Dans un contexte de tensions géopolitiques et de dépendances numériques accrues, le lancement de l’Observatoire de la souveraineté numérique et de l’Indice de résilience numérique marque une tentative de passage du discours à l’action. Pour Pierre-Yves Hentzen, Président et CEO de Stormshield, ces outils ne prendront toutefois tout leur sens que s’ils se traduisent par des décisions d’achat concrètes et un engagement collectif en faveur des technologies européennes.
SNC : La création de l’Observatoire de la souveraineté numérique marque-t-elle, selon vous, un tournant dans la manière dont la France va aborder cette question ? Ces outils peuvent-ils réellement changer la donne par rapport aux initiatives précédentes ?
Pierre-Yves Hentzen : On peut toujours accueillir favorablement ce type d’annonces. Néanmoins, il faut rester lucide. Pour l’instant, cela reste des annonces. En France, on observe souvent beaucoup de réglementation, beaucoup de théorie, des observatoires, des indices, ce qui est très bien. Mais ce qui est important, c’est le passage à l’acte, un véritable changement de paradigme dans l’action quotidienne.
L’idée d’un indice ou d’un observatoire est intéressante, mais tout dépendra de la manière dont ils seront utilisés. Le même indice, appliqué à des environnements différents, à des tailles d’entreprises différentes ou à des administrations, peut avoir des significations très variées. Il faudra donc manier ces indicateurs avec précaution. Aujourd’hui, on n’a pas encore suffisamment d’éléments pour savoir comment tout cela va se structurer.
Ce dont on a besoin, c’est de commande publique, pas uniquement de subventions. C’est cela qui permet d’investir, d’innover et de renforcer durablement l’écosystème européen.
La subvention est importante, mais la commande est essentielle pour permettre aux entreprises de se développer et pour asseoir une souveraineté numérique réelle. C’est d’un mouvement commun dont nous avons besoin.
Du côté des acheteurs privés, observe-t-on déjà une évolution dans les choix technologiques ?
P.-Y. H. : Oui, clairement, mais cela reste encore majoritairement cantonné au secteur privé, et beaucoup moins au secteur public, si l’on met de côté la Défense. Dans ce domaine-là, les enjeux sont très forts. Il existe une vraie volonté d’utiliser des produits souverains, certifiés et qualifiés, avec des contraintes réglementaires importantes sur la protection des systèmes et des infrastructures.
On a parfois l’impression que la cyber européenne est très portée par la France, avec une vision assez communautaire, alors que d’autres pays, comme l’Allemagne, ont une approche plus nationale, très centrée sur leurs propres intérêts. Mais dans des pays comme les Pays-Bas, par exemple, historiquement très utilisateurs de technologies américaines, il y a aujourd’hui une demande croissante pour des technologies européennes. On voit de plus en plus de partenaires et de distributeurs qui cherchent à intégrer des produits européens dans leurs offres. Sur les sujets de sécurité réseau et de firewall, on constate clairement cette évolution sur le terrain.
L’indice et l’observatoire sont de bonnes choses, mais il ne faut pas que cela se limite à des rapports. Sinon, le lendemain, il ne se passera plus rien.
La souveraineté numérique est souvent présentée comme un enjeu national. Pourquoi est-il indispensable, selon vous, de dépasser ce cadre pour construire une réponse européenne coordonnée ?
P.-Y. H. : Si une entreprise française décide de remplacer une solution américaine par une solution allemande, italienne ou espagnole, c’est très bien. En France, on porte plutôt bien cette idée. Mais il faut réussir à construire une vision commune à l’échelle européenne, car on ne peut pas raisonner uniquement en fonction des intérêts nationaux.
On l’a vu par exemple avec la création de schémas de certification européens il y a déjà plusieurs années. C’est positif, mais il y a encore un côté très institutionnel au niveau européen, avec une lourdeur administrative et une lenteur qui font défaut par rapport au reste du monde. Sur les données, les Américains font du business, nous faisons de la réglementation. Il faut trouver un meilleur équilibre et être plus concrets.
La préférence européenne dans les marchés publics de services numériques est régulièrement évoquée. Est-ce un levier crédible selon vous ?
