Le Campus Cyber veut fédérer autour de lui tous les producteurs d’indicateurs, afin de proposer une vision plus fine et réaliste de la situation de la cybersécurité en France. Ce travail au long cours pourrait permettre de préciser des objectifs ambitieux pour la filière… et un chemin pour les atteindre.

L’adage est connu : on fait dire aux chiffres ce que l’on veut. C’est d’autant plus facile quand les chiffres en question sont produits par des acteurs différents, et que leurs études utilisent des périmètres et des méthodologies, eux-aussi différents. Le constat est particulièrement saisissant dans le domaine de la cybersécurité, qui voit chaque association, acteur du conseil, éditeur de logiciel… y aller année après année de son panorama, de son observatoire ou tout simplement de ses chiffres clés sur l’état de la menace. Avec le sentiment que, loin de donner une image plus claire du monde dans lequel nous vivons, chaque nouvel indicateur contribue à alimenter une forme de flou artistique.

« Nous sommes souvent questionnés par les journalistes et les professionnels pour pouvoir accéder à des indicateurs cyber fiables. Et on doit reconnaître qu’il y a des chiffres qui manquent et d’autres qui ne sont pas du tout homogènes » reconnait Yann Bonnet, directeur général délégué du Campus Cyber. En lançant avec de très nombreux partenaires du secteur l’initiative Cyberscope, le lieu totem de la cyber française espère donc au contraire donner l’impulsion pour fédérer de nombreux producteurs d’indicateurs et amener une vision plus harmonieuse, convaincante et utile.

La 1^ère édition de ce Cyberscope, et la publication de la page web accueillant ces informations, a été présentée le 21 juin devant un panel de spécialistes du secteur. La variété des acteurs réunis force le respect puisque l’initiative ne se limite pas à la participation des experts cyber de la place, en incluant aussi le Medef, Bpifrance ou l’Inria.

Pour montrer l’ambition et la richesse des chiffres réunis, les parties prenantes ont présenté trois axes d’intérêt particulier pour cette première version, s’inspirant en la matière des trois piliers du Campus Cyber : l’observation de la menace, celle de l’innovation et enfin un focus particulier sur les compétences et l’emploi.

Luména Duluc, directrice du Clusif, et Alain Bouillé, délégué général du Cesin, les deux principales associations de professionnels du secteur, ont témoigné de leurs travaux sur les chiffres relatifs à l’état de la menace. « Nous avons noté une tendance qui peut paraître surprenante de premier abord, avec une baisse des attaques réussies contre nos membres, malgré une intensité toujours aussi virulente des attaques » a notamment exposé Alain Bouillé. Cette embellie est pour lui le signe que la mise en place de gouvernance et d’outils appropriés par les grandes organisations commence à porter ses fruits. Le nombre d’acteurs qui dépassent la part des 5% de leur budget IT consacré à la cybersécurité augmente également chaque année. Par ailleurs, les professionnels se montrent de plus en plus satisfaits par les solutions de cybersécurité qu’ils utilisent, signe que le marché s’est aussi adapté à la demande.

« Il y a cependant un bémol évident : les attaques se reportent sur les entités de plus petites tailles et qui savent moins bien se défendre » complète le délégué général du Cesin. L’élargissement du champ des obligations réglementaires, à l’image de la directive NIS2, forcent de plus en plus d’organisations à se sentir concernées, au-delà des traditionnels opérateurs d’importance vitale ; mais les petites structures accumulent encore un inquiétant retard de maturité et de moyens.

Amélioration sur le front de l’innovation, mais questions sur le passage à l’échelle

Du côté des chiffres liés à l’innovation, Gérôme Billois, de Wavestone, résume la situation : « La question que l’on peut se poser est : est-ce que l’innovation fonctionne dans la cyber ? Ce que l’on constate c’est qu’il y a plutôt une bonne dynamique, à travers le nombre de levées de fonds et les montants levés. On passe notamment de tours de table qui s’inscrivaient entre 10 à 20 millions d’euros en moyenne, à d’autres plus conséquent de 30 à 40 millions. L’étape suivante sera d’aller vers les montants levés en Israël et aux Etats-Unis, beaucoup plus importants ». 

