Premier bilan et perspectives pour le Campus Cyber

Premier bilan et perspectives pour le Campus Cyber

Une page se tourne pour le campus

Le 05 novembre dernier, Michel Van Den Berghe, alors président du Campus Cyber, annonçait sa démission par un message LinkedIn dans lequel il mettait en avant la réussite de l’aventure du Campus Cyber sous son mandat. Comme il est d’usage dans le monde merveilleux de la cybersécurité, les congratulations ont fleuri pour saluer l’excellence du travail accompli.

N’étant pas familiers des salons feutrés, nous avons pu avoir l’impression d’être passés à côté d’accomplissements majeurs sur la scène française de la cybersécurité, et par transitivité, de la contribution déterminante du Campus dans ceux-ci. Nous avons donc tenté d’explorer le thème de l’apport du Campus Cyber pour notre pays.

Les objectifs énoncés pour le Campus

Dans sa publication LinkedIn, le président du Campus rappelle succinctement la mission qui lui avait été confiée : “construire un Campus Cyber national, idée théorique et présidentielle qu’il fallait transformer en réalité.” On retrouve cette notion d’ “idée théorique” dans la communication du gouvernement du 23 juillet 2019 qui exposait “une mission de préfiguration d’un grand campus de la cybersécurité”. Le mot-clef ici semble être “préfiguration” : “ce qui annonce un événement futur sous une forme imparfaite”.

Plus précisément, les enjeux définis étaient de “fédérer et de structurer l’écosystème français de la cybersécurité” avec trois objectifs principaux :

  • “Renforcer la sensibilisation et la formation pour contribuer à résoudre le déficit d’experts et renforcer la prise en compte du risque dans les organisations” ;
  • “Favoriser le partage et la mutualisation d’outils, de compétences et de données entre les acteurs de l’écosystème” ;
  • “Accompagner l’innovation publique et privée pour concourir au développement de la filière industrielle de cybersécurité, en cohérence avec le comité stratégique de filière sécurité”.

Notons à cette occasion que “le comité stratégique de filière sécurité” est l’un des 19 “comités stratégiques de filière” du Conseil National de l’Industrie dont l’objet est de “d’instaurer, via ces instances, un dialogue concret, performant et régulier entre l’Etat, les entreprises et les représentants des salariés sur tous les sujets-clés qui permettent la reconquête industrielle française, et ce, filière par filière”. D’après ce comité, les grands enjeux de développement de la filière sécurité s’inscrivent en ligne avec les enjeux de développement économique et de souveraineté : “la protection des outils numériques et des données doit pouvoir être assurée par des offres françaises et européennes de confiance”. De plus, le comité souligne l’importance stratégique de se positionner “en leader sur les ruptures et leurs applications de sécurité : intelligence artificielle, big data, blockchain, sur les approches conceptuelles qui peuvent conduire à de nouveaux systèmes et écosystèmes garantissant la « security and ethic by design » et aussi sur les matériels et composants micro-électroniques de confiance requis”. Pointons qu’évoquer dans une même séquence la notion de souveraineté en faisant par la suite l’usage d’une terminologie anglo-saxonne est déjà la démonstration d’un échec de la pensée, et l’illustration d’une défaite culturelle de premier ordre. Mais ce n’est pas l’objet de cet article. Retenons à ce stade que les enjeux dessinés impliquent les dimensions de souveraineté, d’innovation et de production technologique.

Premier bilan

Il est indéniable qu’une grande partie de la place française de la cybersécurité est aujourd’hui réunie dans ce lieu “totem” du Campus tel qu’on aime à l’appeler dans les communications institutionnelles, et qu’il joue une place centrale dans l’organisation d’événements rassemblant des acteurs du secteur. Sans rentrer aujourd’hui dans le détail des publications des parties prenantes, ni de l’analyse fine des résultats, on devine que l’atteinte des trois objectifs haut-niveaux peut être défendue pour dégager un bilan positif de cette création de Campus. Admettons donc naïvement que le premier bilan du Campus Cyber est une réussite en miroir des objectifs définis.

