SDBR News : Du 2 au 4 juin prochain, vous organisez à la Maison de la Chimie le « Paris Cyber Summit »*.  Pourquoi cette manifestation ?

Sébastien Garnault : Depuis 7 ans déjà, le Paris Cyber Summit se tient tous les ans. Lorsque nous l’avons lancé en 2019, il y avait moins de manifestations de ce type organisées en France. Ensuite, d’emblée le Sommet a été européen dans sa conception ce qui nous a permis de nous distinguer, avec la présence de commissaires européens et de ministres nationaux européens. La multiplication d’événements aujourd’hui en France permet de toucher le maximum de personnes mais, d’après moi, il existe peu de manifestations d'ampleur à vocation internationale, en France. Et parmi elles, le Paris Cyber Summit (PCS) qui est dédié seulement à la décision politique, en lien avec les politiques européennes et les administrations européennes.

Donc, notre positionnement est sur la politique publique, sur les décideurs publics européens et sur la relation avec les États-Unis, à ce stade, parce que nous ne sommes pas encore arrivés au moment de nous ouvrir aux autres régions du monde du fait de la situation internationale trop dynamique.

SDBR News : Quel bilan tirez-vous de ces 7 ans ?

Sébastien Garnault : Nous avons fait plusieurs constats. Il y a quelque chose qui ne se décrète pas, qui se construit  et qui prend du temps, c’est la Confiance. Si vous voulez faire des choses avec des partenaires, ça ne suffit pas d’avoir eu une vision. Il y a eu trois temps dans la vie du sommet :

• 2020-2022, c’était l’émergence et nous avons été le seul événement physique et présentiel du confinement en Europe.

• 2023-2024, c’était la consolidation.

• Et en 2025, c'est la livraison.

Comme nous avons construit la confiance avec nos partenaires sur les quatre dernières années, nous sommes à même de pouvoir commencer à livrer des coopérations concrètes.

C’est la raison pour laquelle nous allons signer, pendant ce Sommet, un MoU (Memorandum of Understanding) avec des représentants de quatre nations : la France, l'Espagne, l'Allemagne et la Finlande. Les signataires seront :

1. Pour la France : l’Alliance pour la Confiance Numérique (ACN).

2. Pour l’Espagne : INCIBE, un peu l’ANSSI espagnole avec, en plus, la responsabilité du développement économique du secteur. Bel exemple de partenariat public/privé.

3. Pour la Finlande : le « Finnish Information Security Cluster » (FISC), l’homologue de l’ACN française.

4. Pour l’Allemagne : « TeleTrusT » Berlin - The IT Security Association Germany.

 Le MoU est toujours un très bon outil de communication.

SDBR News : Justement, n’est-ce pas uniquement de la communication ?

Sébastien Garnault : Il est vrai que la signature d’un MoU est souvent l’occasion de faire le buzz, puis il ne se passe plus rien. Typiquement, la France a un MoU avec le Canada depuis 2019, sur l'IA, or qu'est-ce qui a été livré ? Je ne sais pas. Donc le MoU que nous signons avec des Européens va nous obliger à délivrer. Pour nous mettre en position de livraison, nous avons deux atouts :

• le premier, c'est de mettre une deadline. C'est-à-dire que ce MoU va être fait pour deux ans, pour pouvoir évaluer le travail au bout des deux ans. Et nous avons un rendez-vous annuel, au Paris Cyber Summit, qui permet d'évaluer d'une année à l'autre ce qui a été fait et de décider des actions nécessaires.

• Le deuxième avantage que l'État n'a pas, puisque je suis dans le secteur privé, c'est que je suis connu pour livrer. Donc en mettant le Paris Cyber Summit en position d'être le réceptacle de ces MoU, le Cyber Summit va aussi mettre son réseau et sa puissance au service des livrables.

SDBR News : Quels sont ces livrables ?

Sébastien Garnault : Il y a trois piliers de coopération que nous souhaitons mettre en œuvre tous ensemble et c'est une réponse très concrète à la question de la souveraineté européenne, dont tout le monde parle. Mais qui la construit ?

