Confiance numérique : construire un marché unique européen

La confiance numérique est un marché qui pèse lourd : 14,6 milliards d'euros en France et 23,7 milliards d'euros en comptant l'export. Disposant d'un contexte réglementaire européen très contraint, les acteurs de la filière tentent d'en tirer avantage. Entre respect des données personnelles et souveraineté numérique, une chaîne de confiance européenne se construit peu à peu.

« La France et l’Europe sont en train de développer des outils de sûreté-sécurité et cyberprévention qui nourrissent l’ambition d’être compatibles avec les libertés publiques et l’acceptation par les populations, constate Daniel Le Coguic, président de l’Association pour la confiance numérique (ACN).

On assiste à une culture de la convergence entre le politique, le business, la sûreté-sécurité-cyberprévention et la citoyenneté. Non-intrusives, ces tech vont représenter, pour nos entreprises, un indéniable avantage concurrentiel sur les marchés internationaux. »

Coincés entre les États-Unis, Israël et la Chine, les acteurs français et européens de la filière s’appuient sur les réglementations de l’UE, pourtant très contraignantes, afin d’inscrire leurs activités industrielles dans une vision humaniste et démocratique où l’ expérience utilisateur est au cœur de la problématique.

Pas facile. Mais pas le choix : c’est le prix à payer pour affirmer une souveraineté technologique européenne de la sécurité-sûreté et de la cybersécurité.

Un fertile édifice réglementaire européen de confiance…

Côté réglementation, l’UE est fertile. Dans le sillage du Règlement général pour la protection des données à caractère personnel (RGPD) et de la révision de la directive Network Internet Security (NIS 2), le Digital Service Act (DSA), le Digital Markets Act (DMA) devraient entrer en vigueur en 2024.

En cas de violation de ces textes, les organisations sont passibles d’amendes pouvant atteindre 6 % de leur chiffre d’affaires annuel pour le DMA et 10 % pour le DSA (contre 4 % pour le RGPD).

En septembre, la Commission européenne a proposé le Cyber Resilience Act qui compte imposer aux fabricants et éditeurs de produits connectés des règles en matière de sécurité des données. Sans compter le projet Artificial Intelligence Act déposé en avril 2021 pour une intelligence artificielle de confiance.

Quant à l’ état Français, il met également en place des actions:

• la Stratégie nationale de cybersécurité,
• le plan de relance,
• le plan France 2030,
• le Comité stratégique de filière des industries de sécurité (CSF-IS)
• et ses programmes structurants ainsi que le Campus Cyber avec un espoir : être au rendez-vous des défis sécuritaires de la Coupe du monde de Rugby de 2023 et des Jeux olympiques et paralympiques de Paris 2024.

Vers un marché européen unique du numérique de confiance

A cet égard, qu’a apporté en matière de souveraineté la présidence française du Conseil de l’Union européenne (du 1er janvier au 30 juin 2022) aux industries européennes de sécurité-sûreté-cyber ?

Pas d’action d’éclat mais un grand nombre de projets ont avancé. Par exemple:

• le projet de portefeuille d’identité numérique européen,
• l’AI Act,
• la régulation du marché avec l’adoption du DSA et du DMA.

« Il faudrait arriver à établir un marché européen unique du numérique de la même taille que les marchés domestiques de nos concurrents. Le marché européen est encore trop fragmenté, reprend Daniel Le Coguic. Et ce marché européen unique du numérique doit se muter en marché du numérique de confiance, sous peine de ne pas transformer l’essai. »

Sur ce terrain, le EU Cybersecurity Act, adopté en 2018, prévoit de remédier à la fragmentation du marché européen en confiant à l’agence de l’Union européenne pour la cybersécurité (Enisa) la responsabilité d’élaborer des schémas de certification de cybersécurité dans le cadre de l’objectif du marché numérique unique.

Objectif : mettre sur pied un processus de certification unique alors qu’aujourd’hui il faut passer les certifications pays par pays !