Une Société par Actions Simplifiée dans le domaine des activités immobilières est donc née pour instancier le Campus, et son bilan financier positif lui permet de se projeter dans l’avenir. N’oublions pas malgré tout que (contrairement à certains discours entendus) des investissements financiers directs et indirects des pouvoirs publics contribuent largement à ce bilan positif [1]. Côté cyber, l’écosystème dans les murs favorise ainsi les synergies recherchées, et les bouillonnants cerveaux rassemblés en ces lieux sont ainsi prêts à conquérir la cybersphère. Une question existentielle subsiste cependant : fédérer autour de quoi ? Une fois que les ambitions de conquête de marché et de souveraineté ont été exprimées, par quelles incarnations peuvent-elles se matérialiser ? Peut-être pourrait-on s’attendre à ce qu’une mission de préfiguration réponde à la question : il semble que ce ne soit pas le cas.

Ne manque-t-il pas un projet de fond ?

Certes, des travaux communs thématiques se concrétisent par la production de livrables accessibles en sources ouvertes et s’inscrivent ainsi en ligne avec les objectifs de formation, sensibilisation, et de rayonnement. Pour autant, des groupes de travail ou communautés similaires auraient également pu être fédérés dans d’autres contextes et ne justifient pas à eux seuls le projet Campus. Saluons toutefois l’ingéniosité du business modelin fine les participants du Campus contribuent financièrement pour leur propre production de livrables : le rayonnement n’a pas de prix.

Ce qui interroge donc, c’est l’apparente absence de projet de fond. Une fois la question effleurée, on constate rapidement que des gens intelligents l’ont posée bien avant nous, à commencer par le président du Campus qui en juin dernier exposait que “l’état doit lui donner une ou des missions claires faute de quoi le campus restera un lieu de rencontre sans perspectives”. Le verbatim apparaît contre-intuitif : dans la lettre de mission signée du premier ministre Edouard Philippe le 16 juillet 2019 et adressée à Michel Van Den Berghe, il est stipulé dans les attendus de la mission de préfiguration qu’ “il est indispensable que la valeur ajoutée de ce projet soit réelle et clairement identifiée, par rapport aux démarches existantes ou envisagées par ailleurs”. Aurait-on construit un cadre (“un catalyseur”) sans consistance ni projection ?

Déjà en mai 2020, aux prémices du projet, Bernard Barbier écrivait sur LinkedIn : “Le projet actuel de Cyber Campus à la française […], me semble très différent de [l’]objectif de création d’un centre d’innovation et d’incubation. Il va réunir essentiellement des sociétés de service (MSP) pour créer une animation commune, un CERT partagé, des formations communes, mais où sera le centre d’expertise technologique, mais où sera la recherche académique [?] Ces deux ingrédients sont essentiels pour construire le futur.” Bernard Barbier prend en exemple dans sa publication le modèle du Campus Cyber britannique de Cheltenham qui répond selon lui à ces enjeux d’innovation, notamment au travers d’une proximité entre le Campus britannique et le GCHQ, la recherche académique et les entreprises et startups.

En faisant la liste des quelques 180 participants du Campus Cyber français, on constate que plus d’un quart sont des sociétés qui ont une forte dimension conseil. Il serait intéressant de sonder les décideurs de ces structures pour comprendre s’il y a une projection réelle dans le projet Campus au-delà de la recherche d’argument marketing que constitue la participation à un projet vu comme précurseur et d’envergure nationale. Ces entreprises contribuent assurément au bilan financier positif du campus, mais constituent-elles un terreau suffisamment productif pour répondre aux ambitions d’innovation ? De l’extérieur, l’image renvoyée aujourd’hui par le Campus tend plus vers celle du melting-pot désordonné malgré les afterworks, cocktails dînatoires et publications LinkedIn incantatoires. Certains semblent d’ailleurs s’émouvoir en coulisse que leur participation au projet Campus ne constitue pas un argument décisif pour être sélectionnés comme prestataire de l’état dans un gros appel d’offre en lien avec la cybersécurité de ministères, comme une illustration de velléités divergentes entre la création de valeur et l’achat d’une image cybersécurité à des fins marketing.

