FIC 2022 : quels leviers pour une souveraineté cyber de l’UE ?

En matière cyber, les avancées juridiques et normatives peuvent-elles suffire à créer une souveraineté européenne ? Éléments de réponse avec les experts et des politiques dans le cadre du FIC 2022.

La production juridique et normative est-elle une condition suffisante à une autonomie stratégique numérique ?  L’Union européenne, on a largement activé ce levier… sans, pour le moment, atteindre l’objectif si l’on juge les résultats à l’aune de l’émergence de géants politiques et industriels.

On en a débattu – entre autres sujets – ce 8 juin au FIC, lors de la plénière inaugurale, dans la lignée de l’intervention de Guillaume Poupard (DG ANSSI).

FIC 2022 plénière Europe normes cybersécurité
De gauche à droite : Henri Verdier, Olivier Onidi, Cyril Dujardin et l’animateur de la table ronde

Sans s’inscrire en porte-à-faux, Olivier Onidi appelle à voir, au-delà du droit que produit l’UE, le cadre coopératif qui s’est établi. Le directeur général adjoint de la DG HOME (migration et affaires intérieures) au sein de la Commission européenne mentionne aussi la dynamique de « responsabilisation des différents acteurs », en lien avec les autorités nationales.

Manager associée et lead data scientist chez le cabinet de conseil Kynapse, Irène Balmès prend la question sous un autre angle : la contrainte peut être un atout pour l’innovation. Cela s’est vu dans l’automobile, quand on a imposé des règles de sûreté des utilisateurs. Ou de propreté des véhicules, explique-t-elle. Ces dernières décennies, il semble surtout y avoir eu, poursuit l’intéressée, un manque d’investissement dans les petits acteurs. Et d’évoquer les USA, où les États doivent diriger une partie de leur budget vers les nouvelles structures.

Les États-Unis eux-mêmes étudient des possibilité de réglementation, souligne Irène Balmès. Aussi affirme-t-elle qu’il ne s’agit que d’une « problématique mineure ». Certains, ajoute l’ancienne astrophysicienne, tournent même le cadre à leur bénéfice. Comme le moteur de recherche DuckDuckGo, qui assure ne pas pister ses utilisateurs.

Ce qui paraît nouveau dans l’industrie numérique est déjà arrivé par ailleurs, conclut-elle : on n’accepterait pas l’absence de contrôles sanitaires dans les restaurants ou l’expérimentation des nouveaux avions directement auprès du grand public.

Réguler « intelligemment »

Pour Henri Verdier, le débat n’est pas de savoir si la régulation empêche l’innovation. Mais de savoir « si nous savons faire des régulations intelligentes ». Celles qui vont ouvrir la voie à une « puissance de création », sans laquelle « vous serez un suiveur, même si vous avez une puissance normative ».

L’ambassadeur pour le numérique au ministère de l’Europe et des Affaires étrangères donne l’exemple de l’Inde. Le pays a implémenté son RGPD tout en créant des systèmes de gestion du consentement pour permettre, en plus, de fluidifier l’économie.

Dans une économie de « standards de fait », cette « puissance de création » conditionne la souveraineté. En tout cas au sens où on l’entend en Europe : la liberté de prendre des décisions qui nous concernent. Elle se manifeste autant par des entreprises que des chercheurs, « et peut-être même [des] intellectuels et [des] artistes », résume Henri Verdier.

Et d’enchaîner sur une note d’espoir : « Quand on parle de la puissance de la Silicon Valley, en fait, on parle d’une toute petite partie d’Internet : l’intégration verticale de la pub ciblée. Dans les villes intelligentes, la santé connectée, le transport autonome, le spatial, etc. la bataille n’est pas jouée. »

Olivier Onidi rebondit sur l’aspect « législations intelligentes ». Il appelle à les poser « en termes de résultats et certainement pas de moyens ». Une voie suivie par exemple dans la lutte contre la pédopornographie, en laissant les plates-formes libres de leurs choix techniques.

Comprendre le « modèle mental » des acheteurs…

Le marché intérieur est « suffisamment vaste et puissant » pour que tout acteur mondial doive tenir compte des règles qui s’y établissent, veut croire Henri Verdier. Reste à les exploiter dans le cadre des négociations commerciales, précise Daniela Schwarzer, directrice exécutive de l’Open Society pour l’Europe et l’Asie.

Comment perçoit-on la profusion législative et réglementaire chez les grands fournisseurs européens ? « En tant qu’industriel, on est pour les normes », clame Cyril Dujardin. Le directeur général adjoint big data et sécurité numérique chez Atos émet néanmoins un constat : dès qu’on monte au niveau européen, on fait face à un marché « multinational ». Faute, pour le moment, de standardisation sur l’ensemble de la chaîne. « On a d’autant plus de difficulté à passer à l’échelle ».

« [Start-up et PME] doivent comprendre comment on fonctionne. Et comment fonctionnent nos grands concurrents américains », lâche Cyril Dujardin. Il les invite, dans les grandes lignes, à standardiser marketing, R&D et partenariats pour s’aligner sur le « modèle mental » des clients. «

Le Campus Cyber est la preuve qu’on peut s’associer », ajoute-t-il, tout en appelant à « arrêter de saupoudrer les financements » et à « choisir ses combats : on ne pourra pas être présent sur toute la chaîne de valeur, depuis le composant jusqu’au quantique ».

…Et chasser « en meute »

Henri Verdier fait lui aussi référence aux PME. Plus particulièrement celles de la cyber. Avec un flash-back pour l’occasion. Direction 2006, lorsqu’il fondait le pôle de compétitivité Cap Digital. « Ça me rappelle vraiment [cette époque] : j’avais découvert un tissu de talents […] qui ne savaient pas chasser en meute. Des leaders mondiaux sur plein de petites features… et la difficulté à intégrer cela dans des offres cohérentes ».

Pour Olivier Onidi, il faut « forcer la dose » sur la certification au niveau européen. Et cela implique « un peu plus de volontarisme politique ». En ligne de mire, notamment, le security by design. « Nous [en] sommes les maîtres dans des secteurs comme les transports : faisons la même chose [dans le numérique] ! » Son postulat : on peut utiliser les mêmes instruments, tout en travaillant sur une certification « crédible et unanimement reconnue ».

Intervenu en fin de session, Xavier Bertrand a réclamé davantage de financement au niveau européen pour la cybersécurité. Dans le cadre du budget 2021-2027 (programme pour une Europe numérique), elle bénéficie d’une enveloppe de 1,6 milliard d’euros. Somme que le président de la région Hauts-de-France estime maigre au regard du poids du marché sur le continent (130 Md€).