« Il y a un effort majeur d’harmonisation qui doit relever de nos valeurs européennes, être compatible avec les libertés publiques et l’acceptation par les populations.

Aujourd’hui, ce paysage de certification et de normalisation est fragmenté. Résultat, une majorité de normes sont américaines et israéliennes.

Leurs entreprises arrivent à vendre chez nous mais ce n’est pas réciproque », poursuit le président de l’ACN. A l’allure où vont les choses, cette harmonisation des certifications pourrait prendre encore au moins quatre ans…

La Confiance Numérique: Un marché énorme

Rien qu’en France, selon l’Observatoire 2022 de la confiance numérique réalisé par l’ACN, son chiffre d’affaires atteint 14,6 milliards d’euros pour l’année 2021, dont 63 % pour la cybersécurité et 37 % pour la sécurité numérique, (contrôle d’accès, identification et authentification des personnes, observation large zone, traçage et localisation, aide à la décision, renseignement…).

La filière française enregistre une croissance soutenue de 7 % proche de sa moyenne annuelle de 7,5 % sur cinq ans.

Si l’on compte les recettes générées dans le monde par la filière (CA France, CA exporté depuis la France et CA réalisé à l’étranger par des compagnies détenues par des capitaux français), le secteur, qui emploie 70 500 salariés (dont 40 800 à l’étranger), arrive à 23,7 milliards d’euros de chiffre d’affaires consolidé.

Ce poids lourd de l’économie tricolore compte des leaders mondiaux sur les segments:

• de la sécurité numérique (Thales, Airbus Defence & Space, Atos), de la gestion des identités et des accès (Thales, Idemia, IN Group),
• des services de cybersécurité (Thales, Atos, Orange Cyberdefense, Capgemini, Sopra Steria),
• et de la sécurisation des paiements (Worldline).

Ce sont ses entreprise qui font ça force. Il y en a 2 158 selon l’Observatoire 2022 de la filière de la confiance numérique publié par l’Alliance pour la confiance numérique (ACN):

• 75 grandes entreprises,
• 70 ETI
• 671 PME
• et 1 342 micro-entreprises (moins de 2 millions de CA),

Les plus gros rachats de sociétés françaises effectués par des capitaux américains

Cette dynamique se retrouve dans les fusions et acquisitions. En 2021, 23 compagnies françaises ont été acquises par d’autres entreprises hexagonales (53 %).

Des entreprises tricolores ont aussi racheté 11 entreprises étrangères (25 %). Neuf sociétés françaises ont été acquises par des sociétés étrangères.

Enfin, les deux-tiers des rachats d’entreprises françaises par des entreprises étrangères s’opèrent toujours au profit de capitaux américains (67%).

« Les rachats aux profits de capitaux américains concernent toujours les rachats les plus importants en comparaison des autres pays en termes de taille d’entreprises rachetées », mentionne l’Observatoire de la filière de la confiance numérique.

Depuis 2017, on trouve notamment Oberthur Technologies rachetée par l’américain Advent qui a acquis Safran Morpho pour la fusionner dans Oberthur Technologies. Sans oublier le rachat d’Arismore, AFD.Tech, Linkbynet et Openminded par Accenture.

Ni celui d’Alsid par Tenable, de Sqreen par Datadog et de Sentryo par Cisco. Citons aussi Thales qui a revendu nCipherSecurity à l’américain Entrust.

Plus rares sont les rachats intra-européens comme celui de Nexeya par l’allemand Hensoldt.

A côté de ces rachats, 28 startups du secteur ont levé 321 millions d’euros en 2021, soit une augmentation de 228 % par rapport à 2020. Reste à savoir si confiance numérique va rimer avec souveraineté numérique car, on le voit, les rachats stratégiques échappent en majorité à la France et à l’Europe.

Adapter l’offre sécurité-sûreté : un effort structuré

Comment les acteurs de la sûreté-sécurité et cyberprévention adaptent-ils leurs offres pour les rendre compatibles avec les libertés publiques et l’acceptation par les populations ?

