Au fil des années, les innovations technologiques et la digitalisation de tous les espaces – privés et professionnels – sont allées de pair avec des menaces toujours plus nombreuses et sophistiquées. Ransomwares, espionnage, ingénierie sociale, cloud, IoT, IA… le risque cyber est omniprésent, à tel point que la cybersécurité fait (ou devrait faire) partie intégrante de la stratégie globale des entreprises.

Parallèlement, le pouvoir croissant des GAFAM – qui viennent concurrencer celui des Etats – et leur mainmise sur les données suscitent débats et préoccupations.

Ces deux grands axes ont fait progressivement émerger la notion de souveraineté numérique. Cette cyber-souveraineté est au désormais au cœur de la capacité des Etats à maîtriser la sécurité de leur cyberespace national et extraterritorial. Il ne se passe pas un jour sans qu’elle ne soit mise à l’épreuve, et elle est condamné à évoluer sans relâche pour s’adapter à la sophistication permanente des menaces.

Les conditions de la cyber-souveraineté

La cyber-souveraineté n’est jamais acquise une fois pour toute, et dépend de multiples facteurs. Parmi eux, la dépendance technologique vis-à-vis de pays étrangers est probablement l’un de plus déterminants. Cette dépendance technologique concerne deux grands volets : les logiciels et les infrastructures informatiques. Plus on recourt à des technologies étrangères, moins on est cyber-souverain.

Second facteur essentiel : les compétences domestiques. La souveraineté numérique ne peut se bâtir et se développer sans expertise et sans maîtrise des compétences techniques les plus pointues. Le sujet est délicat : il faut d’une part recruter les meilleures compétences, et d’autre avoir un très haut niveau de confiance dans ces compétences (du fait de la nature même des enjeux de sécurité nationale).

Enfin, le rôle de la puissance publique est également crucial pour définir et mettre en œuvre un écosystème de cybergouvernance et une stratégie de mesure et d’amélioration permanente.

La France se donne-t-elle (vraiment) toutes les chances pour être cyber-souveraine ?

Eut égard aux points mentionnés précédemment, la France peut s’enorgueillir de posséder une industrie technologique qui, dans certains domaines, se classe parmi les meilleures, avec par exemple des entreprises comme Thales et des organismes comme l’ANSSI.

Parallèlement, notre pays a peut-être, également, laissé certaines de ses pépites disparaitre. On pense à Bull, on pense à Prolog. On ne peut pas, en tous cas, s’empêcher de penser que la France n’a pas la place qu’elle pourrait avoir sur le podium des nations technologiques – notamment dans le domaine des logiciels et des infrastructures. Même si, encore une fois, nous avons certains domaines d’excellence.

Au-delà de ces points, ce qui bride le plus la cyber-souveraineté française est peut-être le recrutement des compétences. Plus précisément : le niveau de confiance que l’on donne aux compétences.

Il faut ici mettre les pieds dans le plat. Il y a en France beaucoup d’ingénieurs qui possèdent des compétences très élevées en cybersécurité. Parmi ces ingénieurs de grande qualité, beaucoup de personnes d’origine maghrébine, notamment. Mais pour des raisons « extra-sportives », certaines entreprises et organisations se privent de ces compétences. Il ne s’agit pas de juger tel ou tel, mais de constater une réalité. L’exemple de la sécurité nucléaire est, à ce titre, très parlant.

Si la France n’a pas aujourd’hui le niveau de cyber-souveraineté qu’elle pourrait avoir, c’est aussi à cause d’un problème d’ordre culturel – notamment dans la manière de recruter. Dans les pays anglo-saxons, les entreprises demandent avant tout : « De quoi êtes-vous capable, que pouvez-vous apporter ? ». Nous aurions sans doute avantage à nous en inspirer.