Michel Van Den Berghe, Campus Cyber : “Avoir un vrai maillage sur le territoire pour former ailleurs qu’à Paris”

L’Usine Digitale : Le Campus Cyber, présenté comme un “lieu totem” de la cybersécurité en France, a fêté ses deux ans en février. Quel bilan tirez-vous de ces deux années ?

Michel Van Den Berghe : Le principe du Campus cyber est que ce soit un projet privé et public. Nous avons des comptes à rendre auprès des actionnaires, composés à 60% d’actionnaires privés et à 40% de l’État. Dans les acteurs privés, nous retrouvons tous les acteurs de notre cybersécurité française, mais aussi des acteurs finaux, comme des banques ou des industriels. Nous sommes en train de finaliser les chiffres de 2023, et devrions atteindre 22 millions d’euros de chiffre d’affaires, avec une rentabilité de 900 000 euros.

La première année, nous étions en déficit, en louant une tour [la tour Eria, à la Défense] sans locataire. Maintenant, le campus tourne, est rentable, avec 98% de remplissage. L’évènementiel fonctionne bien : nous organisons un à deux événements par jour. C’est devenu le lieu de la cybersécurité française. Désormais, pour les deux prochaines années de mandat, le but est de définir la raison d’être, et de savoir ce que vont amener l’ensemble des acteurs à l’écosystème de la cybersécurité.

Quelles sont, à court terme, les missions prioritaires du Campus Cyber ? Lors du Forum InCyber, qui s’est tenu fin mars à Lille, Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI), déplorait le manque d’attractivité de la filière… Que comptez-vous faire sur ce terrain-là ?

Nous avons une mission, sur laquelle nous travaille avec le ministère de l’Éducation nationale, autour de l’attractivité. Il s’agit de savoir comment pallier le manque de ressources en cybersécurité et faire qu’il y ait des jeunes qui veulent faire notre métier. Tout le monde se dit qu’il faut être mathématicien, geek, porter une capuche… [Rires].

Nous avons fait un référentiel des métiers, pour dire que oui, il faut des hackers éthiques, mais qu’il y a aussi plein d’autres métiers. Nous avons fait des campagnes d’affichage dans le RER et le Transilien, adressées aux jeunes. Tous les vendredis, nous recevons des collégiens avec lesquels nous communiquons. Quand nous leur expliquons notre métier, nous créons des vocations. Nous formons également des professeurs, et essayons de féminiser le métier, en disant qu’il y a de la place pour tout le monde.

Le deuxième projet que nous avons s’intitule Cybiah. Il s’agit de moyens mis à disposition du campus pour créer une équipe, pour aider à monter en cyberprotection les PME d’Île-de-France. L’idée est qu’on puisse les aider à diagnostiquer les besoins qu’elles ont et à les accompagner dans la mise en place de technologies de cybersécurité simples. La Région fournit un “chèque cyber”, qui paie 50% des dépenses prises pour se cybersécuriser. Enfin, nous souhaitons renforcer la présence, le dynamisme et la mise en avant des technologies françaises qualifiées par l’ANSSI.

En avril 2023, vous avez ouvert un campus à Lille (Hauts-de-France), puis en juillet à Pessac (Nouvelle-Aquitaine). Prévoyez-vous de vous implanter davantage ?

Pour la création de campus territoriaux, nous demandons d’avoir au moins certains “grands piliers”, comme la formation et l’attractivité. Actuellement, nous avons deux campus : Hauts-de-France et Nouvelle-Aquitaine. En fin d’année, nous en aurons quatre ou cinq : les régions Sud – Provence-Alpes-Côte d’Azur, Occitanie et Grand Est avancent bien. Peu à peu, nous allons réussir à avoir un vrai maillage sur le territoire, pour former ailleurs qu’à Paris. De nombreuses sociétés implantées en région vont aussi avoir envie de travailler avec d’autres acteurs régionaux. C’est le cas de sous-traitants, dans le cadre de la réglementation NIS2. Il faut donc que l’on puisse former les acteurs et experts sur le territoire.

Avant la mise en conformité NIS2, il y aura les Jeux Olympiques. Comment anticipez-vous l’événement ?