D’un point de vue immobilier (coeur du projet, puisqu’il repose sur la location d’espaces aux entités participantes), on observe un désalignement avec les objectifs d’innovation. Aucun espace n’a été alloué à de jeunes entreprises innovantes qui ne pourraient s’offrir un loyer bien supérieur au marché actuel de la Défense [2], et l’aménagement réalisé n’offre pas suffisamment d’options de confidentialité aux membres qui ne disposent pas d’un espace fermé (ce qui est le cas de la plupart des grandes entreprises non offreuses en cybersécurité).

Notons néanmoins l’existence du Programme de Transfert au Campus Cyber piloté par l’INRIA et opéré au Campus qui “soutient le développement d’une dynamique de transfert de compétences et de technologies entre les acteurs de la recherche publique et les entreprises de la cybersécurité” qui peut-être joue ce rôle de pivot avec la recherche académique, et dont il est certainement trop tôt pour tirer des conclusions après un lancement en 2023.

Alors qu’il s’était engagé dans un mandat de présidence jusqu’à fin 2025 devant le conseil d’administration du campus, alors qu’aucune transition vers un successeur n’était validée, alors qu’un travail de prospective stratégique venait à peine d’être initié en urgence suite à la dernière Assemblée Générale [3], le capitaine quitte un navire sur lequel ses talents de commercial ont permis de faire embarquer tout un écosystème désormais associé, aux sens propre et figuré, à un voyage sans destination établie.

Trop de cyber abîme la cyber ?

Machine à cash depuis de nombreuses années, la cybersécurité a attiré de nombreux acteurs dans son sillage, des pure-players aux sociétés de services de diverses horizons. Il y a eu, et il y a toujours un vrai besoin d’expertise dans le secteur. Mais, dans un monde où souvent les aspects marketing et commerciaux dévoient la finalité de la matière au profit d’une hyper-communication de façade, et lorsque les impulsions règlementaires semblent parfois pousser vers une logique de conformité sans envergure, peut-être que le marché de la cybersécurité s’est abîmé tout seul dans un entre-soi d’initiés persuadés d’une valeur ajoutée absolue qui laisse parfois dubitatif. Le Campus Cyber n’est-il alors que le prolongement d’une bulle cybersécurité qu’il contribue à entretenir ? Peut-être qu’en prenant le raccourci de faire de la cybersécurité parce qu’il s’agit d’un secteur bankable et d’avenir, on a oublié de poser collectivement les fondations d’un modèle français pérenne de la cybersécurité. Et pourtant, comme rappelé dans la lettre de mission de préfiguration : la France “dispose d’acteurs industriels de premier plan, de startups, petites et moyennes entreprises innovantes et d’une recherche dynamique”.

Sur l’aspect éducatif, pour répondre à la croissance jusque là insatiable du secteur, des formations en cybersécurité ont fleuri et les “talents” en cybersécurité sont chaque année plus nombreux. On peut cependant s’interroger sur certains parcours éducatifs qui semblent peu exigeants et qui promettent une expertise en sortie : le risque que ces lauréats soient cantonnés à devenir une chaire à canon pour sociétés de services avec des niveaux de production proche d’un ChatGPT doit être perçu, avec ses conséquences humaines sur le long terme. Plutôt que de vouloir former à tout prix des experts cybersécurité dans un secteur boulimique parfois peu regardant, il serait bon de ne pas oublier et de valoriser les autres métiers de l’informatique tels qu’administrateur système ou développeur… en intégrant bien sûr la cybersécurité dans le parcours.

La contraction du marché économique va accroître décisivement le besoin pour l’ensemble des acteurs en cybersécurité de produire et de démontrer une valeur intrinsèque, et qu’elle soit perçue comme telle par le marché. C’est bien ce qu’ont réalisé toutes les startups cyber françaises qui se sont faites rachetées ces dernières années, particulièrement par des capitaux américains rappelant à cette occasion combien l’écosystème français est fertile en cybersécurité. A l’inverse, on ne questionne pas suffisamment en cybersécurité la valeur de la gouvernance, du conseil et de l’audit. Il faudrait alors s’accorder sur une première base : quelle valeur intrinsèque et durable veut-on créer sur le thème de la cybersécurité ?