Telle est la question que s’est posée, comme bien d’autres, le danois Milestone Systems (voir notre interview de Thomas Jensen, PDG du groupe dans cette édition), leader mondial des logiciels de tech vidéo basés sur de la donnée.

« Tout d’abord, nous avons développé notre produit phare, XProtect, en fonction du RGPD et nous l’avons fait certifier par un organisme indépendant, Europrise, décrit Rémy Deutschler, DG France de Milestone Systems.

Ensuite le groupe a pris en 2017 un engagement sur l’usage responsable des technologies (RUT : Responsible Use of Technology) au travers de la lettre de Copenhague.

Aujourd’hui, nous allons plus loin dans nos engagements envers nos forces de vente internes, nos partenaires distributeurs et nos partenaires technologiques.

Objectif : créer un cadre qui structure et rend cohérent cet engagement. Cette démarche a été initiée en 2021 et s’est poursuivie en 2022. *

Le programme est encore en cours d’élaboration. Il devrait être formalisé à partir de l’an prochain, étape par étape. L’idée principale étant que notre technologie ne doit pas jouer contre l’humain. »

Pour que confiance numérique rime avec souveraineté européenne, précisons que Milestone prévoit un programme de formation pour ses revendeurs ainsi que pour ses nouvelles recrues.

Installer une charte et un comité d’éthique

Pour sa part, XXII, une scale-up (entreprise à forte croissance) française spécialisée dans l’IA appliquée à la vision par ordinateur mise également sur le RGPD.

« Nous sommes RGPD by design. Par exemple, nous ne faisons pas de reconnaissance faciale ou biométrique en vidéosurveillance, précise François Mattens, directeur des affaires publiques et partenariats.

Par ailleurs, nous choisissons nos clients. Nous avons élaboré une charte et installé un comité d’éthique. Lorsque certains apparaissent susceptibles de ne pas correspondre à notre engagement éthique, nous en discutons en comité. »

Se réunissant tous les trimestres sous la houlette du président, ce comité se constitue pour moitié de membres du personnel de XXII (dont la responsable juridique) et pour moitié de personnalités extérieures, dont des chercheurs spécialisés en IA.

« Il y a quelques années, une ville nous avait consultés pour savoir si nos algorithmes étaient capables de détecter des caravanes. Le comité s’est réuni. Nous avons identifié le risque de discriminer une population (les gens du voyage). Nous avons refusé de donner suite à cette sollicitation », confie François Mattens.

Sur le commercial, est-ce un avantage ou un inconvénient ? « C’est un véritable élément différenciateur. Le fait d’avoir une charte et un comité éthiques est très bien perçu par de nos clients publics et privés. Cela les rassure. »

Erick Haehnsen

Stéfane Fermigier (CNLL) : « L’enjeu de la souveraineté numérique passe par la protection des données et par des technologies européennes libres »

Interview du co-président du Conseil national du logiciel libre (CNLL) qui prône l’Open Source Software ainsi que le Cloud Open Source en tant que vecteurs de sécurité-sûreté et de souveraineté européenne, auteur d’un ouvrage en cours sur le sujet

Quelle est la place du logiciel libre dans la construction du marché européen unique du numérique ?

Rappelons que le logiciel libre (Open Source Software en anglais), a pour particularité de publier son code source (ce qui le constitue) de sorte qu’il puisse être partagé, modifié et redistribué. Sa disponibilité est un atout majeur dans la transition numérique de l’Europe.

Selon une étude mandatée au cabinet Markess par le Conseil national du logiciel libre (CNLL), le syndicat du numérique Numeum, et le pôle de compétitivité Systematic Paris-Région, le marché du logiciel libre en France a été multiplié par 40 en moins de vingt ans.

A cet égard, la France est la locomotive de l’Open Source en Europe avec un marché qui représente 5,9 milliards d’euros de chiffre d’affaires en 2021.

