Interview du VAE Arnaud Coustillière - Pdt du Pôle d'Excellence Cyber
SDBR News : Pourquoi avoir accepté de devenir le Président du Pôle d’excellence Cyber (PEC) ?
Arnaud Coustillière : L’idée initiale du Pôle d’Excellence Cyber, du PEC en abrégé, remonte à début 2012. Avec le chef d’état-major des armées l’amiral Guillaud, nous avions fait le constat que construire une capacité de cyberdéfense ne se ferait pas sans aborder la problématique des ressources humaines et des compétences. Nous nous sommes donc immédiatement préoccupés de ce sujet en imaginant organiser un centre d’excellence et, de fil en aiguille, l’idée est venue d’organiser autour de ce centre d’excellence un écosystème favorable aux besoins du ministère des Armées : en favorisant tout ce qui est recherche et développement pour soutenir principalement DGA-MI ; en aidant à résoudre les besoins en formation et gestion des ressources humaines de DGA-MI et du futur Comcyber. Ce sont donc des préoccupations de compétences, de gestion des ressources, de fidélisation des équipes et de mise en place d’un écosystème favorable au ministère des Armées qui ont constitué l’ADN de ce Pôle, Rennes et la Bretagne en étaient le réceptacle naturel. Le moyen pour y arriver est de mettre les gens en relations. Le PEC est donc devenu un catalyseur d’innovations et la région y a aussi contribué grandement.
SDBR News : La raison initiale du PEC était-elle donc le bassin d’emplois ?
Arnaud Coustillière : Il y avait déjà beaucoup de monde spécialisé en numérique chez DGA-MI, mais avec un petit noyau de quelques dizaines d’ingénieurs SSI - à comparer aux plus de 600 d’aujourd’hui - l’école des Transmissions de l’armée de Terre formait déjà des « SIC* men » interarmées et il y a toujours eu une mixité numérique/SIC. Les autres armées, Air et Mer, n’étaient pas très loin et au même moment se créait à Coëtquidan une chaire de cybersécurité. Donc dans les premiers documents écrits en 2014, qui ont abouti à la présentation des 40 mesures du Pacte Défense Cyber le 07 février 2014 à Cesson-Sévigné par le ministre Le Drian, nous avions inscrit la création du PEC et la création de chaires de cyberdéfense à différents endroits (St Cyr, Ecole Navale, etc.) comme actions du plan de montée en puissance Cyber du ministère. L’idée de départ était de placer l’excellence du ministère des Armées au profit de la posture de cybersécurité la plus régalienne au profit du « bien commun ». Donc il s’agissait de créer un écosystème poreux entre un monde de confiance, très fondé sur le régalien, le ministère des Armées et rayonner à partir d’un ancrage régional. Depuis 2012, le sujet Cyber et les ressources financières ou humaines ont été très fortement amplifiés.
SDBR News : Où en est-on aujourd’hui en matière de ressources humaines ?
Arnaud Coustillière : C’est devenu un endroit de forte concentration. Il y a aujourd’hui plus de 2000 personnels du Minarm, spécialistes du domaine numérique et Cyber, qui travaillent à Rennes même : c’est pour Rennes plus de 8000 emplois directs dans le domaine et on ne compte pas le reste de la Bretagne. Le rapport Audiar** montre bien comment le PEC a été un catalyseur discret pour la Bretagne et pour Rennes, mais n’oublions pas que le PEC agit pour le bien commun : le renforcement du volet régalien de la posture nationale. 10% des startups cyber françaises sont aujourd’hui à Rennes ; bien sûr 60% sont en région parisienne mais aucune autre ville ne dépasse 2 à 3% du total, ce qui montre bien la vitalité de la métropole rennaise. Il y a donc bien un effet cyberdéfense. L’ancrage du PEC est à la fois national, via le ministère des Armées, et régional via la Région Bretagne, ce qui facilite la relation à l’Europe qui doit être l’échelle de réflexion pour la consolidation des entreprises Cyber.
SDBR News : Quel est le statut du PEC ?
Arnaud Coustillière : Le PEC est une association Loi 1901, validée en 2014, dont le Président est nommé par les membres fondateurs : le ministère des Armées et la Région Bretagne. Il y a 13 grands partenaires qui ont contribué à fonder le PEC et qui l’ont soutenu depuis sa fondation : on y trouve entre autres Thales, Capgemini, Sopra Steria, Airbus Defence and Space, Naval Group, EDF, La Poste (dont le directeur de la sûreté a été le 1er président du PEC), ou encore Orange. A coté de ces grands OIV, il y a maintenant d’autres grands groupes, des instituts de recherche, des PME et des Écoles. Le mode de gouvernance du PEC a changé pour associer davantage les membres à la conduite opérationnelle. Aujourd’hui il y a un Président et les membres fondateurs (Région Bretagne et Minarm) qui ont quasiment la majorité des voix au conseil d’administration. Dans le conseil d’administration siège aussi l’ANSSI. Il y a aussi un collège des industriels (avec des représentants des grands groupes et des représentants des PME) et un collège de la Formation et de la R&D. Ensuite il y a des vice-présidents et des chargés de mission*** responsables chacun d’un grand axe. Ils doivent élaborer et proposer la stratégie puis coordonner les groupes de travail. Précisons que l’association, via ses cotisations, ne supporte qu’un seul emploi ; les membres fondateurs se sont très investis dans son fonctionnement et y contribuent largement, tout comme certains membres. C’est une association qui se veut très économe.
