Coopération internationale et souveraineté nationale sont intimement liées. Face aux solutions unitaires puissantes des poids lourds étrangers, la diffusion de l’innovation européenne fait pâle figure. Parler de coopération dans la lutte contre la cybercriminalité sans mentionner les freins au développement des sociétés européennes, c’est refuser d’observer une partie du problème.
Une coopération sous contrainte
La coopération est d’abord diplomatique. Le Sénat français le reconnaît volontiers dans son rapport d’information du 10 juin 2021 intitulé « La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cybervirus ? ». On y retrouve le propos suivant : « tant que le numérique reste dominé par les acteurs privés américains, une coopération juridique entre l’Union européenne et les Etats-Unis demeure la clé de voûte de la cybersécurité ».
Il ne fait aucun doute que les solutions, principalement américaines, unitaires et puissantes, inondent les systèmes des entreprises et des organisations publiques. Solutions de productivité, certes, mais aussi solutions de cybersécurité. En d’autres termes, l’information relative aux tentatives et aux succès des cyberattaques est détenue majoritairement par les sociétés nord-américaines. Vouloir œuvrer sans elles dans la lutte contre la cybercriminalité est effectivement voué à l’échec.
La cybersécurité, cela dit, est un marché construit sur des croyances profondément ancrées. On considère que le danger ne peut venir que d’assaillants autonomes et indéterminés, mais on confie, les yeux fermés, les clés des systèmes d’information à des sociétés disposant d’un arsenal réglementaire très libéral en matière de données. Cette estimation est soutenue par une analyse de risques truffée de biais, qui renforce la confiance des acheteurs dans des solutions bénéficiant de manière automatique d’une reconnaissance mondiale.
Un marché européen hermétique
La coopération internationale s’impose donc, pour partie, par nécessité. « Tant que le numérique reste dominé par les acteurs privés américains. » La citation laisse songeur, étant donné que le marché européen ne semble toujours pas disposé à jouer dans la même cour cyber que les Etats-Unis.
Quiconque s’est essayé au développement d’une société au sein du marché de l’Union peut en témoigner. On sait que le protectionnisme états-unien se montre intransigeant vis-à-vis des sociétés pourvues de capitaux européens et cherchant à s’installer sur le sol américain. Pourtant, l’exercice, pour ne pas dire l’aventure US, reste toujours plus envisageable que l’espace européen aux yeux des petites et moyennes structures en croissance.
D’ailleurs, il est bien plus juste de parler des 27 marchés européens. Autant de marchés, autant d’exports, autant d’efforts à fournir pour espérer couvrir de multiples territoires qui n’ont en commun que leur extrême diversité. Ainsi, les solutions de cybersécurité doivent passer l’épreuve de l’agrément dans chaque pays européen considéré, ce qui ne résout rien des exigences de proximité et de langue, sans parler des actions de communication et de marketing. Certes, il y a des réussites, et l’on pourrait citer, à l’appui du propos, la fintech au sens large, malgré quelques errances et sorties de route. Cela dit, les moyens et les établissements de paiement ont justement bénéficié d’un élan politique et réglementaire dont ne profite toujours pas la cyberdéfense.
Rien de semblable ne se profile pour le secteur numérique, malgré quelques timides tentatives. Le cas des certifications européennes de cybersécurité et l’incapacité des Etats à s’accorder sur des critères communs n’est qu’un des nombreux exemples concourant à renforcer l’hégémonie technologique des USA, et par là, à maintenir le renseignement européen dans sa dépendance vis-à-vis d’acteurs tiers.
Considérer la cyberdéfense comme l’on considère la défense
La cybersécurité est un enjeu décisif de survie des entreprises. Fort de cette constatation, on ne compte plus les cercles d’intérêts, publics, privés, qui éclosent à l’initiative des membres d’un secteur donné ou partageant des caractéristiques communes. InterCERT France, Circl au Luxembourg, OpenCTI , Pr0ph3cy, le Clusif, l’OSSIR ou encore Hexatrust, la cybersécurité foisonne d’initiatives aussi intéressantes que cloisonnées, sans cohérence d’intérêt général, morcelant les moyens de lutte contre le cybercrime. De leur point de vue, les entreprises européennes de cybersécurité ne disposent d’aucun repère pour intervenir de manière concertée et intelligente, ceci sans mettre en œuvre des prérogatives que seules les forces de l’ordre détiennent.
Déjà, le rapport sénatorial plaidait pour un assouplissement des règles de la commande publique et de fonctionnement de l’UGAP, mais la situation actuelle invite à la prise de mesures autrement plus fermes. La consécration de la cyberdéfense, comme élément intrinsèque de défense européenne ouvrirait l’application des règles relatives aux marchés publics de défense ou de sécurité.
L’unité de marché européenne passe également par des ventures fortes, des levées de fonds à la hauteur des enjeux et au moins égales au niveau des investissements étrangers.
Par ailleurs, la concurrence dans le secteur ne permet qu’une transmission altérée de l’information, sur laquelle il est urgent d’agir à travers un corpus de règles spécifiques. Exigeons enfin l’essentielle accélération des travaux en matière de certifications et de labellisations européennes, notamment en matière de sécurité offensive, une technologie déterminante aujourd’hui et pourtant dépourvue de cadre de référence, au détriment du tissu productif européen.
C’est à ce prix qu’une coopération internationale équilibrée saura voir le jour.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));