P.-Y. H. : Oui, c’est un levier crédible, mais souvent abordé de manière indirecte. Aujourd’hui, les critères environnementaux prennent de plus en plus de place dans les marchés publics, ce qui est intéressant, car les entreprises européennes sont souvent mieux positionnées sur ces sujets.
Mais on a encore beaucoup de mal à privilégier nos solutions locales, au nom de la transparence et du respect de la concurrence. Pendant ce temps, les Américains font exactement l’inverse. Leur objectif est de créer des champions mondiaux. En Europe, dès que des groupes importants émergent ou se rapprochent, on s’inquiète immédiatement d’un risque de domination du marché.
Il y a un vrai changement de mentalité à opérer. Il faut un véritable mouvement collectif.
La stratégie européenne repose beaucoup sur la notion de produits de confiance, robustes, certifiés et qualifiés par les agences de cybersécurité. C’est indispensable, mais cela ne peut pas être le seul levier.
La coopération franco-allemande est souvent présentée comme structurante. Que peut-elle apporter concrètement aux acteurs industriels et technologiques ?
P.-Y. H. : Elle apporte d’abord un marché important. En Allemagne, les investissements dans la défense sont très élevés, bien plus qu’en France aujourd’hui. Les entreprises allemandes du secteur cyber, notamment celles positionnées sur la défense, voient leurs carnets de commandes se remplir très rapidement. Cela leur donne les moyens de se développer et de proposer des solutions toujours plus performantes. C’est extrêmement positif pour l’écosystème européen.
Peut-on réellement mesurer la souveraineté numérique sans impact direct sur les décisions d’achat et d’investissement ?
P.-Y. H. : Très souvent, le choix d’une solution américaine est perçu comme plus sécurisant, parce qu’elle est connue et bien établie. À l’inverse, choisir un acteur français ou européen est parfois vu comme une prise de risque. Mais si on raisonne ainsi, on n’y arrivera jamais.
Il faut sortir de cette zone de confort. Accepter que l’on ne choisit pas toujours la solution la plus évidente. Parfois, une solution européenne n’offrira pas exactement la même richesse fonctionnelle, mais cette richesse fonctionnelle peut aussi élargir les surfaces d’attaque.
Il faut accepter de faire des choix plus responsables et plus structurants sur le long terme.
Le questionnaire national doit permettre de cartographier les dépendances aux solutions extra-européennes. Comment éviter qu’il ne reste lettre morte ?
P.-Y. H. : Il y a un lien intéressant à faire avec ce qui s’est passé au niveau européen sur la réglementation des infrastructures cloud. La France a tenté de porter une position plus exigeante, mais le lobbying des hyperscalers a pesé lourd, et cette bataille a été en partie perdue. Aujourd’hui, les aspects juridiques, notamment les réglementations extraterritoriales, ne sont pas pleinement pris en compte.
Le risque, c’est de continuer à être structurellement dépendants, à la fois pour les infrastructures et pour les solutions de sécurité qui les protègent. C’est là que l’observatoire et l’indice peuvent jouer un rôle, en mettant en lumière ces dépendances structurelles et en suscitant une prise de conscience collective.
Quelles seraient, selon vous, les premières actions concrètes à engager dès maintenant ?
P.-Y. H. : Il faut flécher une part minimale des investissements, publics et privés, vers des solutions européennes. On a du mal à le faire au nom du respect de la concurrence, mais on n’a plus vraiment le choix. Si l’on veut que les choses changent, il faut obliger les acheteurs à consacrer une part de leurs budgets à des technologies locales. Pour moi, c’est la première action indispensable.
La prise de conscience doit se matérialiser par de l’action.
Quel est, selon vous, le principal frein à lever pour enclencher ce mouvement collectif ?
P.-Y. H. : La confiance. Aujourd’hui encore, certains pensent que les produits américains sont meilleurs que les produits français ou européens. C’est faux. En France, on compte environ 450 éditeurs de logiciels de cybersécurité. Certaines entreprises existent depuis vingt, vingt-cinq ou trente ans. Leurs technologies n’ont rien à envier à celles des acteurs américains.
Les Américains viennent d’ailleurs chercher nos talents. On a d’excellents ingénieurs et un très haut niveau de service. Choisir une technologie européenne, c’est oser penser à long terme. Aujourd’hui, par nos achats, nous continuons à financer l’industrie américaine du logiciel. Il est temps d’inverser cette logique.