SDBR News : Quels sont les axes de travail du PEC ?
Arnaud Coustillière : Trois axes principaux :
Recherche & Développement : rassemble autour de lui presque toutes les instances de recherche représentées dans la région de Rennes mais qui travaillent dans des réseaux nationaux et européens. Le responsable en est le Président de l’université Rennes 1, David Alis.
Formation : le responsable est Eric Martin, représentant l’Université de Bretagne Sud qui forme des promotions de 70 ingénieurs cyber (bac +5) ; idem dans les écoles qui ne sont pas forcément bretonnes, citons simplement EPITA/EPITECH qui est membre quasiment depuis l’origine.
Business Développement : le responsable en est Jean-Luc Gibernon, de Sopra-Steria.
A coté d’eux, il y a un responsable pour l’Europe qui est Pierre Jeanne de Thales et j’assure moi-même les relations internationales, aidé par un chargé de mission : Laurent Porrachia de DCI.
Il y a deux autres chargés de mission :
Chargée de mission pour les Enjeux sociétaux : Hélène Chinal de Capgemini.
Chargé de mission pour les Enjeux de certification : en cours de nomination.
Le PEC a adopté une stratégie en 2019 que nous remettons à jour en ce moment et qui sera bientôt validée par le conseil d’administration. Les axes que je viens de citer vont perdurer : Innover, Former, Développer. Il faut noter que nous avons aujourd’hui 61 membres puisque depuis janvier sont arrivés une grosse dizaine : entre autres OVH, TEHTRIS, SILICOM/SEELA, All4Tech, mais aussi Rennes School of Business, Paris 8/Geode ou BioTech Santé Bretagne. Une vingtaine d’entreprises devraient rejoindre le PEC d’ici fin 2021, telles que Yogosha, Harfanglab,Wifirst, The GreenBow ou encore Glimps. Dans un an nous devrions avoisiner le nombre de 100 adhérents au Pôle. L’objectif n’est pas de grossir, mais de rassembler celles et ceux dont l’ADN est plutôt régalien et l’ambition européenne. Notons aussi notre partenariat avec ECSO (European Cyber Security Organisation) qui nous permet de délivrer le label « cybersécurité made in Europe ».
SDBR News : Quels enjeux sociétaux sont mis à l’étude par le PEC ?
Arnaud Coustillière : Nous avons commencé par ouvrir un axe sur l’inclusion avec deux sujets :
Les femmes dans le Cyber, mais en donnant des pistes concrètes qui puissent servir de laboratoire utilisable par d’autres. Nous lançons le projet des « cadettes de la Cyber », qui consistera à accompagner concrètement des jeunes femmes pendant leur temps d’étude après bac, tout en les faisant témoigner vers des plus jeunes. Nous travaillerons d’ailleurs sur ce sujet dans le cadre du Campus Cyber avec qui nous formons la même Equipe de France.
L’accompagnement et la valorisation des « autistes Asperger ». Le syndrome d'Asperger est une forme d'autisme sans déficience intellectuelle, qui se caractérise par une difficulté à décoder les informations de son environnement. Si certains Asperger sont surdoués, ça n’est pas le cas de tous bien qu’ils aient souvent un quotient intellectuel légèrement supérieur à la moyenne. On estime qu'une personne autiste sur dix est atteinte du syndrome d'Asperger. En tant que DGNUM, je m’étais engagé pour que le Minarm passe un protocole avec certaines associations afin d’employer des Asperger : la DIRISI a ainsi employé depuis 2018 plusieurs Asperger dont l’un vient d’être titularisé. Certains Asperger peuvent avoir une perception aux codes et aux chiffres différente, même si leur comportement social est particulier. Dans le Cyber, il y a des emplois pour des autistes à condition de savoir les accompagner.
Nous avons aussi ouvert un sujet d’étude sociétal : comment le numérique peut-il rendre la vie plus sûre ?
SDBR News : Que voulez-vous dire ?
Arnaud Coustillière : Je pense notamment au harcèlement et aux violences faites aux femmes. Avec Hélène Chinal, nous réfléchissons pour vérifier que le sujet est en accord avec les projets que nous avons pour le PEC. Par exemple, l’association « Garde ton corps » a développé une application gratuite pour les utilisatrices afin de lutter contre le harcèlement de rue et l’insécurité : géolocalisation des déplacements transmise à des personnes de confiance choisies par l’utilisatrice, système d’alarme se déclenchant sur son téléphone si l’utilisatrice semble rencontrer un problème, etc. https://www.gardetoncorps.fr ; un partenariat a d’ailleurs été passé avec la gendarmerie.
