La cybersécurité en France est en plein essor. Le secteur affiche une croissance moyenne de 7,5% au cours des cinq dernières années, en parallèle avec l’explosion du nombre de cyberattaques. Cependant, les États-Unis et Israël filent à toute allure, laissant les autres pays derrière eux. Pour rester dans la course, les entreprises françaises ont besoin de beaucoup plus de capitaux.
Selon l’observatoire de l’Alliance pour la confiance numérique (ACN), 18 milliards d’euros ont été investis aux États-Unis en 2021, contre seulement 2 milliards d’euros en Europe (dont près d’un tiers en France).
Souveraineté ou investisseurs
La quête de capitaux est plus complexe dans ce secteur en raison de son caractère stratégique. “Il y a un paradoxe : nous devons protéger nos intérêts souverains. Mais pour que les entreprises de cybersécurité se développent, elles doivent internationaliser leurs activités”, souligne Gérôme Billois, membre du conseil d’administration du Campus Cyber, un regroupement d’acteurs publics et privés du domaine de la cybersécurité à Paris. “Pour créer un produit de classe mondiale, il faut vendre en grand nombre. Cela nécessite également d’importants investissements. Or, dans ce domaine, les plus gros fonds proviennent de l’étranger.”
Pour les entrepreneurs, il est difficile de concilier protection de la souveraineté et ambition de croissance. “L’État a ses intérêts stratégiques, mais les entrepreneurs doivent trouver des débouchés pour leurs produits”, résume Florent Grosmaitre, président de Cryptonext Security, une PME spécialisée dans les solutions de cryptographie post-quantique.
Impulsion étatique
Pourtant, “la plupart des clients, notamment les multinationales, se soucient peu des problématiques de souveraineté”, note Gérôme Billois. Et “les acteurs américains et chinois sont souvent plus compétitifs que les Français en termes de prix”, souligne l’ACN dans son rapport du 11 mai. En somme, les acteurs français n’ont rien à envier à leurs concurrents en termes de technologie, mais les groupes étrangers plus développés bénéficient d’économies d’échelle.
Les acteurs français du secteur se réjouissent des nombreuses aides disponibles au niveau national et espèrent davantage de commandes publiques. “Nous manquons d’achats publics. Pour notre activité encore naissante, avoir des clients exigeants sert de référence pour trouver d’autres clients par la suite”, souligne Florent Grosmaitre.
Cependant, le manque d’investisseurs en Europe, par rapport aux États-Unis ou à Israël, reste un problème récurrent. Pour les acteurs français, il est préférable de coopérer avec des acteurs plus importants. “De nombreuses entreprises développent des technologies qui doivent être intégrées dans les produits de grands groupes”, explique Stéphane Klécha, investisseur spécialisé dans le secteur des nouvelles technologies. “Cette intégration doit se faire au niveau européen pour accéder à davantage de financements.”
Garder le contrôle
Le leader français de la cybersécurité, Thalès, montre la voie en rachetant deux sociétés pour 120 millions d’euros auprès d’un fonds portugais. L’objectif est de renforcer les capacités du groupe dans la détection des incidents.
Pour les autres entreprises françaises du secteur, il faut accepter de faire tomber un tabou. “Le fait que les sociétés ne se développent pas exclusivement avec des fonds français ou européens n’est pas un problème en soi”, explique Stéphane Klécha. “L’essentiel est de savoir qui contrôle la technologie.” Tant que la recherche est localisée dans un pays, cela suffit pour préserver la confiance des clients locaux.
Florent Grosmaitre va plus loin : “Il faut commencer par construire des champions qui disposent de technologies et de marchés pour assurer leur pérennité. Ensuite, l’État peut utiliser des outils de contrôle des investissements pour faire ses choix stratégiques.”
Intervention de l’État
Cependant, l’État français ne semble pas partager cette vision. “Il y a deux technologies clés où il faut préserver notre souveraineté : les outils de détection des attaques (on ne sait pas d’où elles viennent, on ne peut faire confiance à personne) et le chiffrement (ce qui est confidentiel doit le rester)”, explique Gerôme Billois lors du Paris Cyber Summit 2022, en référence aux priorités identifiées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
En 2019, l’État s’était mobilisé lors de la tentative de rachat de la start-up Vade Secure, basée dans le nord de la France et spécialisée dans la protection des échanges par e-mail. En revanche, l’année dernière, Alsid, une pépite de la sécurisation des réseaux, a déménagé aux États-Unis, où elle exerçait une partie de ses activités, après avoir été rachetée pour 90 millions d’euros. Le ministère de l’Économie a étudié le dossier sans intervenir.
Toujours plus de cyberattaques
- L’année 2021 a connu une augmentation de 37% des cyberattaques recensées contre des entités françaises, qu’elles soient publiques ou privées, selon le rapport annuel de l’ANSSI.
- Les attaques par ransomwares, ces logiciels malveillants qui prennent en otage des données en échange d’une rançon, ont principalement touché les TPE, les PME et les ETI (34% des victimes) ainsi que les collectivités (19%). “Ces attaques, qui ont fait la une des médias, ne doivent pas occulter les campagnes d’espionnage et de sabotage, particulièrement préoccupantes”, souligne l’agence.
