C’est une croissance à la chinoise et pourtant elle se produit en France. Dans un contexte économique hexagonal pour le moins morose, le secteur de la cybersécurité se rit de la crise, affichant une croissance de 10 % par an et un chiffre d’affaires de cinq milliards d’euros (et autant à l’export) selon une étude réalisée début 2013 par l’Alliance pour une confiance numérique (ACN), un regroupement d’acteurs des nouvelles technologies.

Ainsi, les quelque 600 sociétés - essentiellement des start-up - qui œuvrent dans le domaine de la cybersécurité “made in France” emploient environ 50 000 salariés, d’après ce même rapport. “C’est une véritable pépite de l’économie française”, a souligné Jean-Pierre Quemard, président de l’ACN lors d’une table ronde autour du marché de la cybersécurité organisé à Lille les 28 et 29 janvier par le Forum internationale de la cybersécurité (FIC).

Les quelque 2 400 professionnels du secteur présents à ce salon font écho de cet enthousiasme. Ils reconnaissent même, pour certains, avoir du mal à répondre à la demande. “J’ai actuellement 30 postes ouverts et je n’arrive pas à les pourvoir faute de candidats qualifiés”, affirme ainsi un responsable d’une société française de sécurité informatique.

Les pouvoirs publics aussi cherchent à embaucher davantage de spécialistes des questions de cybersécurité. Sur le stand de l’Agence nationale de la sécurité des systèmes d'information (ANSSI), un flyer informe les visiteurs du salon que le recrutement est ouvert. Environ 60 postes sont à pourvoir en CDD de trois ans, marquant une volonté de renforcer ses effectifs qui sort de l’ordinaire en ces temps de vaches maigres budgétaires.

"100% des entreprises sont victimes d’attaques informatiques"

“Pour l’instant, la crise ne nous a pas affectés”, confirme à FRANCE 24 Michel Van Den Berghe, président d’Athéos, une société qui fournit des services de sécurité informatique à la plupart des entreprises du CAC 40. Son groupe connaît une croissance de plus de 20 % par an. Même constat chez Trend Micro, une société japonaise éditrice de solution de cybersécurité, de l'antivirus à l'audit de sécurité informatique. “Depuis l’année dernière, les entreprises françaises ont vraiment pris conscience de enjeux et du besoin de se protéger contre les risques d’attaques informatiques”, assure à FRANCE 24 Laurent Delattre, directeur commercial grand compte pour l’Europe du Sud.

Appeler à l’aide des experts en sécurité informatique n’est pourtant pas donné. Une société comme Trend Micro facture ses services entre 30 000 et plusieurs centaines de milliers d’euros selon les besoins de l’entreprise. De même, lorsque Athéos intervient pour réparer les dégâts d’une attaque informatique ou sécuriser un site, il facture environ 700 euros par jour - le travail pour colmater les brèches informatiques pouvant parfois prendre plusieurs mois.

Si, malgré la crise, ces sociétés de sécurité informatique prospèrent, la raison est à chercher du côté de la multiplication des attaques informatiques et du vol de données parfois très sensibles. “Plus de 70 % des chefs d’entreprises françaises de plus de 500 personnes se disent convaincus d’avoir été victimes d’une attaque informatique”, souligne Laurent Delattre, citant un sondage réalisé par Trend Micro qui doit paraître début février 2013. Un chiffre qui peut paraître élevé mais serait pourtant en deçà de la réalité. “100% des entreprises, petites et grandes, ont ou vont subir une attaque informatique”, affirme à FRANCE 24 Stéphane Janishewski, directeur de l’activité sécurité de Sogeti, filiale spécialisée dans la cybersécurité du groupe CapGemini.

Il faut dire que les sociétés françaises sont en retard. “C’est effarant à quel point les entreprises se font piller”, regrette pour sa part Patrick Pailloux, directeur de l’ANSSI, pour qui le constat est sans appel.  En retard non par rapport à d’autres pays, mais par rapport au dispositif de cyberdéfense à mettre en place. “La stratégie de ligne Maginot adoptée par un grand nombre d’entreprises n’est pas efficace”, souligne-t-il. En clair, ces groupes tentent, à grand renfort d’anti-virus et de logiciels pare-feu, d’empêcher le cybercriminel d’entrer chez eux. “C’est une tentative de protection illusoire”, confirme Michel Van Den Berghe, le PDG d’Athéos. Lors d’audit de sécurité, il a toujours réussi - en quelques heures - à percer les systèmes de défense informatique mis en place par ses clients, alors qu’il a affaire à des groupes mondialisés, générant des centaines de millions d’euros de chiffre d’affaires.

Aucune forteresse imprenable

Ces sociétés de sécurité informatique peuvent sans nul doute remercier les délinquants en col pixellisé. Ils ont démontré qu’aucune forteresse n’est imprenable. Pour preuve : les cyberattaques réussies contre le géant français de l’énergie Areva en septembre 2011, contre le pétrolier Aramco en août 2012 ou encore contre des institutions publiques très en vue comme l’Otan (juillet 2011) ou plus récemment en novembre dernier contre l’Élysée.

Un catalogue à la Prévert qui ne dit pas grand-chose des motivations ou de l’origine des attaques. Dans son travail au quotidien, Michel Van Den Berghe a rencontré des cas de vols de fichiers clients, de brevets ou encore de carnets d’adresses électroniques. Autant de données sensibles dans un contexte de guerre économique. “Lorsqu’une société sort avec quelques jours d’avance et un peu moins cher une offre commerciale calquée en tout point sur ce que préparait un concurrent dans le plus grand secret, on peut légitimement penser à du vol de données informatiques”, raconte-t-il.

Des exemples qui ne signifient pas pour autant que les entreprises se livrent directement une cyberguerre d’espionnage industriel. “On constate que les cybercriminels se regroupent en gangs très organisés disposant de moyens financiers et humains pour faire des attaques de plus en plus complexes”, remarque Stéphane Janishewski, de la société Sogeti. Quitte ensuite à revendre au plus offrant leur butin sur le marché noir...

C'est donc tout un écosystème qui s'est mis en place profitant de l'ignorance d'entreprises - jusqu'au plus importantes - des défis du cyberespace.