Un premier pilier concerne l’échange d'information. Quel type d'information à échanger? Nous allons nous mettre en position d'envoyer des notes de conjoncture, tous les trois mois à chacun des participants au MoU. Par exemple en ce moment, la France aurait envoyé un message aux autres disant qu’elle est en train de mettre en œuvre NIS 2, le texte étant à l'Assemblée Nationale, et que, sur la Menace, ses hôpitaux sont ciblés… De leur coté, nos collègues finlandais pourraient dire « Non, chez nous, nous n’en sommes plus là, mais à tel niveau, etc.» Cela nous permettrait  de cartographier et de mieux comprendre ce qui se passe chez nos partenaires, pour savoir aussi comment réagir lorsque nos marchés sont attaqués.

Le deuxième pilier est de mon point de vue le plus important : il faut nous mettre en position de pouvoir agir au niveau des politiques publiques. C’est comme cela que j’ai positionné le Paris Cyber Summit, mais les partis signataires ont un peu baissé leurs ambitions. Je voulais que la France se mette en position tout de suite d'anticiper NIS 3. Nous sommes en train de faire NIS 2, mais NIS 3 c'est demain ! En France, nous allons avoir probablement une période de 3 ans pour mettre en œuvre NIS 2, sauf que dans 3 ans, je n'ai pas de doute, les négociations de NIS 3 auront commencé.

SDBR News : Est-il prévu d’évaluer la directive NIS 2?

Sébastien Garnault : Pas à ma connaissance, or il est important d’évaluer NIS 2 avant de commencer à préparer NIS 3.

L’industrie européenne pourrait fixer des critères d'évaluation, selon elle, de la réussite ou non de NIS 2, avec des retours d'expérience entre autres, ce qui permettrait d'avoir une position commune auprès de la Commission Européenne. Or, aujourd'hui, la Commission Européenne fait un peu comme les États-Unis, c'est-à-dire qu'elle discute avec les industries nationales bilatérales, and that's it. Or, l'industrie européenne a une position et a une parole à porter, et pour cela elle doit se coordonner.

Donc, le deuxième pilier repose sur la coordination d'une position de l'industrie européenne, ou en tous les cas des États membres signataires du MoU, pour peser dans la politique industrielle européenne.

SDBR News : Et le troisième pilier ?

Sébastien Garnault : Ce n’est pas le moindre et il concerne les nombreux projets européens qui se perdent dans les méandres de la Commission Européenne et de l’argent qui va avec. Tout simplement parce que personne ne va les chercher par méconnaissance de leur existence. Donc parmi nos objectifs, l'idée serait d'identifier un ou deux projets et de se mettre ensemble pour les adresser, ce qui permettrait de nous mettre en plus en position de travail industriel.

En résumé : en un, une position de travail sur l'échange et la compréhension mondiale, en deux, une position de travail sur ce qui nous rassemble en Europe et nos enjeux business, et enfin en trois, aller chercher des fonds à Bruxelles.

SDBR News : J’ai vu que le GICAT était un des sponsors du PCS. Surprenant, non ?

Sébastien Garnault : Non, car en fait sur le sujet Cyber tout le monde est parti dans le cyberspace à partir de la cybersécurité. Mais en matière de cybersécurité, selon le sujet, le même outil peut être aussi un outil de cyberdéfense. Donc, en fait, tout est mécaniquement hybride. Le GICAT a quelque chose à dire sur la Cyber, même dans son volet civil et à l’inverse, l'ACN, qui est l'autre partenaire institutionnel français du secteur privé, a quelque chose à dire sur le volet Défense. Les sociétés sont duales en fait et nous sommes dans un moment « Europe de la Défense », avec des partenaires européens qui se posent la question de savoir s'il faut acheter français, suédois, allemand ou américain.

Donc le GICAT a décidé de participer au PCS, où les gens qui décident seront présents dans de bonnes conditions pour pouvoir parler de défense occidentale, avec aussi des Américains et des Canadiens membres du G7 comme vous le savez.

*https://www.paris-cyber-summit.com