Reste la question de l’industrialisation et du passage à l’échelle de ces innovations. Entre entrée en bourse ou rachat par des groupes plus importants, le devenir des start-up à moyen et long termes est loin d’être un chemin tranquille. Et d’autres sujets de préoccupation sont au programme pour le spécialiste : « En France, on ne voit que 19% des start-up qui travaillent avec des structures de R&D publique, c’est une occasion manquée », pointe-t-il par exemple. Il encourage par ailleurs les entrepreneurs de la tech à s’intéresser à l’arrivée prochaine du Cyber Resilience Act, sur lequel peu de start-up se positionnent, alors que son impact économique risque d’être conséquent.

Du côté des directeurs cybersécurité en entreprise, l’écosystème réunis pour le Cyberscope est formel : l’initiative « Je Choisis la French Tech » lancée par le gouvernement, doit donner le « la ». Il faut maintenant concrétiser les bonnes intentions et vraiment se mettre à utiliser l’innovation technologique française.

Autre sujet clé à explorer par le Cyberscope pour les années à venir : l’attractivité des métiers de la cyber. Aurélie Bauer, cheffe du CFSSI, le Centre de Formation à la Sécurité des Systèmes d’Information de l’Anssi, estime que le fait que le sujet soit déjà abondamment discuté, pousse à être plus précis. Elle pointe une méconnaissance des organisations sur les métiers de la cyber. « En 2019, sur 16 000 offres d’emploi analysées, 30% étaient intitulées « Ingénieur sécurité », ce qui ne veut rien dire. Comment entend-on rendre des métiers attractifs avec ce niveau de généralité ? » illustre-t-elle.

L’autre chiffre qui fait mal est évidemment celui de la part des femmes dans le milieu : 11% seulement. « Quand on interroge les jeunes sur leur représentation des métiers de la cybersécurité, ils disent que leur source sont ce qu’ils voient au cinéma. Et beaucoup ne se reconnaissent pas dans ce « geek à capuche », les femmes au premier rang d’entre eux » détaille la cheffe du CFSSI. Pour proposer une vision plus rationnelle, elle estime que le travail sur la matrice des compétences cyber pour les métiers réalisé à l’Anssi est un bon début. Il doit permettre aux employeurs et aux DRH de mieux comprendre la réalité du secteur et d’être précis dans leurs attentes. De cette façon, les formations pourront s’adapter pour préparer à des métiers plus précis également. « Beaucoup de formations en sécurité en France sont très généralistes. Et il persiste l’idée qu’il faut faire du Bac+5 et plus pour travailler dans la cyber, alors que les organisations ont besoin de voir se développer des profils de type Bac+2 par exemple », explique encore Aurélie Bauer.

Ainsi, le travail d’harmonisation réalisé sur de nombreuses métriques autour du Cyberscope doit permettre d’agir en rebond sur des problèmes profonds comme l’attractivité ou l’amélioration du fonctionnement des équipes dans les entreprises. Mais la publication de cette première édition et les échanges qu’elle a générés ne sont qu’un point de départ. « La prochaine étape est de présenter une V2 plus ambitieuse dès l’an prochain, en appelant à d’autres contributeurs à venir nous rejoindre. Nous lançons une nouvelle réunion sur le sujet le 4 juillet prochain : n’hésitez pas à vous y associer » lance donc Yann Bonnet.

Reste aussi à voir comment mettre ces indicateurs en action : « Une fois que l’on a cette compréhension plus fine, quels objectifs concrets nous donnons-nous ? » s’interroge à juste titre François Lavaste de Tikehau Capital. Porter les bons messages auprès des pouvoirs publics impliquera en effet d’être d’accord sur les chiffres à viser sur chaque pilier… et à tracer le chemin pour y parvenir. S’aligner sur les indicateurs à produire n’est donc bien que le début de l’aventure.