La filière du logiciel libre va recruter plus de 26 000 personnes en France d’ici à 2027. Surtout, le Libre s’impose dans toutes les technologies innovantes du numérique comme l’IA, le Big Data, l’IoT, le IaaS (Infrastructure as a Service) le PaaS (Platform as a Service) et la cybersécurité.

Quel sont les enjeux et objectifs de la souveraineté numérique européenne ?

Tout d’abord, il est extrêmement dangereux de laisser le contrôle des technologies numériques à des groupes privés étrangers qui ont atteint une taille telle que même les États qui se disent souverains ne peuvent contrôler. Cela représente un danger pour nos citoyens, notre industrie, notre commerce et notre démocratie.

Par ailleurs, les réglementations extra-territoriales permettent aux services de renseignement américains d’agir à distance, et notamment de prélever en masse des données sur les citoyens et les business sans aucun recours, s’il ne s’agit pas d’entités ou de citoyens américains. Il y a donc un premier enjeu pour l’Europe autour de la maîtrise des données numériques.

D’autre priorités ?

L’enjeu primordial, c’est celui de l’indépendance ou de l’autonomie technologique. Il s’agit notamment de pouvoir choisir ses fournisseurs, en excluant ceux qui sont soumis à des lois extra-territoriales.

Sans une industrie européenne du numérique puissante, l’Europe ne pourra jamais imposer ses visions et ses décisions. Donc il faut que le numérique européen puisse se développer. D’où l’intérêt de l’Open Source, qui est l’un des secteurs d’excellence pour l’industrie européenne du numérique.

De plus, par construction et par définition, son ambition initiale vise à partager au sein d’un écosystème de développeurs et d’utilisateurs la maîtrise et le contrôle sur les logiciels et application.

Le Libre donne ainsi la possibilité à un utilisateur de ne pas être pieds et mains liés à un fournisseur/ gouvernement, de facto l’option à privilégier pour des raisons d’éthique.

Cette liberté est à opposer à la situation des éditeurs de logiciels propriétaires qui peuvent décider unilatéralement d’arrêter un logiciel, de changer sa tarification… et mettent les utilisateurs au pied du mur.

L’administration française donne-t-elle l’exemple ?

En France, l’article 16 de la loi de 2016 pour une République numérique indique que « les administrations veillent à préserver la maîtrise, la pérennité et l’indépendance de leurs systèmes d’information. »

Le même article dispose : « L’administration encourage l’utilisation des logiciels libres et des formats ouverts. » ce qui établit clairement le lien entre logiciel libre et indépendance technologique. Néanmoins, son développement et sa mise en place sont lents.

Depuis un an, les choses repartent dans la bonne direction avec le Plan d’action logiciels libres et communs au sein de la Direction interministérielle du numérique (Dinum).

Le Dinum encourage l’administration à utiliser les logiciels libres, suivi par la décision de plusieurs ministères de se doter également à leur niveau de responsables logiciels libres.

Est-il possible d’avoir un Cloud de confiance européen ?

Dans le Cloud, chez tous les opérateurs, les briques de base sont Open Source. La difficulté, c’est que les Gafam ont construit des solutions propriétaires sur cette base.

Ils ont des ressources commerciales et marketing quasiment infinies pour acquérir des clients, quand ils n’utilisent pas des méthodes déloyales comme l’abus de position dominante.

Mais ces offres restent soumises aux lois d’extra-territorialité américaines, même dans le cas où un opérateur européen utilise des logiciels d’origine américaine pour faire tourner son cloud.

Parmi les opérateurs européens de cloud souverain (qui exercent un contrôle à la fois sur les données et sur les technologies), on peut citer Clever Cloud, Scaleway et Rapid.Space qui, par ailleurs, utilisent largement ou totalement des outils Open Source.

D’autres opérateurs devraient bientôt être acceptés par Euclidia, l’association des industriels européens du Cloud.

Propos recueillis par Erick Haehnsen