Il y a le sujet des JO par eux-mêmes, comment protéger l’organisation elle-même, avec le COJO. Pour eux, ce ne sont pas leurs premiers Jeux, ils savent comment se cyberprotéger. Ce à quoi nous allons devoir faire face, ce sont toutes les infrastructures utiles aux Jeux : la SNCF, la RATP, d’autres industriels… qui vont être sous pression. Je pense que si les attaquants ont envie de mettre le bazar, c’est plutôt là qu’ils vont essayer. Tous les grands clients que je rencontre m’affirment ne faire rien d’autre que les JO.

À l’approche des Jeux, justement, on observe un net regain des cyberattaques. Pensez-vous qu’il existe une plus forte médiatisation de ces cyberattaques, et que leur retentissement est alors plus fort, ou qu’il y a une réelle augmentation de la menace ?

Il y a deux phénomènes. Le premier, du côté du pirate. Auparavant, les très bons pirates attaquaient directement les entreprises, pour pouvoir directement les rançonner, ou étaient payés pour saboter, récupérer de l’information, etc. La régulation, et l’obligation pour les OIV [organisations d’importance vitale] de se sécuriser, a rendu la chose moins facile. Le nombre d’attaques réussies sur de très grands comptes diminue fortement. De l’autre côté, en se dirigeant vers des cibles plus petites et plus faciles, le ransomware-as-a-service (RaaS) est arrivé. Les pirates développent des logiciels qui peuvent être utilisés par des gens n’étant pas techniques. Aujourd’hui, vous pouvez aller sur le dark web et acheter votre attaque. Les moyens de faire sont alors plus pertinents.

Il y a une industrialisation importante des menaces de type ransomware. En parallèle, les menaces plus “traditionnelles”, étatiques, continuent de progresser, et on en parle moins. Mais elles sont toujours très présentes. Ce sont ces attaques que nous craignons pendant les JO. Ce qui est dangereux, c’est le sabotage. Aujourd’hui, notre numérique est construit à 98% sur des technologies qui ne sont plus européennes.

En janvier, vous avez racheté SECLAB, bureau d’études montpelliérain spécialisé dans la conception de boîtiers isolés et cloisonnés du système informatique de ses clients. Pourquoi ce choix ?

SECLAB était une filiale d’EDF, créée par EDF pour pouvoir amener de la cybersécurité dans le cadre de la protection des actifs extrêmement sensibles, que sont les centrales nucléaires et ses centres de commandement. Malgré le fait qu’ils n’aient pas de commerciaux, SECLAB parvenait à réaliser 2 millions d’euros de chiffre d’affaires, et à avoir des références comme la SNCF, le CNES, Bercy et le ministère des Armées.

Je savais que d’autres industriels commençaient à regarder, et j’ai rencontré le fondateur, Xavier Facelina. Le projet que nous avons défini ensemble, c’est de faire de SECLAB une belle entreprise française. Mon nouveau défi est de créer et de mettre à bon niveau de chiffre d’affaires à une entreprise qui a un capital 100% français, dans lequel toutes les technologies sont construites en France. C’est un coup de cœur.

Plus précisément, quelles sont vos ambitions avec ce rachat ?

Nous allons couvrir trois ambitions. Tout d’abord, des entreprises ou des usines étaient protégées parce qu’elles n’étaient pas connectées. Avec l’arrivée de l’industrie 4.0, elles se connectent. Mais aujourd’hui, 98% des attaques qui ont ciblé l’IT touchent aujourd’hui l’environnement industriel. Sans être des cibles, elles deviennent des victimes, car on les a connectées sans mettre en place des moyens de cybersécurité nécessaires. Notre projet est de mettre les moyens utilisés pour protéger les actifs les plus sensibles de la nation à disposition de ces entreprises. Ce qui est situé derrière nos boîtiers est infranchissable. Par exemple, il y a eu beaucoup d’attaques sur les hôpitaux, via des attaques de phishing. En mettant notre boîtier pour séparer le réseau de gestion de réseau de soins, nous pourrons au moins soigner les gens.

Ensuite, nous allons continuer à développer les boîtiers pour les activités extrêmement sensibles (défense, nucléaire, spatial), pour accompagner leur transformation numérique. Enfin, nous souhaitons sortir du marché français et d’aller à l’international. Nous avons déjà des références en Inde, aux États-Unis, au Vietnam… car la technologie est unique. Nous allons développer le marché européen et international en s’appuyant sur de grands intégrateurs, comme Thales, ou en cyberdéfense.