Je suis ravi d'être auditionné avec M. Stéphane Volant et avec le CDSE. En effet, nous considérons aussi que, pour rebâtir cette souveraineté et changer notre modèle, qui appauvrit visiblement cette souveraineté, il convient de commencer par associer les utilisateurs, qui sont les bénéficiaires, aux innovateurs, qui inventent des produits, des services et des modèles nouveaux. Telle est la thèse qui nous a conduits à rédiger ce manifeste. Nous assistons à une répétition de l'histoire, qui consiste à réutiliser en permanence des organismes et des organisations déjà existantes et à utiliser un modèle arrêté entre les grandes organisations et l'État. Ce modèle est à bout de souffle. Nous proposons un modèle de reconstruction différent, dans un domaine qui nous a échappé.
Je suis à la tête d'une organisation, HEXATRUST, qui regroupe un certain nombre d'organisations, telles que des start-up, des PME et des ETI spécialisées dans la cybersécurité, le cloud de confiance et la mise en œuvre d'un environnement numérique de confiance. C'est sur cette base que j'avais lancé le forum international de la cybercriminalité à Lille, il y a deux ans.
En matière de numérique, nous sommes aujourd'hui ballottés entre deux mondes, pour reprendre la formule d'Eric Schmidt, le patron de Google à l'époque. Nous sommes ballottés entre un monde numérique chinois organisé au bénéfice des organisations gouvernementales et du système chinois, et le reste du monde emmené par les Américains. Une opportunité historique se présente à nous, celle de créer le numérique de confiance, c'est-à-dire un environnement numérique éthique, protecteur des données personnelles, et garantissant les critères de liberté, d'autonomie et donc de souveraineté.
Ce numérique doit s'imposer dans un environnement qui n'est pas le nôtre, puisque nous utilisons un numérique essentiellement américain, en tant qu'alliés des États-Unis. Les clouds sont presque tous américains et les moteurs de recherche Internet sont tous américains. Cet environnement est certes hostile au départ, mais, à terme, le numérique de confiance, qui sera un numérique RGPD respectant toutes les réglementations européennes et nos règles démocratiques, intéressera le monde entier et comptera beaucoup plus d'utilisateurs que les GAFAM d'aujourd'hui, si nous sommes capables de tenir sur ce registre et de le mettre en œuvre.
Le deuxième aspect s'appuie sur un constat. Certes, nous avons perdu la bataille des GAFAM. Le monde de la technologie de l'information (IT) compte aujourd'hui un grand nombre de start-up et d'entreprises ayant quantité d'utilisateurs présents sur les réseaux sociaux. Nous avons des difficultés à maîtriser ces derniers, qui bousculent nos règles et influent même sur nos processus démocratiques. Je pense que cette bataille n'est pas le combat du moment. La bataille que nous devons mener est celle de l'industrie 4.0, c'est-à-dire de l'industrie du futur, mais aussi celle de la modernisation de nos gouvernements, de nos hôpitaux et de nos systèmes de santé – demain, la santé sera numérique. La bataille concerne aussi la modernisation de nos villes avec l'émergence des Smart Cities et des Smart territoires, et tout ce qui permettra l'accès pour tous au numérique et la mise en place de l'Internet des objets.
Pour tous ces aspects, qui n'en sont qu'à leurs prémices, nous avons besoin de plateformes et de systèmes numériques qui soient, à la fois, fiables, robustes et dans lesquels la protection des données est essentielle. Il s'agit de l'actif du futur et de ce qui va venir alimenter les algorithmes d'intelligence artificielle qui nous permettront d'augmenter le bonheur et l'utilité du numérique dans nos vies. La bataille se situe sur ce terrain.
Tout notre enjeu, en tant que professionnels de la cybersécurité, professionnels de l'Internet de confiance, mais aussi PME, start-up ou ETI françaises, luxembourgeoises ou allemandes, est de faire en sorte que ce numérique voie le jour.
Pour ce faire, il est essentiel de mettre en place une stratégie d'exécution. En effet, l'une des raisons essentielles pour lesquelles nous sommes perdants dans la bataille numérique 1.0 (ou numérique des pionniers) est que nous n'y avons pas cru. Nous n'avons pas vu venir le changement. Nous avons considéré l'IT et le numérique comme relevant des start-up, de l'innovation, de préoccupations lointaines et annexes. Ce domaine est en réalité devenu une industrie dans laquelle des pays, tels que les États-Unis et la Chine, se sont mobilisés et ont investi massivement, en utilisant leurs organismes publics et leurs ministères de la Défense. Ces pays ont également recouru à une forme de protectionnisme et de soutien auprès de leurs start-up en leur apportant des financements et des commandes, dès le départ, afin de les massifier et d'en faire des géants mondiaux. Ces financements ont été relayés par une bourse alimentée par des fonds de pension. Ces derniers ont les moyens de financer les phases ultérieures de croissance de ces start-up et de ces PME.
Il est ainsi essentiel de massifier et de fluidifier le marché européen, afin que nos entreprises, nos PME et nos start-up puissent avoir accès plus rapidement au marché des utilisateurs. Sur tous les marchés et les domaines sensibles, nous devons prêter une attention particulière aux solutions dans lesquelles nous hébergeons des données, des systèmes et des applications, ainsi qu'aux solutions de contrôle et de protection que nous mettons en place. Nous devons vérifier que les solutions utilisées dans ces domaines sont certifiées par les organismes européens.
