Intervention de Michel Van Den Berghe

Le premier grand point est celui de la souveraineté, qui consiste à maîtriser ses données et ses équipements informatiques, ce qui est particulièrement compliqué dans le contexte international des entreprises, pour deux raisons. La première est qu'une grande partie des solutions utilisées ne sont pas françaises et souveraines. Par ailleurs, si l'on prend l'exemple du chiffrement, chaque pays possède ses propres normes, ce qui complique le partage des données. Nous insistons également beaucoup sur le fait que pour que les entreprises choisissent des solutions souveraines, il convient de porter ces dernières au moins au niveau des solutions américaines par exemple, afin qu'il n'y ait pas de freins à leur adoption.

C'est ce que nous voulons faire avec Orange Cyberdéfense : nous essayons de construire un leader européen, de nationalité européenne, si je puis dire, en expliquant aux grands clients internationaux qu'à expertise égale, ils ont le choix de confier le traitement de leurs données sensibles à un acteur européen.

Le Campus Cyber est un projet à l'initiative du président de la République. J'ai reçu une lettre de mission du Premier ministre en juillet 2019, me demandant d'examiner si l'écosystème français était prêt à se rassembler autour d'un seul lieu pour coopérer et partager les différentes informations dont il dispose, afin d'élever le niveau de cybersécurité de la nation et la protection des entreprises françaises.

J'ai remis un rapport au Premier ministre en janvier 2020, intitulé Fédérer et faire rayonner l'écosystème de la cybersécurité, et que vous pouvez retrouver sur le site de l'agence nationale de la sécurité des systèmes d'information (ANSSI). Nous avions interrogé une quarantaine d'entreprises pour leur demander si elles étaient prêtes à venir travailler ensemble dans un même lieu, malgré leurs relations de concurrence. Nous avons également visité une dizaine de campus dans le monde (à Beer-Sheva en Israël, Skolkovo en Russie et New York), avons fait travailler les ambassades pour savoir ce qu'il se passait dans les différents pays.

On m'a demandé d'opérationnaliser ce Campus Cyber. En septembre 2020, le président de la République a acté deux décisions. La première est le lieu, qui sera La Défense, car 90 % des entreprises qui ont accepté de venir travailler dans cette structure ont demandé qu'elle soit localisée dans Paris intra-muros ou en très proche banlieue. Par ailleurs, la gouvernance de ce Campus Cyber sera réalisée par une société par actions simplifiée (SAS), détenue à 51 % par le privé et à 49 % par des capitaux publics.

Le président de la République a dévoilé, il y a à peu près un mois, le plan d'accélération cyber, auquel j'ai participé, annoncé ce Campus Cyber et les moyens qui lui seront donnés.

Nous finalisons en ce moment la phase de capitalisation privée : une soixantaine d'entreprises entreront au capital de cette SAS jusqu'au 15 avril. Nous espérons faire entrer environ 3,5 millions d'euros dans cette entreprise, avec un actionnariat qui sera représentatif de la mixité des différentes sociétés : il y aura de très grandes entreprises du CAC 40 et du SBF 120, les grands acteurs de la cybersécurité, mais également des petites et moyennes entreprises (PME), des entreprises de taille intermédiaire (ETI) et même des start-up et associations. Les tickets d'actionnariat sont de 100 000 euros pour les grandes entreprises, 30 000 euros pour les PME et 10 000 euros pour les toutes petites entreprises et les associations. L'État, par l'intermédiaire de l'agence des participations de l'État (APE), abondera pour entrer au capital à hauteur de 49 % de l'ensemble.

Nous créons un campus regroupant quatre grands écosystèmes, ce qui est unique dans le monde. Les entreprises déporteront une partie de leurs activités dans le Campus Cyber, pour qu'il s'agisse d'un lieu opérationnel où des gens travailleront au quotidien. Elles sont incitées à y installer des équipes, qui ont tout intérêt à partager avec d'autres équipes, y compris lorsqu'elles appartiennent à des concurrents. L'exemple que je prends souvent est celui du village d'Astérix : les gens se disputent un peu sur le territoire, mais lorsque des ennemis viennent les attaquer, ils se rassemblent, prennent un peu de potion magique et luttent contre les pirates. Dans Astérix, comme vous le savez, les pirates se sabordent eux-mêmes quand ils voient arriver les Gaulois. C'est l'objectif que nous poursuivons. 2 000 personnes travailleront sur ce Campus Cyber. Nous avons déjà pré-vendu 1 900 postes. De nombreuses entreprises viendront positionner une partie de leurs troupes.