SDBR News : C’est le type même d’innovation qui a un impact sécuritaire. En avez-vous d’autres à nous citer ?
Arnaud Coustillière : Une vingtaine d’entreprises, start-up ou autres, ont rallié le PEC depuis janvier 2021, toutes avec un ADN d’innovation. Par exemple, OVH qui représente un « market place » souverain de confiance (OVH héberge un certain nombre de partenaires de confiance). Par exemple aussi, WIFIRST, pépite de la FrenchTech spécialisée dans le réseau vocal managé (fournit le Wifi dans tous les logements étudiants de France, dans de grands hôtels, etc.). WIFIRST fournit aussi le Plan Famille du Ministère des Armées et le Wifi de confort en OPEX. Vous avez aussi des entreprises comme Private Discuss, comme Tehtris Security, comme Formind ou Seela/Silicom, comme Egerie ou encore Gatewatcher. Beaucoup de ces entreprises ont gagné des prix de l’innovation au FIC ou aux Assises de la Cybersécurité. Elles représentent l’écosystème cyber de confiance et, au sein du PEC, elles peuvent apprendre à se connaître pour ensuite faire des offres communes, afin de présenter une alternative par rapport à des offres qui ne respectent pas les valeurs françaises et une certaine forme de souveraineté technologique.
SDBR News : A qui pensez-vous ?
Arnaud Coustillière : Il y a trois ans, personne ne parlait vraiment de souveraineté numérique or nous devons arrêter d’être totalement naïfs sur la guerre économique impitoyable que se livrent les différents acteurs mondiaux. Je suis très content de voir des sociétés américaines extrêmement performantes, mais à partir du moment où elles écrasent toutes les sociétés françaises et européennes il faut dire « stop » afin de provoquer un rééquilibrage. Lorsqu’une société américaine se présente sur le marché européen après avoir levé 3 milliards de dollars aux États-Unis, il y a distorsion de concurrence. De plus, comment faire confiance à ces sociétés gigantesques alors qu’elles ont été déjà pénétrées par des attaques (ex : SolarWinds) ? Il faut refaire de l’hétérogénéité dans nos architectures IT avec des entreprises de proximité et de confiance, chez qui client et entreprise auront une communauté de destin : sera t’elle encore là dans dix ans ? Paye-t-elle ses impôts en France ? Prend-elle sa part au développement de l’écosystème français ?... Selon certaines sources, lorsqu’en France on dépense 100 euros dans le numérique, 80 euros vont chez les GAFAM ! Il faut faire un rééquilibrage, avec une vision moyen terme, et pas seulement voir le « time to market » ou la simplicité pour un DSI de se tourner vers une offre globalisée mais en boîte noire…. Tout cela est complexe mais pas antinomique. Ce n’est en général plus la seule affaire des DSI ou RSI, mais des choix de Comex car il s’agit aujourd’hui souvent de choisir « le partenaire » pour la transformation numérique et le développement de l’entreprise.
SDBR News : Avez-vous des projets avec les autres associations du numérique ?
Arnaud Coustillière : D’abord pour être conseillé et avoir de la hauteur de vue sur tous ces sujets, nous venons de mettre en place l’advisory board du PEC composé de Jean-Yves Le Drian (président du Comité), l’amiral Bernard Rogel (ex-CEMP), Laurent Collet-Billon (ex-DGA), Bernard Pouliquen, Philippe Verdier (ancien Pdt du PEC) et du président du CIGREF.
Ensuite, je crois beaucoup aux partenariats et je souhaite travailler de concert avec, notamment le Campus Cyber. Il n’y a aucune contradiction entre le PEC et le Campus Cyber, et quasiment tous nos membres sont membres du Campus Cyber. Le PEC a une vocation régalienne, donc nous nous engagerons dans l’animation du volet régalien du Campus Cyber ; c’est la même équipe, un pied en région et un pied à Paris. Nous rentrons donc pour cela au Campus Cyber et nous venons de signer notre lettre d’engagement avec Michel Van den Berghe.
J’ai souhaité aussi impliquer le CIGREF, car la cybersécurité n’étant pas une fin en soi mais transverse au domaine du numérique, elle doit irriguer le numérique : les grands clients sont les membres du CIGREF et nous signerons un protocole très prochainement.
Pour marquer cela par un signe fort, nous animerons ensemble - Michel Van Den Berghe, Henri d’Agrain et moi - le diner de gala de l’European Cyber Week qui se tient à Rennes cette semaine.
* SIC : Systèmes d’Informations et de Communications
*** on peut consulter la composition de l’équipe sur https://www.pole-excellence-cyber.org/presentation-du-pole/equipe
Crédits photos: PEC, VAE Coustillière