Dans notre manifeste, nous avons énoncé cinq grandes mesures.
La première est de mener un plan d'équipement massif dans un certain nombre de domaines, qui ont été oubliés dans la transformation numérique. La pandémie que nous traversons met en lumière le fossé qui existe entre les privilégiés du numérique et un certain nombre de PME, ETI, artisans, professions libérales, commerçants, mais aussi tout un nombre d'organisations publiques de santé et de collectivités locales, qui ne sont pas équipés comme il se doit. Nous pensons qu'il faut mettre en place des plans d'équipement, voire utiliser des fonds structurels pour permettre à des groupements d'utilisateurs de bénéficier d'une aide à l'équipement de produits numériques, de cybersécurité et d'hébergement.
La deuxième mesure consiste à flécher au maximum tout argent public dépensé dans les relances, dans les plans stratégiques européens ou dans les plans d'équipement, afin que cet argent revienne en priorité à nos entreprises et à nos industries. Il doit permettre aux PME, start-up et ETI de se transformer en entreprises de taille intermédiaire et en futures grandes entreprises, en industrie de la cybersécurité, du cloud et du numérique. Nous pensons qu'il faut flécher une grosse partie de ces investissements vers les PME, comme cela a été fait après la Seconde Guerre Mondiale aux États-Unis, avec le Small Business Act. Il nous faudrait un Buy European Act. Nous allons travailler avec l'association France Digitale pour avancer sur ces sujets. C'est aujourd'hui qu'il faut le faire, compte tenu de tout l'investissement prévu dans la modernisation et la transformation digitale.
Le troisième aspect est de construire une Europe de la Cybersécurité. Nous avons besoin d'aborder le sujet à l'échelle européenne. Il est plus que jamais intéressant de construire un territoire numérique de confiance capable de fédérer l'ensemble des Européens. Il sera plus difficile de fédérer les Européens dans la vraie vie, parce que nos pays ont tous une souveraineté très importante. Mais en matière de numérique, il n'existe pas de souveraineté dans nos pays. L'Europe n'a pas d'existence propre dans le monde du numérique. C'est le moment ou jamais de réunir les Européens sur un sujet essentiel, qui est le numérique de confiance.
Nous pensons qu'il est urgent d'avoir une stratégie au niveau européen, de nous doter d'un ministère de l'industrie européen. Il s'agit d'investir massivement dans des solutions de financement en Europe pour permettre à nos entreprises et à nos industries de se développer. Il s'agit aussi d'encourager GAIA-X à faire émerger des start-up, des innovateurs, des PME et des projets de recherche, qui permettront de faire jaillir autre chose que des GAFAM, c'est-à-dire de nouvelles organisations basées sur ce numérique de confiance.
La quatrième mesure est de financer les ETI, les PME et les start-up de croissance. Cet aspect est essentiel. Arrêtons de croire que nous allons changer le monde en investissant de l'argent dans les grandes entreprises. Si nous réservons de l'argent aux PME, start-up et ETI, et si leurs propositions de valeur séduit les utilisateurs, alors nous parviendrons à attirer les grands intégrateurs, les grands financeurs et les grandes banques. Le cercle vertueux fonctionnera, puisque nous créerons de nouveaux besoins et de nouveaux marchés. À cette création de valeur, succède un ruissellement. Nous avons pris ce ruissellement à l'envers. Il doit commencer par les petits, qui seront ensuite aidés par les grands pour passer à l'échelle supérieure. Le fait de financer les PME et les ETI implique de mettre des moyens à la Banque européenne d'investissement, afin que nous y ayons accès.
S'agissant d'une PME comme Wallix, la société que je dirige, la Banque européenne d'investissement propose de l'aide, ce qui est un point positif. Mais quand nous demandons cette aide, nous nous trouvons avec des taux de prêts allant de 13 % à 17 % par an. C'est prohibitif. Ainsi, les solutions de financement existent, mais elles sont inaccessibles aux PME et aux ETI. Il faut par conséquent changer les mentalités. Aujourd'hui, une entreprise comme Thales peut emprunter à 1 % ou à 3 %. Nous devons être en mesure de le faire également. Il faut de grands fonds d'investissement permettant aux investisseurs qui sortent au fur et à mesure de nos entreprises de ne pas avoir à revendre systématiquement l'entreprise à un fonds américain ou à un grand industriel américain, qui pourra, quant à lui, payer la juste valeur pour les entrepreneurs.
À noter que la revente de la société Alcide, une pépite de la cybersécurité, a été annoncée hier pour 98 millions de dollars. Nous ne pouvons pas acheter ces entreprises en Europe si nous n'avons pas les solutions de financement pour le faire.
Enfin, le cinquième aspect concerne l'assurance. Les réglementations ont permis de faire émerger le RGPD. Nous sommes en train de mettre en place NIS 2, qui viendra moderniser la directive NIS (Network and Information Security) pour l'étendre à d'autres entreprises. Le Règlement général sur la protection des données est structurant pour l'Europe et pour notre démocratie. Le problème est que beaucoup de gens ne sont pas en mesure de se défendre ou de mettre en application cette protection des données dans leur organisation. Par conséquent, il faut étendre la responsabilité civile à la cybersécurité et à la protection des données, afin que même les plus petites organisations, les entrepreneurs individuels et les TPE, puissent avoir accès à la protection des données et à la protection cyber.