques. TheGreenBow, avec ses solutions VPN de sécurité avancée, illustre cette capacité à se libérer des alternatives étrangères.

Avec l’Intelligence Artificielle, l’autre défi pour ces acteurs est, la maîtrise des technologies quantiques. La souveraineté technologique est l’un des objectifs affichés du projet PROQCIMA (Programme Quantique pour la Cybersécurité et l’Intelligence Militaire Avancée) lancé en mars 2024 par la Direction générale de l’armement (DGA) en collaboration avec le Secrétariat général pour l’investissement (SGPI). Ce programme qui vise à développer des ordinateurs quantiques universels pour répondre aux besoins de la défense française, mobilise cinq start-up innovantes françaises. Le soutien à la recherche et les partenariats public-privé dans le quantique, contribuent à faire émerger un écosystème industriel performant.

Dans le domaine défensif de la cryptographie résistante au quantique, l’enjeu se situe au niveau européen. Pour le moment c’est une nouvelle fois l’Amérique qui ouvre la voie en déterminant les premiers standards d’algorithmes résistants au quantique. Bien que les chercheurs et industriels européens soient très impliqués dans la recherche et la mise au point de ces nouveaux algorithmes, c’est bien l’organisme de normalisation américain (le NIST) qui les sélectionne et définit les standards. De son côté, la Chine vient d’annoncer qu’elle lançait également une initiative ambitieuse pour développer ses propres standards. Cette décision découle d’un manque de confiance mais également d’une volonté affirmée d’assurer son indépendance technologique dans un domaine qu’elle considère comme capital pour sa sécurité nationale et sa souveraineté.

Face à cette dynamique mondiale, l’Europe doit s’appuyer sur ses forces et prendre son indépendance numérique. Ne plus subir, ne plus être tributaire, mais imposer nos propres standards, encourager nos champions technologiques et faire de la cybersécurité un pilier de notre souveraineté. L’heure n’est plus aux constats : nous devons agir dès maintenant, à tous les niveaux – politique, industriel et technologique – pour garantir un avenir numérique sécurisé et autonome pour l’Europe.