Souveraineté : Existe-t-il une volonté pour une cybersécurité européenne ?

Sous la pression géopolitique, le Vieux Continent cherche encore son bouclier numérique. Les géants US caracolent ; il faut fédérer vite ou accepter la dépendance. N’est-il pas trop tard pour imaginer un futur eu égard à la taille des acteurs et des marchés ?

De Jean-Charles Labbat, VP EMEA Igel

Malgré les discours récurrents sur la nécessité de bâtir une cybersécurité souveraine, et une volonté de façade, l’Europe peine à transformer ses ambitions en actions concrètes. Et compromet, par la même occasion, sa capacité à résister aux puissances étrangères dominantes sur la question cyber. Face aux tensions internationales croissantes, elle doit pourtant se doter de moyens réels pour assurer sa résilience et sa souveraineté numérique. Plus qu’un simple enjeu technique, la cybersécurité est devenue un acte de résistance, un facteur clé de puissance.

Certes, les normes réglementaires se multiplient. Mais leur mise en œuvre reste inégale, souvent limitée par le pragmatisme économique et la domination technologique étrangère. D’où cette question : l’Europe manque-t-elle de volonté ?

L’état va intervenir… mais ne nous sauvera pas

Malgré un discours politique valorisant l’innovation, les investissements publics dans la cybersécurité peinent à convaincre. La France affiche certes un PIB de 2917 milliards d’euros, mais elle consacre chaque année près de 1 600 milliards d’euros à ses dépenses publiques, générant un déficit public d’environ 170 milliards d’euros (5.8% du PIB). Dans ce contexte de tension budgétaire, la cybersécurité reste marginale.

Si la taille du marché mondial de la cyber représentait 193 milliards de dollars en 2023, l’Europe pesait 60 milliards (et environ 10,4 milliards pour la France). Mais le choix historique de la France d’abandonner l’industrie pour se focaliser sur les services, a relégués des secteurs stratégiques comme le développement de produits cyber en arrière-plan. La cybersécurité, qui ne pèse que 0,3% du PIB, figure au rang des secteurs secondaires, peu visible dans les priorités gouvernementales malgré sa portée souveraine et les perspectives de forte croissance de ce secteur. Aux entreprises privées françaises de se positionner et de viser, inévitablement, les marchés européens et internationaux pour espérer atteindre une taille critique tout en sachant que les soutiens publics demeurent limités.

Les champions français peinent déjà face aux géants américains

En analysant dix segments majeurs des produits de cybersécurité – quitte à en exclure certains importants comme la sécurité du cloud, les PKI ou les OS – les chiffres hors service révèlent une asymétrie importante entre les leaders américains et les entreprises françaises. Les dix principales sociétés américaines de cybersécurité totalisent 26,7 milliards de dollars de chiffre d’affaires, soit près d’un tiers du marché mondial des produits, estimé à 80,7 milliards. En incluant d’autres poids lourds comme Microsoft, Fortinet ou Wiz, leur part grimpe à environ 70 %.

Si ces entreprises réalisent une part de leur activité en France estimée autour de 4 % de leur CA total, elles dépassent le milliard de dollars de revenus dans l’Hexagone. À titre de comparaison, les entreprises françaises positionnées sur les mêmes segments génèrent environ 791 millions d’euros, chiffre largement tiré vers le haut par des groupes comme Thales.

Le « made in France », encore récemment vanté dans les discours politiques, ne se retrouve malheureusement pas dans les pratiques d’achat des grands groupes français, qui privilégient des solutions perçues comme plus matures, souvent américaines.

De taille modeste, les entreprises françaises de cybersécurité disposent de ressources 29 fois inférieures à leurs homologues américaines et génèrent un chiffre d’affaires 31 fois moindre. Cette faiblesse structurelle limite leur capacité d’innovation, de développement international et d’attractivité commerciale. La fragmentation de l’offre et l’hyper-focalisation sur le marché français, empêchent assurément l’émergence d’un véritable champion national.

Et certaines pépites, lorsqu’elles atteignent un certain palier de réussite, sont la cible d’acquisition, comme le récent rachat de Hornet Security – maison mère de VADE – par son concurrent américain Proofpoint.

L’avenir de la cybersécurité française est-il lié à l’essor de la défense européenne ?

La reconfiguration géopolitique mondiale pousse aujourd’hui les pays européens à renforcer leur autonomie stratégique. Un mouvement qui pourrait ouvrir une nouvelle opportunité pour l’industrie française de la cybersécurité, en s’adossant à un secteur de la défense en pleine expansion.

L’industrie française de la défense représente un poids économique significatif : 50 milliards d’euros de chiffre d’affaires (1,6 % du PIB et 133 500 emplois). C’est 5 fois plus que le marché de la cybersécurité française, tous segments confondus.

Et ce déséquilibre se reflète dans les dynamiques industrielles. Le groupe Thales, fer de lance de la défense nationale, a investi dans la cybersécurité via une filiale dédiée, revendiquant 2 milliards d’euros de chiffre d’affaires en 2024, majoritairement orienté vers les services et les opérations de sécurité managées (MSSP). L’acquisition récente d’Imperva (WAF) marque un timide ancrage dans le domaine des produits, mais ne suffit pas à constituer un portefeuille complet face aux géants internationaux. De son côté, Stormshield, rattaché à Airbus CyberSecurity, affiche un poids limité dans cet écosystème global.

Un contraste saisissant observé à travers les pratiques d’achat de l’État qui reste fidèle aux équipements militaires nationaux (Rafale, Leclerc, etc.), alors qu’il opte pour des solutions étrangères jugées plus performantes ou matures en termes de cybersécurité.

La montée des tensions internationales conduit l’État à reconsidérer son effort de défense – actuellement à 2 % du PIB – et la France pourrait devoir s’aligner sur les standards américains (environ 5%), ce qui impliquerait un investissement supplémentaire colossal de plus de 100 milliards. Difficile à envisager au regard de la dette publique actuelle.

Loin derrière les Etats-Unis, la France se classe pourtant parmi les principaux exportateurs mondiaux de matériel de défense (9,6% des ventes). Elle fait mieux que la Russie (7,8%). Ce positionnement stratégique sur le plan militaire pourrait – et devrait – profiter à l’écosystème national de cybersécurité, puisque la cyber résilience devient un prolongement naturel de la supériorité technologique. Mais pour que la cybersécurité française tire pleinement parti de cette dynamique, elle devra démontrer sa capacité à se structurer, à produire des solutions compétitives, et à s’intégrer dans les grandes chaînes de valeur industrielles et souveraines. Le soutien public devra aussi suivre, en cohérence avec les choix stratégiques opérés dans le domaine de la défense.

En conclusion, je dirai que les investissements publics restent limités et que la dynamique du marché favorise les géants internationaux. L’intégration de la cyber sécurité à la cyber résilience pourrait toutefois offrir une perspective permettant à la France de lutter à armes égales avec les acteurs mondiaux du secteur, et de faire éclore une pépite. Pour y parvenir, il faut néanmoins que client, donneurs d’ordre et le courant techno-souverainiste qui se fait jour, amène enfin l’ensemble des acteurs à se fédérer. Alors peut-être…

À LIRE AUSSI :

Gouvernance

Souveraineté numérique : l’USF alerte sur une dépendance devenue critique

Laurent Delattre

4 Juin

À LIRE AUSSI :

Gouvernance

Souveraineté numérique : 33 recommandations et une question qui dérange

Thierry Derouet

28 Mai

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !