OPINION. « Quand la cybersécurité de l’Europe se prive de ses propres forces »

L’un est président d’un cluster stratégique consacrée à la cybersécurité et fondateur de la cyberdéfense des Armées. L’autre est dirigeant d’une entreprise française de cybersécurité, en première ligne face aux réalités du marché, tant en Europe qu’au grand export. Tous deux partagent un même constat : les entreprises européennes de cybersécurité innovent, protègent, forment, créent des emplois, et contribuent activement à la résilience numérique mondiale ainsi qu’à la richesse nationale. Mais elles avancent à contre-courant.

Alors qu’elles respectent des exigences plus élevées que leurs concurrents non-souverains et en particulier américains, reflet de nos valeurs européennes, nos entreprises restent encore trop peu soutenues sur leur propre territoire. Il existe de nombreux dispositifs d’aide à l’innovation, mais le premier enjeu d’un entrepreneur est de gagner des marchés et de développer son entreprise et son chiffre d’affaires.

« Nous avons atteint le point où, si nous n’agissons pas, nous devrons compromettre notre bien-être, notre environnement ou notre liberté », alerte Mario Draghi lors de sa présentation du rapport sur l’avenir de la compétitivité européenne.

C’est une réalité que les décideurs économiques doivent regarder en face : la dynamique actuelle du marché de la cybersécurité affaiblit notre capacité collective à bâtir une souveraineté numérique solide. Or celle-ci suppose une sécurité maîtrisée, non déléguée à des acteurs dont le comportement devient de plus en plus imprévisible, comme l’illustre l’évolution du contexte mondial depuis 2014, récemment encore accélérée. Cette maîtrise constitue le socle de la résilience de nos infrastructures, de la protection de nos données et de la défense de nos intérêts stratégiques, à un moment où les tensions géopolitiques rendent ces enjeux plus cruciaux que jamais.

L’autonomie stratégique européenne en matière de défense passe aussi par une cyberdéfense autonome et robuste.

Une course à deux vitesses

Nos acteurs en cybersécurité ne manquent pas d’ambition ni de talent, mais ils doivent innover dans un cadre que d’autres n’ont pas. Conformité réglementaire (RGPD, NIS 2…), obligations de transparence, exigences RSE… Ils avancent avec rigueur et responsabilité, ce qui exige de redoubler d’efforts pour rester dans la course.

Ces règlementations apportent des avancées positives évidentes, mais pendant ce temps, les géants américains progressent à pleine vitesse portés par un contexte bien plus permissif, un marché domestique protégé et des capitaux importants. Ils captent une part massive du marché européen, tout en bénéficiant d’avantages fiscaux dans plusieurs États membres et d’une puissance marketing, commerciale et d’influence écrasante.

Un marché public encore frileux

Des parlementaires ne manquent pas de le rappeler : aucun champion technologique ne s’est construit sans appui de la commande publique et sans règlementation adaptée. Pourtant, aujourd’hui, les marchés publics intègrent très peu de critères souverains dans leurs appels d’offres.

Pourquoi ne pas appliquer à la souveraineté numérique ce que nous faisons déjà pour les critères environnementaux ou sociaux ? Ajouter des points aux solutions européennes, exiger un hébergement dont la gestion des données est soumise uniquement aux règles européennes, ou une conformité RGPD réelle, c’est possible, sans renoncer à la performance et à la compétitivité.

L’innovation responsable, un choix européen

La protection de la vie privée, l’éthique dans l’IA, la résilience des chaînes d’approvisionnement et la responsabilité environnementale ne sont pas des freins à l’innovation. Ce sont les fondations sur lesquelles elle doit reposer à long terme.

Les entreprises européennes ont choisi de s’y engager pleinement. Elles construisent un modèle technologique exigeant, aligné avec les valeurs européennes et les attentes sociétales. Ce choix mérite d’être reconnu, soutenu et valorisé.

