Alors que l’European Cyber Week se tient du 15 au 17 novembre à Rennes, Tiphaine Leduc, manager de la filière économique Cybersécurité au sein de l’agence Bretagne Développement Innovation, revient sur l’expérience de la délégation bretonne au FIC Montréal et sur les enjeux du secteur et de la région.

La Bretagne est devenue en quelques années, l’un des grands hub européens de la cybersécurité. Quinze à vingt entreprises cyber s’y installent chaque année et elle regroupe plus de 8 000 emplois dans le secteur, soit près de 25% des effectifs nationaux.

Les 1er et 2 novembre dernier, c’est une délégation de sept entreprises innovantes, accompagnée par l’association Bretagne Commerce International, qui s’est rendue au Forum International de la Cybersécurité (FIC) pour sa première édition outre-Atlantique, à Montréal. Tiphaine Leduc, manager de la filière économique Cybersécurité au sein de l’agence Bretagne Développement Innovation, revient sur l’expérience et sur les enjeux du secteur et de la région.

A lire aussi : [Chronique] Affaire Sullivan : quelles bonnes pratiques juridiques pour les experts Cybersécurité ?

Quel bilan tirer de la participation de la délégation bretonne au FIC Montréal ?

Du point de vue des entreprises participantes, le bilan est clairement positif, la Bretagne avait en effet un stand très central. C’était une première de s’exporter ainsi à Montréal. Je pense aussi que les acteurs ont pu noter que la culture de la cyber est un peu différente la bas. En Amérique du Nord de manière générale, les enjeux de monétisation des données, notamment personnelles, sont très présents, alors qu’ici, en Europe, la réflexion sur le sujet essaye de se situer à un autre niveau, en concevant une cyber plus respectueuse du citoyen, et avec un développement économique à la fois souverain et durable.

En la matière, le choix de Montréal est intéressant car l’enjeu est bien que les entreprises trouvent une porte d’entrée plus facile en Amérique du Nord, à travers le Canada. Le pays est en effet un entre-deux, avec une tradition académique assez forte et proche de la nôtre, tout en ayant aussi une proximité évidente avec les Etats-Unis. Sur ce FIC Montréal, le visitorat était technique, qualitatif avec des besoins précis, ce qui est un facilitateur pour des start-up qui cherchent à se développer et concrètement vendre des solutions ; donc malgré les difficultés, c’est un bon « match ». L’évènement a par ailleurs fait un focus important sur la nécessité de collaboration entre les pays, à tous les niveaux. C’était donc très intéressant d’avoir cette représentation régionale.

La Bretagne est une région très marquée par la filière cybersécurité. Est-ce que cette mobilisation inspire d’autres territoires ?

Au-delà de la Bretagne, il y a une dynamique nationale : la création du Cyber Campus a beaucoup aidé à fédérer l’écosystème, en liant acteurs institutionnels, académiques, écoles et entreprises venus de toute la France. Et aujourd’hui, ce qui est attendu, c’est une déclinaison territoriale de ces campus, avec un rapprochement dans les régions qui va amener beaucoup de nouveaux acteurs dans la boucle. Au FIC à Lille, on voit déjà les régions Grand Est, Hauts de France, Nouvelle Aquitaine se mobiliser. A Montréal, Nouvelle Aquitaine était présente également. Le rôle des régions se développe partout, car c’est la bonne maille d’action, au niveau intermédiaire entre les collectivités et l’Etat. Elles permettent de faciliter la relation avec les interlocuteurs de part et d’autre. De plus, les CSIRT régionaux (Computer Security Incident Response Team, NDLR) dont se dotent aujourd’hui les régions sont complémentaires. On constate que les organisations locales ont pris en considération que la cyber devait irriguer toutes les transformations numériques dans les territoires. En ce sens, la Bretagne n’est pas en compétition avec les autres régions : on essaye au contraire d’être coordonnées.

Que manque-t-il aujourd’hui pour favoriser le développement des entreprises innovantes cyber et espérer la naissance de plusieurs grands champions français ?

Il est prioritaire développer les connexions à l’échelon européen. La feuille de route et la volonté politique sont claires sur le sujet. L’autre grand enjeux est de faire de la cybersécurité un sujet populaire et accessible, qui fassent que tous les citoyens se sentent concernés ; ce qui renforcera d’autant le développement des entreprises.

En ce qui concerne la Bretagne spécifiquement, le travail que nous réalisons actuellement, est de non seulement capitaliser sur notre ancrage historique avec le milieu de la Défense, tout en développant d’autres verticaux marchés : énergie, santé, agro-alimentaire… pour accompagner une appréhension cyber beaucoup plus large.  D’autant plus que pour faire naître des champions cyber, il va falloir créer des regroupements d’entreprises. Nous disposons de beaucoup d’entreprises innovantes de petites tailles qui sont très bonnes sur une brique technologique précise, mais cela ne suffit pas pour une solution de sécurité utile globalement à une entreprise. Il faut donc s’allier, coopérer, pour adresser des besoins complets et être plus facilement présentables à des clients.

Les moyens actuels sont-ils suffisant ?

Il y a effectivement un travail particulier à mener auprès des investisseurs et de leur culture cyber. Ils ont tendance à concentrer leurs investissements sur certaines briques technologiques. Et beaucoup d’expressions de besoin initiales, qui lancent une start-up, sont aujourd’hui issues du ministère des Armées ou des forces de l’Ordre. Dans ce cadre, les investisseurs peuvent donc juger difficile de négocier, notamment au niveau de leurs futures conditions de sortie.

Toutefois, on voit les lignes bouger, avec une concentration du marché. On voit la filière se resserrer pour former des champions. Un bon exemple est la fusion entre la pépite française Ariadnext et son concurrent allemand IDnow, pour devenir un grand acteur européen de l’identité numérique. Les niveaux d’investissements augmentent en conséquence et il devient plus facile d’adresser tout le marché européen. L’enjeu au niveau national a été clairement indiqué : faire émerger au moins trois licornes, doubler le nombre d’emplois dans le secteur… Tout est intimement lié. Il va notamment falloir renforcer très fortement l’aspect formation pour y parvenir.

La Cyber-Week se tient la semaine prochaine à Rennes. Que peut-on en attendre ?

Le président de la région Bretagne va profiter de l’occasion pour en dire plus sur la déclinaison régionale du Cyber Campus. Et nous allons également mieux présenter le CSIRT, qui est clairement un outil activable à disposition du campus. Nous allons aussi mettre en avant au maximum le sujet formation. Pas seulement, la formation initiale mais aussi les sujets clés de la formation continue et de la reconversion. La région entend structurer des modules pour faciliter la formation « tout au long de la vie ».

Enfin, nous allons aussi pouvoir souligner la dynamique européenne, avec notre culture cyber propre. L’Europe a récemment mis en place l’EDIH, le Pôle Européen d’Innovation Numérique, qui un hub d’innovation dont l’enjeu est d’accompagner la transformation numérique territoriale. De notre côté, cet outil est déjà labellisé sur la partie Cyber ; nous venons d’en faire le lancement officiel ! Un regroupement de partenaires régionaux va travailler pour identifier les entreprises prioritaires, souvent des PME, et faire état des lieux de leurs besoins de montée en compétence cyber et de leur maturité. En tout, il y a aujourd’hui seulement une trentaine d’EDIH labellisé en Europe ; il faut les renforcer et s’appuyer au maximum dessus. Nous visons en particulier des secteurs forts en Bretagne comme l’agro-alimentaire, l’industrie électronique et IoT, ou encore la santé.