LA TRIBUNE - Orange Cyberdéfense se renforce à Marseille, au moment où la cybersécurité est devenue une préoccupation majeure pour toutes les entreprises, quelle que soit leur taille et leur secteur d'activité. Pourquoi ? De quelle façon cela s'inscrit-il dans la stratégie du groupe ?

HUGUES FOULON - Le projet d'Orange Cyberdéfense est de contribuer à construire une société numérique plus sûre. Pour cela, deux paramètres, qui peuvent paraître contradictoires, sont importants : la taille et le local. La taille c'est avoir la capacité d'être présent partout, en France - qui représente un peu plus de 40% de notre chiffre d'affaires - et à l'étranger. C'est avoir la capacité à investir dans la recherche, nouer des partenariats mondiaux, avoir la taille suffisante pour savoir comment la menace évolue. Mais il existe aussi la considération du local, la nécessité de rester proche de nos clients, car la cybersécurité, plus que toute autre activité, est basée sur la confiance. Et donc posséder un campus à Marseille est essentiel pour servir les grands groupes et les différents acteurs du territoire. Il ne faut pas omettre l'attractivité. Nous sommes une société de services et elle ne marche pas si nous n'arrivons pas à attirer, recruter, former, développer les talents. Si nous ne sommes présents que sur un bassin de population - à Paris par exemple - compte tenu de la bataille des talents, c'est moins facile que d'avoir un maillage régional fort qui offre la possibilité d'aller travailler à Paris, Marseille ou Bordeaux. A Marseille nous disposons d'une équipe de 65 personnes et nous allons recruter une dizaine de profils en 2023. Nous sommes donc dans une logique de développement, d'investissement, de croissance.

Un programme de formation est notamment prévu ainsi qu'un espace de démonstration d'attaques. La pédagogie et la prévention sont-elles des éléments en mesure de véritablement éviter les cyberattaques ?

La cybersécurité est représentée au Comex d'Orange. Ce n'est pas juste une coquetterie, ça fait partie de l'ADN du groupe. Dans l'action d'Orange cyberdéfense, il y a 5 étapes, de l'amont vers l'aval et parmi l'amont, figurent la formation, la sensibilisation la compréhension de la vulnérabilité des systèmes que l'on nous demande de protéger. On peut disposer de tous les systèmes les plus perfectionnés du marché, s'ils sont mal utilisés, s'il y a des négligences, il y aura des failles. Il existe une dimension technique et une dimension humaine, cette dernière étant au moins aussi importante.

Si les grandes entreprises sont organisées en interne cela n'est pas forcément le cas des plus petites structures. Comment aller convaincre, éduquer le patron de TPE PME ?

Le niveau de prise de conscience du risque cyber est proportionnel à la taille de l'entreprise. Les TPE/PME ont beaucoup de sujets opérationnels à traiter au quotidien, autres que la cybersécurité. Elles ne disposent pas de responsable informatique la plupart du temps ou cela est sous-traité. Et pensent au sujet cybersécurité lorsqu'elles ont le temps. Et puis, cela fait aussi partie de la nature humaine : on ne pense pas naturellement toujours à se protéger. On le fait certes dans le monde physique - il ne viendrait à l'esprit de personne de partir de chez lui sans fermer la porte - mais cela n'est pas encore un réflexe dans le monde digital. Les statistiques sont assez terribles. 60% des PME qui ont subi une attaque disparaissent dans les six mois. Beaucoup d'entreprises n'ont pas les moyens techniques, humains ou financiers de réagir ou cela crée de tels dommages qu'elles ne s'en sortent pas plusieurs mois après. Penser à la cybersécurité doit faire partie d'une hygiène normale que l'activité économique soit petite, moyenne ou grande.

La cyberdéfense c'est aussi plusieurs métiers : ce secteur attire-t-il les talents ?

C'est notre principal challenge. Au niveau national, comme au niveau international, des centaines de milliers de postes vacants de spécialistes en cybersécurité qui ne sont pas comblés car l'offre et la demande sont déséquilibrées. Les filières classiques de formation sont longues à mettre en place, il faut aussi former des enseignants. Et je ne suis pas sûr que la formation académique classique soit adaptée pour tous les besoins - je pense même le contraire. Il existe un turn-over et un roulement importants au sein des entreprises. C'est une bataille des talents extrêmement forte. Nous recrutons beaucoup - 630 embauches ont été réalisées en 2021, dont 300 en France - et essayons de trouver tous les ingrédients pour que tous se sentent heureux, contents et épanouis. La première question qui nous est posée lors des entretiens d'embauche ce n'est pas la rémunération, mais le régime de télétravail.