L’Europe a les solutions, encore faut-il les choisir

On entend souvent que les solutions américaines sont plus avancées. C’est faux. Elles sont souvent mieux financées, mieux présentées, mieux valorisées par des agences de notation majoritairement américaines, ce qui contribue à entretenir l’idée d’une supériorité technologique, sans pour autant la démontrer.

Et pourtant, même au sommet de nos grandes entreprises, ce récit persiste. Le dirigeant d’un groupe du CAC40 suggérait récemment que l’Europe n’est pas à la hauteur sur la cybersécurité. Ce discours, trop souvent répété, alimente une défiance injustifiée envers nos propres solutions, alors même qu’elles respectent des standards plus élevés de responsabilité.

La réalité, c’est que les solutions américaines bénéficient d’un écosystème mature : elles sont souvent le fruit de rachats de startups innovantes, rapidement intégrées, bien commercialisées et recommandées. En Europe, cette capacité de consolidation fait défaut car nos entreprises sont encore trop petites. Il est donc nécessaire que certaines d’entre elles atteignent une taille critique, et pour cela, elles s’appuieront sur leur chiffre d’affaires pour autant que nous leur fassions confiance ! Dans l’immédiat, nos intégrateurs jouent un rôle clé : ils bâtissent des offres packagées pertinentes, qu’ils sont capables de déployer et de maintenir avec efficacité.

L’Europe dispose d’un écosystème cyber innovant de très haut niveau, de dispositifs puissants, et d’un vivier de talents reconnu. Ce qui lui manque ? De la confiance, des contrats, une mobilisation à la hauteur des enjeux ! Trop souvent encore, nos grands groupes et administrations publiques choisissent des solutions américaines, contribuant à leur enrichissement, plutôt que de soutenir la croissance de l’écosystème européen. Ce réflexe affaiblit notre tissu industriel, freine l’émergence de géants européens et fragilise notre souveraineté numérique.

Notre appel

Nous ne demandons pas de passe-droit. Nous demandons des règles équilibrées. Et que les entreprises européennes qui jouent tout à la fois le jeu de l’excellence technologique, du respect des réglementations, et de la souveraineté, puissent compter sur un soutien réel des grands donneurs d’ordre publics et privés.

La souveraineté numérique incarne le respect des valeurs européennes dans un monde incertain où la loi du plus fort semble balayer tous les enseignements des confrontations sanglantes du siècle dernier. Elle dépasse les seules logiques économiques : c’est une question de communauté de destin pour les nations européennes, et c’est précisément là que le terme souveraineté prend tout son sens.

Cela recouvre plusieurs dimensions : un cadre juridique exclusivement européen, notamment en matière de données et d’intelligence artificielle ; un ancrage clair avec un siège et des dirigeants basés en Europe ; une transparence sur l’origine des technologies utilisées ; et enfin, un cadre éthique exigeant, appuyé par des engagements sociétaux concrets, notamment en matière de RSE et d’inclusion.

• L’Union européenne à mettre en place un label puis une certification « EU certified ». — Les acheteurs publics européens à inclure la souveraineté numérique comme critère de sélection.
• Les décideurs des grandes entreprises européennes à prendre leur part de responsabilité en choisissant des solutions souveraines et en soutenant activement leur croissance. — Les intégrateurs et les cabinets de conseil européens à proposer systématiquement une alternative européenne lorsqu’elle existe.
• Et enfin les responsables politiques européens à accélérer la mise en œuvre du Cyber Resilience Act, pour faire de la conformité une force concurrentielle, et non un handicap.

L’Europe dispose de solutions robustes, efficaces et engagées. Il est temps de leur donner le terrain de jeu qu’elles méritent.

(*) Arnaud  Coustillière, Vice-amiral d’escadre (2S) président du Pôle d’Excellence Cyber et ancien Comcyber et Clément Saad, CEO et cofondateur de Pradeo, entreprise française de cybersécurité.

Arnaud  Coustillière et Clément Saad (*)