La cybersécurité est un secteur en plein essor en France. Avec une croissance moyenne de 7,5 % au cours des cinq dernières années, il suit le rythme effréné de l’augmentation du nombre d’attaques cybernétiques. Cependant, les États-Unis et Israël avancent à la vitesse des voitures de course : pour rester dans la course, il est nécessaire d’avoir beaucoup plus de capitaux.
Selon l’observatoire de l’Alliance pour la confiance numérique (ACN), 18 milliards d’euros ont été levés aux États-Unis en 2021, contre seulement 2 milliards d’euros en Europe (dont près d’un tiers en France).
Entre souveraineté et investisseurs
La quête de capitaux est encore plus complexe dans ce secteur en raison de sa nature stratégique. “Il y a un paradoxe : nous devons protéger nos intérêts souverains. Mais pour se développer, les entreprises de cybersécurité doivent s’internationaliser”, souligne Gérôme Billois, membre du conseil d’administration du Campus Cyber, qui rassemble des acteurs publics et privés du milieu. Pour créer un produit de classe mondiale, il faut vendre massivement. Et cela nécessite des investissements considérables, mais dans ce domaine, les plus gros fonds sont étrangers.
Pour les entrepreneurs, marier la protection de la souveraineté nationale avec l’ambition de développement est un défi complexe. “L’État a ses intérêts stratégiques, mais l’entrepreneur doit trouver des débouchés pour ses produits”, résume Florent Grosmaitre, président de Cryptonext Security, une PME spécialisée dans les solutions de cryptographie post-quantique.
L’impulsion de l’État
Pourtant, “la plupart des clients, notamment les multinationales, se fichent des problèmes de souveraineté”, constate Gérôme Billois. Et “les acteurs américains et chinois sont souvent plus compétitifs que les Français en termes de prix”, souligne l’ACN dans son rapport publié le 11 mai, qui regroupe les acteurs de la filière. En résumé, les acteurs français ne manquent pas de technologie, mais les groupes étrangers plus développés bénéficient d’économies d’échelle.
Les acteurs français interrogés se réjouissent des multiples aides nationales existantes et espèrent en obtenir davantage grâce aux commandes publiques. “Nous manquons de commandes publiques : pour notre activité encore naissante, avoir des clients exigeants nous servirait de référence pour en trouver d’autres par la suite”, souligne Florent Grosmaitre.
Cependant, le manque d’investisseurs en Europe, par rapport aux États-Unis ou à Israël, reste un problème récurrent. La meilleure solution pour les acteurs français est donc de coopérer avec des entreprises plus grandes. “De nombreuses sociétés ont développé des technologies qui sont destinées à être intégrées dans les produits de groupes plus importants”, analyse Stéphane Klécha, investisseur spécialisé dans les nouvelles technologies. Cette intégration doit se faire au niveau européen afin d’accéder à davantage de financements.
Garder le contrôle
Le fleuron français de la cybersécurité, Thalès, montre la voie en rachetant, pour 120 millions d’euros, deux sociétés auprès d’un fonds portugais. L’objectif est de renforcer les capacités du groupe en matière de détection des incidents.
Pour les autres entreprises françaises du secteur, il est essentiel d’accepter de faire tomber un tabou. “Ce n’est pas grave que les entreprises ne se développent pas exclusivement avec des fonds français ou européens”, explique Stéphane Klécha. L’essentiel est de savoir qui contrôle la technologie. Tant que la recherche reste localisée dans un pays, cela suffit à maintenir la confiance des clients locaux.
Florent Grosmaitre va encore plus loin : “Il faut commencer par construire des champions disposant de technologies et de marchés pour garantir leur pérennité. Ensuite, l’État dispose d’outils de contrôle des investissements pour faire ses choix stratégiques.”
L’intervention de l’État
Cependant, l’État français ne semble pas partager cette vision. “Il y a deux technologies clés où nous devons maintenir notre souveraineté : les outils de détection des attaques (nous ne savons pas d’où elles peuvent venir, nous ne pouvons faire confiance à personne) et le chiffrement (ce qui est confidentiel doit le rester)”, explique Gerôme Billois lors du Paris cyber summit 2022, en écho aux priorités identifiées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Fin 2019, l’État s’est mobilisé pour empêcher l’acquisition de la jeune pousse du Nord, Vade Secure, spécialisée dans la protection des échanges par e-mail. En revanche, l’année dernière, Alsid, une pépite de la sécurisation des réseaux, a déménagé aux États-Unis, où elle exerçait une bonne partie de son activité, après avoir été rachetée pour 90 millions d’euros. Le ministère de l’Économie a étudié le dossier sans intervenir.
Toujours plus d’attaques cybernétiques
L’année 2021 a enregistré une augmentation de 37 % des cyberattaques recensées contre les entités françaises, qu’elles soient publiques ou privées, selon le rapport annuel de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Les attaques par ransomware, ces logiciels malveillants qui prennent en otage des données jusqu’au paiement d’une rançon, ont surtout touché les petites et moyennes entreprises (TPE et PME) ainsi que les entreprises de taille intermédiaire (ETI, 34 % des victimes) et les collectivités locales (19 %). “Ces attaques, qui ont fait la une des médias, ne doivent pas occulter les campagnes d’espionnage et de sabotage, particulièrement préoccupantes”, précise l’Agence.
