On aurait presque oublié que le FIC est à l’origine un événement européen. Dès l’origine, l’Union européenne a soutenu la création du forum, comme l’a rappelé le général Marc Watin-Augouard dans son discours d’introduction de la seconde journée du FIC. Ce sujet revient sur le devant de la scène avec la présidence française de l’Union européenne à partir du 1er janvier 2022. Une période pendant laquelle l’écosystème de la cybersécurité entend bien pousser des propositions dans ce domaine.
Solidarité et mobilisation de l’industrie cyber
C’est le cas de l’AgoraFIC qui a édité un document regroupant 28 recommandations pour faire de la cybersécurité la clé de voûte de la souveraineté numérique. Parmi elles, on trouve des éléments sur les talents et les compétences en généralisant par exemple le numérique dans toutes les formations diplômantes. L’Europe doit par ailleurs se doter d’une capacité de réaction face à des incidents majeurs. Guillaume Poupard, directeur général de l’Anssi, a ainsi expliqué : « la solidarité va être un point important dans la présidence française de l’UE. Que faire quand un Etat demande de l’aide ? Aujourd’hui, il n’y a pas de réponse européenne ».
Le volet industriel n’est pas oublié avec le renforcement de l’investissement public et privé. Certains veulent aller plus loin, comme Jean-Noël de Galzain, président de Hexatrust : « il y a une opportunité de créer un Business Act européen pour dynamiser le marché européen de la cybersécurité ». Pour cela, il faudra gommer certains freins, comme « la reconnaissance des certifications à l’échelle de l’UE », plaide le dirigeant. Par exemple, la qualification SecNumCloud de l’Anssi n’est pour l’instant pas reconnue par d’autres pays membres. Difficile dans ce cadre de prétendre à la création d’un marché unique de la cybersécurité.
Vers une certification européenne pour le cloud et NIS 2
Ce problème de certification n’est pas anodin et a une résonnance sur une autre proposition du rapport de l’AgoraFIC, l’émergence de leader européen du cloud européen. Guillaume Poupard est formel : « pour les certifications cloud de niveau élevé, seul le droit européen doit s’appliquer ». Pour lui, le Cyber Security Act voté en 2018 doit aboutir à la création d’une certification européenne pour les cloud de niveau élevé. « Nous militons pour que les exigences SecNumCloud soient reprises dans ce projet », précise le patron de l’Anssi. Et de prévenir les pouvoirs publics : « si les discussions n’aboutissent pas sur ce sujet, ce n’est pas la peine de parler de souveraineté numérique européenne. Ce sera un vrai marqueur de la volonté des Etats en la matière ». Une fois adoptée et mise en œuvre, cette certification européenne remplacera les certifications nationales selon Guillaume Poupard.
Toujours dans le cadre de la réglementation, la révision de la directive NIS qui crée notamment les opérateurs de service essentiel (OSE). « La deuxième version va élargir le périmètre, fixer de nouveaux seuils, désigner des administrations publiques », souligne le DG de l’Anssi. Celui-ci a voulu être rassurant pour les entreprises ou administrations qui grossiront la liste des OSE, « s’il y a 10 000 OSE en France après NIS 2, ce n’est pas grave ». Il évoque notamment les aides issues du plan de relance, « il y a un peu d’argent et de l’accès aux compétences » pour les accompagner.
La cybersécurité européenne, un enjeu politique
Xavier Bertrand, président de la région Hauts-de-France et candidat à l’élection présidentielle de 2022, a par ailleurs profité de la tribune du FIC pour évoquer des thèmes de campagne, en particulier sur la cybersécurité. Au niveau européen, il souhaite « une régulation du marché des vulnérabilités », suite à l’affaire d’espionnage de terminaux mobiles d’opposants politiques Pegasus. Cette proposition est aussi intégrée dans les recommandations de l’AgoraFIC. Il plaide aussi pour la création de champion du cloud européen en mettant en avant la pépite du Nord, OVHcloud.
Sur le plan national, il est revenu sur le plan cybersécurité pour demander « une évaluation et une évolution de la revue stratégique de cyberdéfense et de la stratégie nationale relative à la cybersécurité ». Certains y voient déjà un appel pour un deuxième plan de relance pour la cybersécurité. Ainsi, Jean-Noël de Galzain estime qu'« il y a quelques trous dans la raquette dans le plan existant, on a oublié les TPE, PME, ETI. Il faudra peut-être aussi raisonner par secteurs d’activités ».