[FIC 2025] "C'est faux de penser que la sécurité coûte cher", Guillaume Tissier, directeur général du FIC

L'Usine Digitale : Depuis sa création en 2007, le Forum InCyber a changé de dimensions. Pourriez-vous revenir sur les grandes lignes de son histoire ?

Guillaume Tissier, directeur général du Forum InCyber : Le Forum a eu trois vies. Une première vie de 2007 à 2011, où c'était le Forum de la lutte anti-cybercriminalité, organisé par la Gendarmerie nationale. En 2013, la société CEIS [dont Guillaume Tissier est président] a repris le forum avec la Gendarmerie. C'est devenu le Forum International de la Cybersécurité. Cette deuxième vie a duré dix ans. En 2023, nous avons décidé de changer de nom pour faciliter l'internationalisation du forum. Depuis 2022, il existe un forum au Canada. Egalement aux Etats-Unis où la première édition du forum aura lieu en juin 2025, à San Antonio au Texas. Un forum se tiendra aussi au Japon en décembre 2025.

L'idée est de créer plusieurs "FIC", et/ou de proposer une vitrine des solutions françaises à l'étranger ?

C'est surtout le premier point : nous prenons les mêmes recettes pour les enraciner localement. Pour nous, c'est l'essentiel. Evidemment, nous embarquons aussi les entreprises françaises qui le souhaitent. Cependant, elles ne sont souvent pas assez prêtes et volontaires pour le grand export. Néanmoins, cela fait partie de notre travail de les convaincre et de les aider à s'intégrer. Dans tous les cas, ces forums internationaux ne sont pas uniquement dédiés à l'export français.

Depuis 2023, si je comprends bien, la Gendarmerie ne fait plus partie des organisateurs de l'événement ?

Elle y est toujours associée mais différemment. Elle fait partie du comité stratégique, elle participe au comité du programme, elle a un stand et participe à plusieurs tables rondes.

Concernant la fréquentation des visiteurs et le nombre de stands depuis 2007, que pouvez-vous nous en dire ?

Les premières éditions rassemblaient quelques centaines de personnes et une dizaine de partenaires privés. Aujourd'hui, nous attendons 18 000 visiteurs pour cette nouvelle édition et près de 700 partenaires publics et privés, exposants ou non. Donc, l'événement a beaucoup grossi, ce qui reflète deux phénomènes : que la transformation numérique a touché tout le monde et l'augmentation des menaces. On voit bien que la cybersécurité n'est plus une option pour le développement de nouveaux usages afin de créer de la confiance.

Justement cette 17e édition est placée sous le signe de la confiance. Le thème exact est "Au-delà du Zero Trust, la confiance pour tous". Pourquoi ?

Le thème a été sélectionné après une réflexion avec notre comité stratégique. La confiance est une notion plus vaste que la cybersécurité. Car, finalement la cybersécurité n'est qu'un moyen. L'objectif est de créer de la confiance grâce à la fois à des mesures techniques, à des mesures juridiques, ainsi qu'à travers d'autres actions, telles que des analyses contextuelles.

La confiance, au départ, c'est un ressenti, c'est un sentiment, c'est une sorte d'évolution. Vous voyez quelqu'un, vous serrez la main et vous avez confiance. Sauf que dans un monde qui est de plus en plus transactionnel et dématérialisé, on voit bien que cette notion de confiance ne peut plus se faire de façon totalement empirique. Il faut donc l'objectiver, la rendre explicite. C'est ce qu'on appelle dans notre domaine le modèle Zero Trust, qui consiste en ne jamais faire confiance par défaut, mais en permanence vérifier, demander des garanties, contrôler, faire de l'analyse contextuelle. C'est une tendance qui s'accélère parce que les technologies progressent et l'usage l'exige aussi.

Avez-vous constaté un changement des profils des visiteurs et des exposants ?

Du côté des entreprises, il y a bien cette évolution qui consiste à passer de la sécurité numérique au numérique sécurisé, ou au numérique de confiance. Il s'agit d'acteurs qui ne sont pas forcément des pure players mais qui sont des entreprises de services numériques, des fournisseurs de cloud, des opérateurs de télécommunications... qui proposent des offres qui embarquent de la sécurité. C'est une vraie tendance qui consiste à faire du security by-design.

Du côté des visiteurs, il y a un élargissement des fonctions qui viennent à l'événement. Il y a des responsables de la sécurité, avec un certain nombre d'autres acteurs autour d'eux (responsables de projets, chefs de SOC...). Mais on voit également désormais des DPO ainsi que des risk managers, intéressés notamment par les sujets de l'assurance cyber.

La cybersécurité étant un véritable marché, qui progresse de 12-13% par an, il y a également des fonds d'investissement qui viennent sur le forum. Dans ce cadre, nous avons créé un événement dédié aux fonds d'investissement, aux incubateurs et aux accélérateurs, baptisé "Invest InCyber".

En parlant marché, on voit un accroissement des solutions dans la cybersécurité. D'après le radar de Bpifrance, en 2024, la France comptait 168 startups et 42 scale-ups dans ce domaine. N'est-ce pas trop ? Comment s'y retrouver en tant que PME-TPE ?

Les TPE-PME vont aller naturellement vers des offres de numérique sécurisé sur étagère. D'ailleurs, c'est faux de penser que la sécurité coûte cher. Vous avez aujourd'hui des offres de sécurité qui sont adaptées et qui ne coûtent que quelques euros par utilisateur. Il faut penser à des solutions intégrées, packagées parce qu'en effet, sauf secteur spécifique, les TPE-PME ne peuvent pas utiliser une multitude de solutions.

On retrouve d'ailleurs cette tendance à la rationalisation chez les grands groupes. Ce qui appelle à une consolidation du marché. Mais il ne faut pas qu'elle ne se fasse au détriment évidemment des sociétés françaises et européennes, qui sont globalement plutôt des entreprises de petite taille. On compte 800 éditeurs de cybersécurité en Europe. Les deux plus gros sont scandinaves mais nous n'avons pas de champions mondiaux. Ce qui pose problème car, en effet, la multitude de solutions est d'un usage un peu compliqué pour les entreprises.

Vu le contexte, j'imagine qu'il est urgent de trouver des alternatives européennes aux hyperscalers étrangers...

En effet, nous sommes à un moment charnière, avec une recomposition du paysage géopolitique mondial. Les alliances et les partenariats évoluent. L'une des conséquences étant que les Etats tendent à vouloir développer leur propre base technologique tout en imposant des lois extraterritoriales. Est-ce que tout cela est compatible avec le besoin de rester interopérable puisque l'espace numérique est quand même un espace ouvert ?

Ce qui pose la question centrale de la maîtrise de la dépendance pour les entreprises. En effet, on voit bien l'exemple de Starlink en Europe. L'administration américaine ne pourrait-elle pas, par exemple, menacer de couper les services de Starlink lors de la négociation d'un accord ? Finalement, la question est de savoir si nos données, demain, ne pourraient-elles pas être prises en otages ? C'est un sujet compliqué pour lequel il faut avoir une réponse nuancée.