« On ne peut pas innover en vase clos. » Vasco Gomes est formel : pour faire de la R&D en cybersécurité, il faut collaborer. Le CTO Cybersécurité des produits et des offres de sécurité numérique d’Atos vante l’intérêt de fonctionner en écosystème, où chacun a son rôle à jouer. « Nous sommes tous orientés vers la protection de notre économie. On a le même objectif, on sait s’entendre là-dessus. »
À commencer par la recherche académique, nourrie par les mathématiciens de haut vol qu’abrite la France. « Elle apporte des principes théoriques qui vont se retrouver dans les produits 5 ans après », décrit Jérôme Warot, vice-président Europe du Sud TAM de l’éditeur Tanium. Rien qu’au Centre national de la recherche scientifique (CNRS), plus de 200 chercheurs planchent sur des techniques variées. Analyse morphologique du code, protocoles de sécurité pour le sans-contact ou preuves de sécurité universelles sont à l’étude. Sur ce point, l’Europe s’en sort d’ailleurs avec les honneurs. « L’exemple du quantique est parlant : on a l’impression que tout se passe en Chine ou aux États-Unis. C’est peut-être vrai pour la partie technologique. Mais en matière de recherche fondamentale, l’Europe est en tête », souligne Vasco Gomes.
Aux éditeurs de logiciel de se saisir ensuite de ces avancées académiques pour les traduire dans leurs produits. « Les PME et les industriels vont concrétiser ces travaux dans des outils que leurs clients pourront utiliser », note Vasco Gomes. L’intelligence générative ChatGPT est un véritable cas d’école pour représenter ces liens entre recherche publique et entreprises privées. « Ce sujet est traité depuis longtemps par les chercheurs. Mais c’est une entreprise qui a démocratisé la technologie », analyse Jérôme Warot. Les clients des éditeurs ont eux aussi leur rôle à jouer, en donnant l’occasion aux industriels de multiplier les cas d’usage.
Des compétences complémentaires
Dans un univers aussi concurrentiel que celui des solutions de cybersécurité, la collaboration pourrait ne pas aller d’elle-même. Et pourtant. « La cybersécurité nécessite une certaine rigueur que l’on retrouve aussi chez les chercheurs académiques. Ou chez les militaires, qui constituent des profils très intéressants pour la cybersécurité », observe Vasco Gomes. Mettre en commun les compétences des uns et des autres permet aussi, dans une moindre mesure, d’optimiser les ressources humaines, si rares dans ce marché où sévit la pénurie. « L’avantage de l’open innovation, c’est que des groupes qui ont davantage de bande passante pourront s’occuper d’un problème auquel une PME ne pourra pas forcément s’attaquer dans l’immédiat », note le CTO d’Atos.
Une complémentarité de moyens mais aussi de points de vue qui bénéficie in fine à l’ensemble de l’écosystème. « Les clients réfléchissent de manière humaine, dans le cadre biaisé de ce qu’ils connaissent déjà », note Vasco Gomes. Assembler plusieurs de ces cadres permet ainsi d’élargir le champ des possibles.
« Si un éditeur est très présent en Europe et aux États-Unis et qu’un autre est plutôt en Afrique et en Asie, ils observeront différents types de malwares. Chacun aura ses biais mais ensemble, ils auront une image globale de la menace. »
Samuel Hassine, président de Filigran
Corollaire à la complémentarité, la notion de réciprocité incite aussi l’ensemble des acteurs à (ré)internaliser des compétences en cybersécurité. « Le secteur se structure autour de cercles d’échanges, dans lesquels chacun doit contribuer », explique Samuel Hassine, CEO et co-fondateur de la start-up Filigran, récemment primée par le FIC et spécialisée dans le développement de plateformes open source. « Or certaines entreprises qui ont tout externalisé ne peuvent pas repartager de connaissances alors qu’elles bénéficient de celles des autres membres. Pour éviter d’être mal vues, elles se posent la question de disposer d’un minimum de capacités de production de connaissances en interne. »
Miser sur l’interopérabilité
Alors, les vertus de la collaboration font-elles de la cybersécurité un eldorado pour la recherche ? Pas tout à fait, le secteur se heurtant à quelques contraintes spécifiques. D’abord, celle du manque de standards. « Il n’existe pas de standard clair pour l’interopérabilité des systèmes, regrette Vasco Gomes. S’il n’existe pas de manière pour que les solutions communiquent entre elles, il n’est pas possible de collaborer. Or, on le sait, la chaîne de cybersécurité est au même niveau que son maillon le plus faible. » L’Europe y travaille, par le biais de l’Agence européenne pour la cybersécurité (Enisa). « Des standards clairs et sécurisés apportent de la cohérence et contribuent à établir la confiance entre les industriels, les développeurs et les clients pour davantage d’efficacité dans les communications numériques et les autres produits et services qui ont un impact sur la cybersécurité », souligne l’agence pour rappeler son engagement à mettre en place davantage de standards.
Enfin, la démultiplication des menaces alors que les profils experts en cybersécurité se font rares pèse lourd sur la capacité des industriels du secteur à innover. Les profils en poste n’ont que trop peu de « temps de cerveau disponible » à consacrer au sujet. Ce qui pose la question des minima de cybersécurité en vigueur dans les produits qui arrivent quotidiennement sur le marché. « On devrait investir dans des systèmes qui permettent de relever globalement le niveau de cybersécurité, suggère Jérôme Warot. Travailler en amont sur les produits pour qu’ils présentent moins de vulnérabilités permettrait aux ressources R&D de se focaliser sur des problèmes fondamentaux. »
