Lors du forum Tech For Cyber d’Advens le 12 septembre dernier, Dominique Luzeaux, directeur adjoint de la DIRISI (Direction interarmées des réseaux d’infrastructure et des systèmes d’information), présentait Acaro, un groupement solidaire d’entreprises qui a remporté un appel d’offre émis par son service l’année dernière. Selon Dominique Luzeaux, ce genre de partenariat public-privé est une des voies possibles pour ériger une souveraineté numérique française et européenne.
Présentez-nous Acaro en quelques mots ?
Dominique Luzeaux. Le 31 août 2018, la société Cines, appuyée sur le groupement Acaro et l’association Hexatrust, remportait le Marché des Unités d’Œuvre (Lot 11) de la DIRISI. Cet appel d’offres est le plus gros marché dédié à la cybersécurité en France et en Europe. Le consortium Acaro, dont Cines est mandataire, est constitué d’Advens, Anaya, Oppida et Risk&Co et tous ont jusqu’à 2022 pour couvrir l’ensemble des prestations de cybersécurité émises dans le contrat. Il est courant de dire que les acheteurs publics ont beaucoup de mal à avoir des contrats avec des petites entreprises, mais ce n’est pas vrai !
Qu’est-ce que ce contrat a-t-il de particulier ?
Dominique Luzeaux. Ce n’est pas si courant pour le Ministère des armées de coopérer avec de petites structures mais c’est bien sûr en train de changer. Ce qui est nouveau avec cet appel d’offres, c’est qu’il a expressément été formulé en fonction des compétences des plus petites entreprises. Un montage industriel innovant qui n’exige pas de conditions concernant le business model des candidats et dont le cahier des charges présente des prestations d’ampleur plus ou moins variable. Et pour répondre à leurs besoins en termes de trésorerie, nous avons mis en place le système de paiement le plus rapide qui soit et de manière totalement dématérialisée. Nous avons bien conscience que cet écosystème doit être plus mis en valeur. Il faut donc mettre en oeuvre les conditions pour que les PME et ETI puissent répondre à nos besoins en termes de cybersécurité. Sans elles, nous risquons de nous couper d’une bonne partie des compétences disponibles sur le marché français. Acaro montre que s’ouvrir aux petites et moyennes entreprises est possible.
Qu’attendez-vous des entreprises ?
Dominique Luzeaux. Je pense que recourir au privé est nécessaire pour partager le maximum de compétences. Nous nous appuyons bien sûr sur tout un tas de compétences mobilisées en interne mais aussi tirées de l’extérieures. Aujourd’hui il y a beaucoup de produits qui sont développés sur le marché. Souvent, les entreprises ont de grands cerveaux mais s’attaquent à de toutes petites niches. Donc pour être en mesure d’organiser efficacement cette cyberdéfense, il faut associer ces produits ensemble. Emmanuel Macron et Florence Parly ont récemment annoncé un investissement massif en la matière, une logique industrielle qui tend vers la formation d’une réelle compétence nationale de cyberdéfense. Le privé doit de son côté s’organiser, se fédérer et s’adapter aux besoins du public. Nous sommes tous dans la même barque… et si nous voulons ériger une compétence française et européenne de la cyber, le public et le privé doivent travailler ensemble.
Pourquoi est-ce important de développer un tel écosystème ?
Dominique Luzeaux. Il y a deux mots clés qui me viennent à l’esprit : l’innovation et la réactivité. Nous avons un tissu de compétences très riche en France et en Europe. Il faut maintenant agir pour fédérer et favoriser la complémentarité du public et du privé dans le domaine. Le projet Acaro est un bon exemple en la matière et il gagnerait à être reproduit afin de pouvoir, à terme, ériger notre propre souveraineté numérique.
Comment se traduit la stratégie de la DIRISI en matière de cyberdéfense ?
Dominique Luzeaux. A la DIRISI nous sommes environ 7000 personnes réparties sur le monde entier : en France, dans les DOM TOM et à l’étranger dans des bases militaires. Mon travail c’est de faire tout ce qu’il faut pour défendre l’ensemble des systèmes d’information au sein des armées. Aujourd’hui, n’importe quel système est sujet à des tentatives d’attaques. Nos systèmes gouvernementaux en reçoivent en permanence. Notre mission de cyberdéfense consiste à analyser ces menaces, en déduire des vulnérabilités et faire des actions de protection. Ce travail de veille et de protection est fait en interne mais il se nourrit aussi d’échanges avec des entreprises spécialisées en cybersécurité. C’est primordial d’adresser l’état du marché et de faire collaborer le public et le privé pour trouver les meilleures défenses. Pour ce qui est de la doctrine, comme l’a rappelé Florence Parly en début d’année (cf. Doctrine militaire de lutte informatique offensive), dans le cadre de certaines cyber-menaces, le gouvernement tout comme l’armée peuvent être amenés à se défendre mais aussi à répondre si c’est nécessaire.