Le président Emmanuel Macron avait annoncé en 2021 un plan de 500 millions d'euros dédiés à la recherche, ciblant les laboratoires et des institutions telles le CEA, le CNRS ou l'INRIA. Qu'attendre de la recherche ?

Aujourd'hui, dans le monde informatique, plus grand-chose n'est développé en Europe. Il n'existe plus beaucoup de sociétés de software en Europe. Si on regarde le paysage mondial du point de vue des 100 premières sociétés de software, il n'y en a pas plus de 5 européennes. Le software en Occident est majoritairement fait aux Etats-Unis et un peu en Israël. Et après, c'est la Chine. L'investissement dans la recherche doit servir des domaines ciblés - et la cyber en est un - pour recréer en Europe et particulièrement en France, des capacités de développement de solutions innovantes, techniquement à la pointe. C'est l'un des sujets sur lequel nous sommes à la fin d'une période de naïveté sur la mondialisation. On voit bien que l'on change d'époque. Ce genre de plan d'investissements ne sert peut-être pas pour demain, mais pour après-demain, pour dire que l'on n'en est pas réduit à utiliser uniquement des logiciels américains.

Une enveloppe de 200 millions d'euros était aussi annoncée comme devant servir l'émergence des startups. Orange regarde aussi les pépites innovantes et le ministre en charge du numérique, Jean-Noël Barrot, a annoncé début septembre la volonté de faire émerger 3 licornes à horizon 2025. Quelle est votre stratégie sur ce point ? Comment intégrez-vous les solutions déployées par ces pépites ?

Nous sommes une société de services et n'avons donc pas vocation à racheter une société techno qui développe des produits, que cela soit du software ou du hardware. En revanche, nous avons deux actions vis-à-vis des startups, la première notamment via le fonds Venture que possède le groupe Orange, dans lequel figure une startup israélienne de développement cyber - le regard sera porté davantage vers la France aussi et la région Sud -, la seconde, en essayant de faire émerger des startups cyber, en packageant des offres avec elles. Ce n'est pas capitaliste, c'est commercial. Faire émerger une solution française, ça a du sens. Faire émerger trois licornes d'ici trois ans me semble un objectif tout à fait atteignable.

On évoque beaucoup les questions de souveraineté, le Campus Cyber travaille notamment sur des scénarii pour l'avenir. Orange Cyberdéfense est l'un des actionnaires de ce Campus. En quoi peut-il permettre à la France d'aller plus vite ?

Si on reprend les briques amont-aval - information, identification de la menace, protection, détecter, intervenir - naturellement une entreprise avec un niveau de maturité moyen va investir sur la protection et la détection. En fait, il faudrait faire l'inverse, surinvestir sur l'amont et l'aval. On pousse donc l'anticipation et la prévention du pire plutôt que mettre des verrous et penser que tout est réglé alors que le monde est tellement interconnecté qu'il est difficile de ne mettre que des verrous.

Faut-il s'attendre à un phénomène de concentration ?

C'est le cycle naturel. Nos marchés informatiques - et d'autant plus en cyber - sont des marchés super-fragmentés, drivés par deux circuits d'innovation - l'innovation technologique et l'innovation marketing - avec un autre phénomène qui s'ajoute, celui de la sédimentation, avec en permanence ce phénomène de consolidation.

Le Campus Cyber rassemble tout l'écosystème, est-ce une façon de réussir davantage à travailler ensemble et atteindre une certaine souveraineté ?

Le projet a connu une première phase, celle de la construction, ce qui n'a pas été simple, notamment pendant le Covid. Désormais, nous arrivons à la phase du développement des synergies. Le Campus Cyber sera un succès à cette condition. Le risque, si personne ne fait rien, est que cela reste un hôtel. L'objectif est que tout le monde travaille ensemble, ait des projets communs, n'ait pas peur de travailler avec ses concurrents, n'ait pas peur de se piquer des talents, que les grandes entreprises travaillent avec les petites, les moyennes avec les petites et que le tout s'équilibre. Le Campus est d'abord un totem mais c'est aussi un excellent exemple de collaboration souveraine pour faire émerger des champions que ce soit dans les services, le software ou le hardware, français et indépendants des puissances étrangères.