Le deuxième point est la recherche et l'innovation. La France est extrêmement performante en matière de cybersécurité. L'objectif de la structure est d'offrir un lieu permettant de continuer à être très innovant, et surtout d'industrialiser les innovations lorsque cela a du sens. La proximité avec les grands industriels aidera à accélérer les développements, qui pourront être mis à leurs catalogues. Nous créerons un laboratoire de recherche et d'innovation, des zones d'expérimentation et un espace d'amorçage et d'accélération de ce qui viendra de la recherche et de l'innovation.

La formation est également un sujet important. Nous souffrons d'un manque de ressources en cybersécurité. L'objectif est de rassembler plusieurs écoles pour pouvoir former plus de personnes dans le domaine : cinq à six écoles nous rejoindront. L'école pour l'informatique et les techniques avancées (EPITA) créera un bachelor dédié à la cybersécurité. Nous voulons également susciter des vocations. Nous ne manquons pas tant de formations, mais beaucoup de personnes pensent aujourd'hui que la cybersécurité est limitée à ce que nous voyons à la télévision, avec des geeks à capuche qui travaillent devant des écrans verts, alors que nous avons besoin de très nombreux talents pour nous accompagner.

La quatrième activité de ce Campus Cyber sera l'animation des projets communs. L'événementiel et les prestations en matière de cybersécurité seront réalisés sur ce Campus Cyber. Nous ne voulons pas constituer une galerie marchande ou un hôtel d'entreprises, mais faire en sorte qu'il y ait beaucoup de collaboration. 30 % d'espaces seront réservés par des acteurs privés, 15 % par des acteurs publics, 11 % seront dédiés à l'accélération (espaces « pépites », visant à aider les PME françaises à se développer, grâce à la proximité avec les grands acteurs internationaux ou les grands clients), 6 % à la formation et 35 % constitueront des espaces collaboratifs. Lorsque vous louez 10 mètres carrés d'espace personnel, on vous facture 13 mètres carrés, pour financer ces espaces collaboratifs.

L'augmentation de capital sera finalisée le 15 avril : l'entrée au capital de l'État par l'intermédiaire de l'agence des participations de l'État (APE) sera réalisée le 30 avril. Nous sommes également en train de finaliser la prise à bail avec le propriétaire de l'immeuble, qui devrait être effective le 30 avril, pour pouvoir démarrer l'agencement du Campus Cyber et lancer les groupes de travail afin de déterminer ce qui y sera fait.

En France, l'écosystème de la cybersécurité est très morcelé. On retrouve de grandes entreprises comme Orange Cyberdéfense, Atos, Capgemini, Thales, mais également une myriade de petites entreprises assez spécialisées. La grande difficulté est de trouver des ressources, de l'expertise dans ce domaine.

Des travaux ont été menés par l'ANSSI, qui a créé les opérateurs d'importance vitale (OIV), référencé un certain nombre de prestataires.

Les grandes entreprises commencent à avoir un niveau de sécurité leur permettant de se protéger contre certaines typologies d'attaques, ce qui n'est pas le cas des petites entreprises. Les ransomwares visant les hôpitaux, les administrations, les collectivités territoriales et les petites entreprises créent systématiquement des dommages très importants. Or, le métier de ces établissements n'est pas la cybersécurité. Nous devons trouver des solutions pour pouvoir les sécuriser de la façon la plus transparente possible, et amener de l'expertise chez eux. 66 % des PME qui sont touchées par un ransomware déposent le bilan. Je pense que les 30 % restant ont payé la rançon. Nous faisons un vrai constat d'échec sur la sécurisation des petites entreprises en France, qui nécessite une mobilisation pour les protéger au moins vis-à-vis des attaques basiques, du type des rançongiciels.