Mon Général, vous êtes une référence de la cyberstratégie en France. Vous avez publié votre premier livre sur le sujet en 2011, vous dirigez la collection cyberstratégie chez Economica, vous êtes chercheur associé à la FRS et membre du Conseil scientifique du FIC, vous êtes régulièrement consulté sur la question : Qu’est-ce qui pousse un homme de votre expérience à créer et vice-présider un Institut consacré à la cybersécurité et la résilience des Territoires ?

Une observation et une expérience.

L’observation que le dispositif français de cybersécurité s’est mis en place au niveau national depuis une dizaine d’années : création de l’ANSSI, renforcement des moyens au travers des diverses LPM, création de l’OG Cyber, mise en place du Pôle d’Excellence cyber, développement du FIC, croissance d’entreprises de toutes tailles qui bénéficient d’un marché lui-même en forte croissance… Tout ceci est parfait mais encore très centralisé, très parisien, très « grands comptes ». De même, l’UE s’est saisie du problème (Directive SRI, RGPD, définition des OSE). Mais là encore, on ne s’adresse qu’aux gros.

Ici vient l’expérience, qui est double. Les aléas de la vie m’ont conduit à plus pratiquer la « province », ce mot qu’on ose à peine prononcer mais auquel je trouve encore beaucoup de charme. Je l’ai fait pour des raisons privées mais aussi professionnelles. Aussi n’ai-je pas trop été surpris quand la pandémie est survenue et que tout le monde a dû passer d’un coup au télétravail. La Covid a plus fait pour la transformation numérique que toutes les initiatives que j’avais pu lancer dans mes précédentes fonctions. Tant mieux, mais ce faisant les territoires ont énormément augmenté leur surface de risque, d’autant plus qu’ils ont le plus souvent une culture très réduite de la cybersécurité.

Aussi m’a-t-il paru nécessaire de m’intéresser à ces territoires, en partant du bas, du terrain : de ce point de vue, le pragmatisme militaire qui fait partie de ma culture m’y aide beaucoup.

Quels sont les objectifs qu’un homme de votre expérience assigne à ce nouvel outil au service des territoires, quelles sont les valeurs que vous voulez y voir appliquées ?

Le premier principe est de partir du terrain, des besoins. Trop souvent, des vendeurs de solution viennent et débitent leur argumentaire, sans vraiment écouter ce que leurs interlocuteurs ont à dire. Or, chaque territoire est particulier. Une ville moyenne qui s’est spécialisée dans le tourisme n’aura pas le même besoin qu’une autre dans une région viticole ou une troisième qui a encore un gros tissu industriel menacé par la crise économique. Si la cybersécurité est une, s’il y a forcément des points communs, les besoins sont différents et il faut donc d’abord écouter et dresser des diagnostics ensemble, au vu des forces et faiblesses du territoire, avant de proposer des actions. Le deuxième principe est celui de la bienveillance : trop souvent, les victimes voient venir des spécialistes qui leur disent « mais vous n’auriez jamais dû faire ceci ou cela, ce n’est pas bien ». De fait, souvent on blâme la victime, comme si c’était sa faute. Je pense au contraire qu’il faut accompagner les victimes et les futures victimes pour les aider à progresser.

Le dernier principe va de soi mais il convient de le rappeler : il s’agit d’œuvrer pour le bien commun et la cohésion nationale et territoriale. Une fois encore, il faut compléter par le bas ce qui se fait bien au niveau central.

Selon vous, qu’est ce qui explique le retard pris par les territoires et leurs composantes dans la prise conscience de la cybercriminalité et la mise en place de mesure et d’outils de Cybersécurité ?

Le sentiment qu’ils sont trop petits pour être visés (sentiment partagé aussi bien par les CT que par les PME PMI). Accessoirement, une question de ressources disponibles : il y a tellement de besoins par rapport à des moyens limités qu’on ne prend pas les mesures minimales de cybersécurité. On « prend le risque » car on estime qu’il y a d’autres urgences. Celles-ci sont bien sûr légitimes mais il faut désormais faire uen petite place à la cybersécurité. On ne peut plus la négliger.

Le problème, c’est que désormais, tout le monde est visé, la cybermenace ne vise plus seulement les gros. On a connu une vague incroyable de fraudes au président ces dernières années, puis de rançonnages contre des collectivités publiques au cours des 15 derniers mois. Elle dure encore et ne cesse d’enfler. Accessoirement, la pandémie a forcé tout le monde à passer au télétravail, ce qui a ouvert de gigantesques portes aux agresseurs…

La cyber menace ne peut plus être ignorée. Y répondre fait partie désormais des facteurs d’attractivité d’un territoire.

Que propose l’INCRT pour accompagner les territoires dans ce défi, désormais presque quotidien ?

Tout d’abord, une veille et un éveil. Il convient de parler aux territoires mais aussi de les écouter. De ce point de vue, l’institut sera une plateforme qui permettra à chacun de suivre et de rencontrer.

Ensuite, nous irons dans les territoires à la demande des CT afin de présenter et sensibiliser, mais aussi de montrer que des solutions simples existent. Nous agirons bien sûr avec nos partenaires comme cybermalveillance ou la Gendarmerie nationale. Enfin, s’il y a des demandes plus précises, nous voulons aussi être un « do tank » et mobiliserons notre réseau d’experts pour répondre aux besoins exprimés.

Olivier Kempf