UECC25 : Quand le besoin de souveraineté se heurte à la réalité

Passer du discours à l’acte

« Tous ces discours permettent à ceux qui doivent prendre des décisions de ne pas prendre leurs responsabilités ».

Reprenant les chiffres du cabinet Asterès mandaté par le Cigref, le président d’Hexatrust a rappelé que 83 % des produits et services numériques achetés en Europe proviennent d’acteurs hors UE. Il a aussi cité Patrick Pouyanné, le PDG de TotalEnergies, qui expliquait lors du dernier Forum InCyber, le besoin de faire émerger des champions européens dans le numérique et de n’avoir plus qu’un seul régulateur pour les 27 pays de l’Union… « La question aujourd’hui n’est plus de savoir pourquoi nous le faisons, mais comment allons-nous faire un numérique plus résilient à court terme et plus responsable à long terme ? » 

Las du discours des décideurs qui expliquent que les solutions collaboratives françaises ou européennes ne sont pas au niveau de celle de Microsoft, qu’opter pour les solutions de cybersécurité française est un non-sens économique et que l’Europe a déjà perdu la partie sur l’IA et le cloud, Jean-Noël de Galzain assène : « tous ces discours permettent à ceux qui doivent prendre des décisions de ne pas prendre leurs responsabilités ».

La suite collaborative de la discorde

L’exemple de l’absence d’un champion européen sur les suites collaboratives pour contrer Microsoft 365 est particulièrement significatif. L’État a financé 3 consortiums via son plan France 2030 pour créer de tels champions en unifiant les offres françaises.

Pourtant le député Philippe Latombe (en photo en haut de cet article) s’est enflammé contre la stratégie de la DINUM : « concernant l’appel d’offres lancé par la DINUM il y a quelques semaines, la vraie question est si l’État doit systématiquement faire ou acheter ? Dans les derniers appels d’offres de la DINUM, il y a une volonté d’être accompagné pour faire à la place du secteur privé. Ce n’est pas l’esprit dans lequel doit se positionner l’État. Les startups d’État ne doivent pas être en concurrence avec le secteur privé ».

Alain Garnier, fondateur de Jamespot surenchérit : « nous sommes abasourdis par cette décision, car elle va à contre-courant complet du sens de l’histoire : la souveraineté numérique d’un côté, le rôle d’exemplarité de l’État, le fait que les achats publics permettent de faire grandir la filière. Les décideurs politiques le répètent à longueur de journée, mais lorsqu’il s’agit de passer à l’acte, la DINUM passe commande auprès d’ESN pour tout refaire ! »

Jamespot mène l’un des trois consortiums ayant remporté l’appel à projets France 2030 pour faire grandir sa suite et s’allier à d’autres éditeurs français afin de rivaliser avec le leader du marché.

« L’État finance d’un côté une filière en pleine croissance, prouvant qu’il y a des acteurs déjà positionnés. L’État va dans la bonne direction, mais des fonctionnaires décident de donner plusieurs centaines de millions d’euros pour développer du logiciel et jeter l’argent public par les fenêtres. C’est un vrai sujet ». Alain Garnier milite pour une approche open source, mais aussi basée sur les partenariats public/privé tels que le ZenDiS (Zentrum Digitale Souveränität), équivalent allemand de la DINUM, a mis en place, avec la volonté d’acheter des offres sur le marché et ne pas systématiquement les développer.

« Il y a une volonté politique affichée qui ne se traduit pas dans les appels d’offres et dans l’exécution. Nous avons un vrai problème […] du pouvoir d’un ministre sur son administration. »

Le député Latombe ajoute : « il y a une volonté politique affichée qui ne se traduit pas dans les appels d’offres et dans l’exécution. Nous avons un vrai problème de pouvoir politique, du pouvoir d’un ministre sur son administration. Pour prendre l’exemple du ministère de l’Éducation nationale, quasiment le même jour le ministère a envoyé un courrier à tous les recteurs pour leur rappeler qu’il faut promouvoir des solutions agnostiques dans chacun des rectorats, c’est-à-dire ne pas utiliser les suites Google et Microsoft et privilégier l’Open Source. Le même jour, Microsoft remportait l’appel d’offres pour équiper tous les postes de travail du ministère… il y a une vraie question de cohérence des politiques ».

Le député évoque le rapport du sénateur Simon Uzenat « Piloter la commande publique au service de la souveraineté économique », qui a fait des préconisations, que l’État doit maintenant appliquer…

Une dépendance qui s’amplifie avec la consolidation du marché

La consolidation des marchés est un autre écueil de taille sur la route de la souveraineté. Les grands éditeurs et les hyperscalers rachètent tous les acteurs de poids des marchés qu’ils convoitent ainsi que les startups, pour faire grossir leurs offres. La plateformisation de la cyber en est l’illustration la plus évidente : les grandes plateformes remplacent littéralement des dizaines de solutions de cybersécurité.

Prenant l’exemple de sa propre entreprise, Jean-Noël de Galzain raconte : « Wallix est au Magic Quadrant du Gartner dans le domaine de l’IAM et notre principal concurrent [N.D.L.R. : CyberArk] a été racheté par Palo Alto pour 25 milliards de dollars, qui est aujourd’hui le leader du marché de la cybersécurité avec la plus grosse capitalisation boursière. Comment est-ce que Palo Alto va récupérer ces 25 milliards d’euros ? À un moment donné, ils auront besoin d’augmenter les prix et l’effet plateforme vise à créer une dépendance. Dans la cybersécurité, on ne doit pas mettre tous ses œufs dans le même panier, c’est du bon sens ».

L’acquisition de l’Allemand Hornet Security par Proofpoint, en mai dernier, vient bousculer d’une part la création de ces géants européens tant espérés, mais aussi la stratégie de souveraineté des entreprises européennes qui avaient choisi au départ l’offre de sécurité souveraine du Français Vade, passé sous pavillon allemand, avant de se retrouver avec une solution contrôlée par son ancien concurrent direct d’origine américaine et donc soumis aux lois extraterritoriales US.

Vincent Strubel, directeur de l’Anssi souligne : « nous avons un dispositif de contrôle des investissements étrangers en France qui a évolué ces dernières années, mais ce n’est qu’un garde-fou. Bloquer les investissements étrangers en France ne peut être un réflexe systématique. Nous restons une économie ouverte et il est toujours un peu trop tard lorsqu’on le met en œuvre. C’est un choix entre la peste et le choléra, entre laisser mourir une entreprise ou la laisser passer sous contrôle étranger ».

Le patron de l’Agence souligne qu’il faut résoudre le problème de sous-financement des acteurs français avec des fonds européens, notamment, mais aussi extra-européens, qui n’ont pas besoin d’être majoritaires et qui ne sont pas forcément prédateurs selon lui. Un moyen aussi d’aller sur des marchés au-delà de l’Europe.

Joffrey Célestin-Urbain, président du Campus Cyber, pointe l’importance de ce manque de capitaux. « Si l’on parle du marché de capitaux et du financement privé, l’asymétrie est considérable : au premier semestre 2025, les Américains et les Britanniques sont présents dans au moins 40 % des levées de fonds en cyber en Europe. C’est encore plus élevé pour les opérations de M&A [fusion et acquisition, N.D.L.R.]. Une startup européenne a 0,5 % de chances de scaler et 56 % des financements des startups de sécurité en Europe sont en seed et pre-seed ».

Comment espérer atteindre un certain niveau de souveraineté dans ces conditions tout en gardant un marché totalement ouvert aux acteurs étrangers ? C’est la question lancée par le nouveau président du Campus Cyber.