Accueil
Cyberécurité

Que penser des critiques de l’AFDEL sur le plan pour la cybersécurité du gouvernement ?

Cédric Mialaret
Cyberécurité

Les 34 plans de reconquête pour dessiner la France industrielle de demain

L’association française des éditeurs de logiciels et solutions Internet (AFDEL)  vient de publier un livre blanc, « Cyber-sécurité, hisser les acteurs français au niveau de la compétition mondiale », qui critique le plan de la nouvelle France industrielle pour la cybersécurité.

Ce plan a été validé, ainsi que six autres (Cloud computing, souveraineté télécoms, réalité augmentéetextiles techniques et intelligents, qualité de l’eau et gestion de la rareté, produits innovants pour une alimentation sûre, saine et durable) lors du troisième comité de pilotage, réuni sous l’égide de Montebourg, le 4 juin 2014.

 

Les critiques de l’AFDEL

Le livre blanc vante longuement les systèmes américains et israélien, deux pays dont sont issus de nombreux leaders du marché de la sécurité, et du capital-risque qui permet aux entreprises de se développer très rapidement et d’acquérir des concurrents.

Le modèle de gains par l’appréciation de l’action est vanté par rapport au modèle traditionnel de retour sur investissement sur la base des cash flow, le premier créant des géants innovants quand le deuxième crée une industrie parcellaire et peu rentable de petites entreprises fragiles peu pérennes.

Le livre blanc critique l’idée de label français de cybersécurité, qui repousserait les investisseurs étrangers, et qui forcerait les entreprises françaises de sécurité à « se conformer à des exigences françaises alors que leurs ressources pourraient parfois être mieux employées à la conquête d’un nouveau marché ».

Il critique certaines exigences, comme l’accès au code source, qui repousseraient les étrangers.

Et critique la volonté de s’appuyer sur des entreprises de nationalité française,  ce qui limiterait les acquisitions par les étrangers, et donc la plus value potentielle pour les actionnaires.

Il critique l’Agence nationale de la sécurité des systèmes d’information (ANSSI) , responsable du plan pour la cybersécurité, sur le fait qu’elle ne s’inquiète que de la dimension sécuritaire des entreprises de sécurité quand « elle devrait se préoccuper sérieusement du potentiel de développement et de la capacité d’exécution de l’entreprise aidée. »

 

Critique de la critique

Si l’AFDEL insiste justement sur le rôle de l’investissement privé et la nécessité de pousser les start-up et les PME, dans l’ensemble, son livre blanc nous semble peu pertinent.

Sa croisade contre le groupe de pression de la défense nous semble perdu d’avance et hors sujet. Ou pense-t-elle vraiment que le groupe de pression de la défense américaine ne joue pas le même rôle dans la cybersécurité américaine ?

L’admiration pour le modèle israélo-américain manque de souligner ses racines, et l’impact décisif des relations politiques et militaires privilégiées entre les deux pays depuis plus d’un demi-siècle sur le développement de la confiance mutuelle et de la cybersécurité.

Il n’est pas du ressort de l’ANSSI d’imaginer un « Nasdaq européen » ou de promouvoir le capital risque. Le modèle publique américain est vanté mais aucune précision concrète sur le contenu ou l’impact d’une politique industrielle publique n’est donnée. L’AFDEL semble plus jalouser le dynamisme des capital-risqueurs américains qu’autre chose.

Il n’est pas du ressort d’un plan de cybersécurité de développer la capacité d’exécution et du potentiel de développement : c’est l’une des responsabilités principales des entreprises de capital risque que de proposer les cadres clés aux entreprises dans lesquelles elles investissent.

Et certains arguments nous semblent infondés. La fourniture de code source pour vérifier l’absence de portes dérobées n’est pas une barrière infranchissable. Microsoft, et bien d’autres industriels américains, fournissent le code source de leurs produits aux gouvernements étrangers exactement dans cette optique, depuis des années.

À l’inverse, le plan a des objectifs qui sont totalement passés sous silence par le livre blanc, comme celui de sensibiliser à la cybersécurité, ce qui ne peut qu’accroître la demande en solution de confiance. Et l’internationalisation jugée si nécessaire est bien évoquée dans le plan.

Le renforcement des actions de normalisation dans les domaines peu matures pour se positionner en leader européen fait écho aux normes américaines, devenues internationales de fait, qui ont si bien servi l’industrie américaine. Il nous semble intéressant de vouloir répliquer ce succès en Europe, pour les entreprises européennes.

Surtout, alors que le livre blanc évoque des mesures ultras généralistes et en fait peu ciblées sur la cybersécurité, comme la coopération Franco-allemande, elle base sa critique uniquement sur le plan de cybersécurité quand de nombreux autres plans sont aussi Partis prenants :  comme le plan Cloud Computing qui propose un label sécurité à vocation européenne où garantit un traitement sécurisé des données en Europe. Ou le plan télécoms qui veut faire évoluer la réglementation sur la sécurisation des réseaux et qui s’intéresse aux 70 milliards d’objets connectés dans le monde d’ici 2020.

Au final, si le livre blanc a le mérite de faire réfléchir aux améliorations possibles du plan industriel de cybersécurité, on reste sur sa faim. On aurait aimé que le livre blanc, comme le  plan qu’il critique, s’intéresse de plus près à la cybersécurité chez nos voisins européens, et aux possibilités de coopération.