La souveraineté, mot valise diffus sans consistance ni incarnation

Un des fondamentaux de la cybersécurité est la protection des données. “L’éléphant au milieu de la pièce” quand on évoque la cybersécurité en France reste l’hyper-dépendance aux fournisseurs américains de services informatiques en nuage. Ce sujet étant fondamentalement dense, prenons un exemple illustratif naïf : celui des serveurs de messagerie des participants du Campus Cyber. Avec deux lignes de script, on dénombre sans trop de retouches que plus de 60% des acteurs, dont des industriels de premier plan, ont confié la gestion de leurs courriels à une entreprise américaine. Ce choix peut être justifié de nombreuses façons, il est cependant représentatif d’une colonisation numérique d’un écosystème qui entend être souverain (au moins pour partie puisque le Campus est ouvert aux acteurs non nationaux). Qu’importe le RGPD, faut-il rappeler que ces données traitées sont soumises à la juridiction américaine ?

L’hégémonie numérique américaine ne sera jamais concurrencée sans initiatives structurantes et coordonnées de création de produits (incluant les produits Software As A Service). Ici se dessine peut-être l’échec, à terme, d’une approche “tout cybersécurité” telle que semble être celle du Campus Cyber, qui n’est pas celle du modèle britannique ou israélien : en sécurisant les services en nuages américains qui hébergent ou traitent des données, n’est-ce pas in fine pour ces acteurs extra-européens que l’on crée de la valeur ? En construisant des solutions de sécurité qui reposent sur leur écosystème technologique, en identifiant des vulnérabilités sur leurs produits, en détectant des attaques sur leurs infrastructures, en alimentant leurs jeux de données pour entraîner leurs modèles d’IA : qui est le vrai bénéficiaire final ? Se positionner en vassal de grandes nations cyber peut certainement être une stratégie viable, mais faire de la souveraineté un objectif stratégique dans ces conditions relève au mieux de l’illusion, au pire du mensonge. C’est probablement ici que doit commencer la remise en question sur la cybersécurité : en redonnant un sens aux mots, et en alignant les discours sur les actes, sans artifice de communication. Au-delà de la diffuse notion de souveraineté, l’enjeu de sécurité économique ne doit pas être oublié. Quelles entreprises prennent en compte dans leurs modèles de risques un quintuplement imprévu des coût de services suite à un bouleversement géopolitique ?

Pour créer une valeur partagée sur le long terme, ne vaudrait-il pas mieux repositionner la cybersécurité à sa juste place en support d’un projet ou d’un produit, plutôt que de faire de la cybersécurité une finalité ?


[1] “S’agissant du lieu, j’ai demandé à l’État qu’il prenne à sa charge le budget d’investissement afin que les industriels et surtout les start-up aient uniquement à payer un loyer” Par ailleurs, il est à noter que plusieurs entités gouvernementales louent des espaces au sein du campus cyber et contribuent ainsi à son budget. Il a par exemple été confirmé par plusieurs témoignages recueillis auprès d’agents que l’ANSSI n’avait initialement pas de besoins de locaux complémentaires en région parisienne, et que l’espace actuel est sous-utilisé comme bureau de représentation et espace de formation, le bâtiment n’étant pas aux normes pour accueillir des activités opérationnelles.

[2] L’accélérateur de startup Cyber Booster, dédié au secteur, opère bien depuis le Campus mais n’offre pas à ses lauréats des possibilités d’hébergement.

[3] L’assemblée Générale de 2024 a décidé le lancement d’une démarche de “Stratégie horizon 2030 du Campus Cyber”. Des questionnaires ont été envoyés par courriel (“Questionnaire - Démarche Stratégie 2030 Campus Cyber x Etat”) aux membres et résidents fin d’été 2024, avec une échéance au 12 septembre 2024, pour recueillir leur vision. En plein période de rentrée de septembre, l’initiative interroge et suggère une certaine forme de précipitation.

Photo d’illustration: Jo Kassis sur la plateforme Unsplash

Share: Twitter Facebook
Transparence & Ethique Cyber's Picture

About Transparence & Ethique Cyber

‘Transparence & Ethique Cyber’ est un collectif qui porte une voix : celle de la transparence et de l’éthique, sans compromis.