Campus Cyber : 6 questions sur le futur « porte-avions » de la cybersécurité française
L'État français se projette en chef de file de la cybersécurité européenne.
C'est dans cet esprit que le premier ministre Edouard Philippe a confié la réflexion sur un cyber campus français à Michel Van Der Bergh, le patron d'Orange Cyberdefense. Ce dernier a remis son rapport, synthèse de 60 entretiens, le 7 janvier 2020. Il a été rendu public à l'occasion du Forum International de la Cybersécurité, le mercredi 29 janvier.
https://twitter.com/cedric_o/status/1222557631929253888
Pour afficher ses ambitions, le rapporteur poussait la comparaison militaire : « Je veux que le campus ressemble à un porte-avions : beau, grand, attirant, mais surtout, il faut qu’il accueille des avions de chasse. »
Pourquoi un cyber campus ?
Le rapport fait un constat : aucun pays de l'Union Européenne ne s'est doté d'une structure qui regroupe ses forces et compétences en cyber. Pourtant, toutes les plus grandes puissances cyber mondiales disposent d'un centre qui concentre différentes branches de leur expertise cyber : les USA ont le Cyber NYC, la Chine a construit deux centres (un à Pékin, l'autre au sud dans la province de Wuhan), la Russie a le parc technologique de Skolkovo, et Israël a le Cyber Spark. En construisant un centre, la France veut se placer comme leader européen et s'aligner avec les standards des premières puissances mondiales.
Quels objectifs pour le Campus Cyber ?
Disposer d'un lieu totem, d'une vitrine à l'internationale
À l'instar de Station F pour les startups ou du plateau de Paris-Saclay pour la recherche, l'État souhaite un lieu symbolique des compétences françaises en cybersécurité. Le rapport assume le rôle « en termes d'imaginaire » que doit jouer le campus : il aura pour mission d'attirer les étudiants vers les métiers du secteur, et de participer à une meilleure connaissance des enjeux de sécurité numérique pour le grand public.
Créer une base de données commune
Le rapport propose la mise en place d'une base de données communes sur les menaces cyber. Alimentée par les différents membres du campus, elle contiendra notamment partie des données détenues par les agences gouvernementales comme l'ANSSI. C'est la première fois que l'agence les partagera de la sorte. Cette ouverture des données, dont les termes exactes restent à déterminer, doit permettre d'expérimenter de nouveaux logiciels et méthodes de défense.
Cette initiative s'inspire du Health Data Hub. Cette structure, lancée il y a quelques mois, met les données publiques de santé à disposition d'entreprises triées sur le volet. Ces entreprises alimentent ensuite la base avec leurs propres données, afin d'en profiter pour entraîner leurs algorithmes sur les données publiques. Les projets ont pour objectif, par exemple, de mieux prévenir les récidives de crises cardiaques.
En cybersécurité, une telle base de donnée permettrait de construire de nouveaux outils de détection, d'anticipation ou de résolution des attaques informatiques.
Développer la recherche contre les cybermenaces
La proximité entre entreprises privées, publiques et laboratoires de recherche doit permettre le lancement de projets transverses. Le rapport évoque des travaux sur la sécurité des véhicules connectés ou la protection des communications.
Combiner les compétences pour mieux réagir aux attaques informatiques
D'après le texte, plusieurs entités souhaitent relocaliser leurs CERT, c'est-à-dire leurs équipes de réponse aux menaces informatiques, sur le campus. Le texte promet que la localisation de ces équipes dans un même lieu renforcera la capacité de veille, de détection et de traitement de la menace des entreprises concernées. Reste à déterminer les conditions de partage de l'information entre ces entités.
Où sera-t-il installé ?
Le rapport suggère d’installer les 10 000 mètres carrés du campus à Paris ou dans sa première couronne Ouest (à proximité du quartier d'affaires de la Défense). Il demande à ce que le lieu soit accessible en transport en commun, et extensible à 15 000 mètres carrés. S’il n’a pas exclu d’autres localisations dans son raisonnement, le rapporteur justifie sa demande par l'attractivité de l’emploi et la proximité avec les centres décisionnaires.
Le campus sera doté d’une partie de bâtiments communs, loués aux résidents sur demande, et d’un auditorium. Il devrait ainsi accueillir une grande partie des conférences et réunions spécialisées.
À terme, le rapport envisage de reproduire ce schéma avec des campus régionaux thématiques. Il prend pour exemple celui de Rennes, spécialisé en Défense, déjà installé. Il y aurait ainsi des centres spécialisés dans d'autres sous-branche de la cyber, comme l'e-santé, la sécurité industrielle ou encore les villes intelligentes.
Qui s'installera sur le campus ?
Le rapport prévoit d’accueillir 700 postes de spécialistes dans les bâtiments. Pour l'instant, le rapport compte sur l'engagement de :
24 entreprises françaises
Les chefs de file nationaux sur les questions cybers (Atos, Thalès, Airbus, Orange...) seront présents, aux côtés de grands entreprises de différents secteurs (banques, énergie...). Mais quelques startups comme Alstid ou Cyber Test Systems s'invitent également sur le campus.
8 institutions publiques
Tous les représentants publiques sur les questions de cybermenaces seront présentes : l'ANSSI, Cybermalveillance.gouv, la police ou encore la gendarmerie. Pour appuyer le développement économique de l'écosystème cyber français, la banque publique d'investissement Bpifrance et la direction général des entreprises (DGE) y auront aussi leurs bureaux.
2 instituts de recherche
L'Inria et le CEA, deux organismes de recherche publiques référents sur la cybersécurité y auront des locaux. L'objectif : faciliter le transfert de technologie de leurs laboratoires vers les entreprises présentes sur le campus.
12 entreprises étrangères
Malgré la volonté d'en faire un symbole de la souveraineté française, le Campus Cyber devrait accueillir plusieurs leaders mondiaux, surtout américains, de la sécurité informatique. Il y aura notamment Microsoft, IBM, ou encore Cisco.
6 organismes de formation (Epita, Simplon.co...)
6 associations de référence en cybersécurité (Clusif, SystemX...)
Le rapport suggère la création d’une société pour piloter le campus. Elle aurait pour objectif de gérer la logistique et l’animation du Campus, et ne devrait pas être indépendante de l'État, préconise les auteurs.
Combien ça va coûter ?
Pour lancer le projet, le rapport estime à 7,7 millions d’euros les fonds nécessaires. Il suggère un financement mixte, en provenance de l’Etat, de collectivité territoriales (notamment de la région Île-De-France) et d’entreprises privées. Ensuite, la structure qui gèrera le campus devrait s’autofinancer grâce aux loyers que lui verseront les différents locataires. Le cyber campus ne devrait donc « pas dépendre de subventions publiques. »
La structuration budgétaire de ce financement pourra être précisée dans la seconde phase du projet. À titre de comparaison, le texte rappelle que le fonctionnement de station F est estimé à plus de 7 millions d'euros par an.
Quand le campus sera-t-il ouvert ?
Le rapporteur vise un ambitieux « lancement rapide » du campus pour le premier semestre 2021. S’il propose un délai aussi court, c’est notamment parce qu’il souhaite que le campus soit opérationnel lors de la présidence française du Conseil de l’Europe en 2022 et des Jeux Olympiques de 2024. Deux dates importantes pour les objectifs de visibilité de l’initiative.