Le rapport du sénateur Bockel va dans le bon sens et est pertinent. Il a le mérite d’exister mais il est cependant très peu entreprenant. Peu de mesures concrètes. Dire qu’il faut une stratégie industrielle en cyberdéfense en France et en Europe et qu’elle doit s’articler autour de la DGA et de l’ANSSI ne fait qu’enfoncer des portes ouvertes. Le constat est bon et partagé par tous mais il faut rapidement proposer des scénarios à une politique volontariste souveraine européenne en matière d’industrie de la SSI.

Il faut aller bien plus loin, et le problème de se genre de rapport est que les solutions seront emmenées par un lobbying de grands groupes qui n’ont pas réussi ces dernières années à porter une réelle stratégie industrielle. Le risque est donc encore une fois de répondre à une problématique réelle par l’intervention des grands groupes industriels français qui porteraient une stratégie européenne de cyber défense éloignées des problématiques des PME et ETI européennes.

La réalité et les solutions sont à chercher ailleurs : Les petits éditeurs et experts de qualité en France peuvent supporter une grande part de l’offre SSI si ils sont accompagnés par l’ANSSI et apporter des réponses concrètes et rapides à la Cyberdéfense européenne là où les grands comptes redéveloppent souvent des solutions existantes pour des questions de propriété intellectuelle et afin de conserver leur position dominante dans l’écosystème SSI français.

Les produits et les experts existent, le porteur de l’offre industrielle SSI n’est pas le bon. Ce sont les petits éditeurs qui aujourd’hui apportent le plus d’innovation dans le domaine de la SSI. Par exemple, sur la technologie de rupture d’analyse comportementale que porte ITrust, les américains ont compris depuis longtemps (discours du directeur de la NSA au Defcon2011) que l’innovation en ssi (et donc la réponse à ses nouvelles problématiques) viendra et sera porté par les startups.

Je suis effaré de voir que certains grands comptes clients continuent d’utiliser des technologies étrangères pour leur sécurité (sur ce point je partage évidemment les conclusions du rapport Bockel qui préconise de bannir les technologies chinoises de routage ; mais pas seulement de routage !). Les technologies européennes permettent de couvrir l’ensemble de la chaine de fonctionnalité en SSI. L’argument du manque de couverture technologique par les européens n’est plus crédible.

Mais nous constatons toujours que des grandes banques internationales font appel à des technologies de management des vulnérabilités étrangères alors même que ITrust propose son logiciel souverain Ikare www.ikare-monitoring.com dans ce domaine. Il semble que les leçons de l’histoire soient oubliées alors même que l’espionnage des comptes swift européens il y a quelques années avait porté atteinte aux intérêts européens pour des raisons identiques.

Est-il par exemple normal que l’ensemble des failles de sécurité d’un organisme européen international soit soumis au Patriot Act et donc qu’un gouvernement étranger ait accès légitimement et sans rendre de compte à ces données critiques, et ce, sans que cela ne pose de problème éthique aux dirigeants de ce groupe ou à l’état français ? Ce n’est pas seulement l’équipement chinois qu’il faut interdire à certains secteurs mais toutes les autres technologies importantes (y compris donc le management des vulnérabilités) qui passent outre règles de protection des données édictées par l’union Européenne.

La CNIL préconise dans son dernier rapport d’utiliser des technologies d’éditeurs européens pour le Cloud, le sénat est en retard sur ces préconisations.

La question de la souveraineté semble taboue au sein d’une partie de l’élite européenne, il faut cependant prendre conscience que seule l’Europe ouvre ses marchés sensibles à des technologies étrangères. Ce n’est ni le cas de l’Asie ni le cas des Etats-Unis qui favorisent les technologies de leurs éditeurs permettant ainsi la domination de leur industrie de la SSI. Une des solutions consiste à revoir le modèle de préconisation et de la labellisation par l’ANSSI des produits. Modèle qui aujourd’hui n’est pas incitatif pour les technologies innovantes et pour les petits éditeurs. Ni même pour les clients... Encore donc une bonne préconisation du sénateur Boeckel mais qui n’est pas suivie de propositions concrètes.