Stratégie

Hexatrust veut lever les freins à l'achat de produits français de cybersécurité

Lors de l'Université d'été Hexatrust, (de gauche à droite) : Jean-Noël de Galzain, Président d'Hexatrust, Thierry Delville, Ministère de l'Intérieur, Guillaume Poupard, directeur général de l'ANSSI.

Les PME françaises en cybersécurité rivalisent d'innovations, mais manquent de débouchés souligne Hexatrust.

PublicitéL'université d'été d'Hexatrust, qui a réuni près de 200 participants, se tenait ce mardi 5 novembre sous une double pression. D'un côté, le gouvernement prépare une revue stratégique de sa cybersécurité, avec un bilan et des mesures à prendre. Un appui pour Hexatrust qui regroupe 29 PME françaises de la cybersécurité et veut, au-delà de cette base, influencer et fédérer en France les acteurs du secteur, public ou privé. Deuxième élément, la multiplication d'attaques mondiales féroces comme WanaCry et Petya devrait, selon tous les spécialistes, se renouveler sous d'autres formes. Les conséquences sont connues sur la réputation des entreprises, leurs comptes d'exploitation (300 millions de dollars de pertes pour Merck, 350 millions d'euros pour Saint Gobain), leur relation commerciale avec des interruptions de services de plusieurs jours. Le monde de la cybersécurité a deux bonnes raisons de se reprendre en main.

Jean-Noël de Galzain, Président d'Hexatrust (*) rappelle d'abord ses grands principes : animer une filière qui reste encore dispersée, mettre en avant sa vision de la liberté et des valeurs en matière de protection des données, héberger les données dans des clouds où l'on a confiance, entrer dans un monde où le digital et donc sa sécurité va occuper la première place, dans nos entreprises et dans notre vie quotidienne. Le rôle d'Hexatrust est de « montrer nos offres, de telle manière qu'aucun RSSI ne pourra dire qu'il ne connaît pas Hexatrust et ses adhérents ». Le chemin est encore long, comme l'ont montré les différentes tables-rondes.

Le chemin de croix des PME françaises

Jean-Michel Barbier, responsable des services de sécurité chez Bouygues Télécom Entreprises, affirme sa volonté de travailler avec des entreprises françaises, mais relève aussi des freins pour s'engager avec une PME : sa faible notoriété ou l'absence de solutions de bout en bout. Ce deuxième point revenait souvent dans les discussions lors des pauses. Comment engager une PME française, certes innovante en technologie, si un groupe étranger propose une solution plus complète ? Henri d'Agrain, délégué général du Cigref reste optimiste sur les grandes entreprises pour laisser leur chance aux PME françaises en matière de cybersécurité. « Mais c''est encore un chemin de croix pour une PME qui veut discuter avec un grand groupe » note-t-il.

Les PME devraient s'associer à des acteurs français comme Thales et Airbus Défense et Cybersécurité suggère une participante dans la salle, mais avec la partie R&D, afin de créer des offres capables de franchir les portes des grands comptes, publics ou privés. Le colonel Freyssinet, chef de la Mission numérique de la Gendarmerie nationale, lui, évoque, son projet de géolocalisation des gendarmes. Ne pouvant passer par Google pour des raisons de souveraineté, ne trouvant pas de PME spécialisée en France sur le sujet, il se résoud à développer une solution par lui-même, mais examine avec bienveillance les propositions des PME françaises.

PublicitéL'équipe France de Guillaume Poupard

Filant la métaphore sportive, Guillaume Poupard, directeur général de l'ANSSI devait parler d'équipe France, « toute calorie dépensée les uns contre les autres profite aux attaquants extérieurs. On doit être capable de se parler en confiance, à froid, ou à chaud entre acteurs français ». Visiblement, c'est plus facile à chaud, en cas de crise grave, qu'à froid. Le directeur général de l'ANSSI devait surtout rappeler, aux participants de l'université d'été d'Hexatrust, la prochaine échéance en matière de conformité.

Si tout le monde parle de GDPR, NIS est également au menu. GDPR est un règlement, du ressort de la CNIL, alors que NIS est une directive, dans le giron de l'ANSSI. Une directive transposable dans le droit national, avant le 9 mai 2018 (**), elle concerne la sécurité des OIV (Opérateurs d'importance vitale), des plateformes, des places de marché, des moteurs de recherche et des fournisseurs de services cloud. La transposition de NIS est en cours en France et devrait être réalisée dans les prochaines semaines. Une transposition encore en discussion, elle se fera soit « à minima » soit par « sur transposition » glisse Guillaume Poupard sibyllin.

Le directeur général de l'ANSSI insiste également sur ses certifications : « il faut dire à ceux qui vont employer des services de cybersécurité : ces services sont fiables ». Conformité et certifications vont dans le même sens que les initiatives d'Hexatrust pour valoriser la filière française de la cybersécurité. Et contrer les grands acteurs d'outre-atlantique, bien implantés et expérimentés sur des offres de bout en bout. GDPR servant à les contrer sur la protection des données personnelles, un sujet où les Etats-Unis n'ont pas de loi, rappelle l'avocat Olivier Itéanu.

(*) Il est également Pdg de Wallix, Président de Scientipole Capital, vice-président du pôle Systematic et maintenant secrétaire national de la french tech.
(**) GDPR n'a pas à être transposé puisque c'est un règlement, il doit être appliqué à partir du 28 mai 2018