Le PEPR « Cybersécurité » lancé en 2021 a-t-il atteint son objectif 2025 ?
Le Programme et Équipements Prioritaires de Recherche (PEPR) « Cybersécurité » a été lancé en 2021 dans le cadre de la stratégie nationale d’accélération de la cybersécurité. Il visait à tripler le chiffre d’affaires du secteur d’ici 2025, tout en renforçant la souveraineté de la France et en réduisant sa dépendance aux technologies étrangères.
L’ensemble de cette stratégie avait été annoncé avec un budget supérieur à un milliard d’euros, mais le PEPR représentait une enveloppe annuelle d’environ 65 millions d’euros. Aujourd’hui en 2025, le programme a-t-il atteint ses objectifs ?
Les fondations du PEPR Cybersécurité
Il y a quatre ans, le Président Emmanuel Macron affirmait que le nouveau plan cybersécurité soutiendrait et stimulerait le secteur, Gildas Avoine a été nommé pilote scientifique CNRS du PEPR.
Le programme devait fédérer l’informatique, les mathématiques, l’électronique et le traitement du signal, en mettant l’accent sur la cryptographie et la sécurisation des données, du matériel, des systèmes numériques, des logiciels et des réseaux.
Le CNRS, l’un des trois opérateurs nationaux chargés de la recherche, reconnaissait déjà en 2021 les défis du secteur : améliorer la sécurité nationale et se protéger contre les menaces liées au télétravail, aux achats en ligne ou à la télémédecine. Gildas Avoine avait identifié dix projets prioritaires impliquant plus de 1000 personnes au sein des trois organisations.
Intégration au plan France 2030
En février 2022, le site du gouvernement rendait compte des premiers résultats du programme et annonçait son intégration au plan d’investissement France 2030. Le rapport soulignait que trois appels à projets avaient été lancés et que des technologies cyber innovantes et stratégiques seraient financées à hauteur de 150 millions d’euros.
Un soutien significatif à l’entrepreneuriat a également été mis en place : trois start-ups ont été incubées dès les premiers mois, et 50 autres dossiers étaient en cours d’examen.
Une ambition à long terme
La dépendance de la France aux technologies étrangères pourrait exposer le pays à des risques. En soutenant la recherche sur la cryptographie post-quantique, la conception sécurisée de matériel et les infrastructures numériques, le gouvernement entendait s’assurer que la France ne serait pas laissée pour compte.
Le programme reflète une prise de conscience : la cybersécurité touche tous les aspects de la vie quotidienne. Les experts incitent souvent le public à adopter des mesures simples, installer un antivirus, mettre à jour ses appareils, ou installer un VPN pour naviguer plus sereinement mais la stratégie nationale exige un investissement plus profond dans la recherche et l’innovation.
Comment améliorer la sécurité nationale grâce à la cybersécurité ?
Les cyberattaques perturbent souvent des infrastructures critiques, comme les hôpitaux ou les réseaux de transport. Accroître les investissements dans des domaines comme l’intelligence artificielle ou les infrastructures cloud sécurisées permet de réduire les vulnérabilités.
L’innovation est également clé : encourager la collaboration entre recherche publique, entreprises privées et agences de défense est essentiel pour la cybersécurité d’un pays.
D’autres pays ont adopté des approches similaires. Les États-Unis, par exemple, lient cybersécurité et dépenses de défense, l’Allemagne investit massivement pour protéger ses systèmes industriels, y compris ses réseaux de transport et ses sites de production.
Pourquoi la cybersécurité est-elle une préoccupation ?
Ces dernières années ont montré la vulnérabilité des pays et des entreprises face aux cyberattaques. Des incidents très médiatisés ont mis en évidence l’ampleur et la sophistication des menaces de nouvelle génération. Les attaques par ransomware ont ainsi perturbé des hôpitaux, des réseaux de transport et des chaînes d’approvisionnement, interrompant parfois des services critiques pendant plusieurs jours.
En 2021, l’attaque du Colonial Pipeline aux États-Unis a provoqué des pénuries de carburant sur toute la côte Est, tandis que l’attaque contre Kaseya a ciblé des centaines d’entreprises via une seule faille logicielle.
Les institutions gouvernementales sont également des cibles de choix. En 2020, plusieurs pays ont signalé des intrusions dans des agences de santé et des laboratoires de recherche, certaines liées au développement rapide des vaccins contre le COVID-19. Ces attaques ont montré que des données sensibles, allant des informations de santé aux plans d’infrastructures critiques, pouvaient être volées ou prises en otage, avec des conséquences potentiellement graves.
La fréquence et la complexité de ces attaques s’expliquent par plusieurs facteurs : la digitalisation accrue des services, le télétravail, et la professionnalisation des cybercriminels, parfois soutenus par des États. C’est pourquoi des nations comme la France investissent massivement dans la recherche et l’innovation en cybersécurité : défendre contre les cybermenaces est un enjeu central de sécurité nationale.
Pour en savoir plus : Sécurité en ligne, qui veille sur vos données personnelles en France ?
Qu’est-ce que la cryptographie post-quantique ?
La cryptographie post-quantique (PQC) désigne un ensemble d’algorithmes cryptographiques conçus pour rester sécurisés face aux ordinateurs quantiques à grande échelle. Les systèmes classiques (RSA ou cryptographie à courbe elliptique) reposent sur des problèmes mathématiques difficiles pour les ordinateurs classiques. Par exemple, la sécurité de RSA dépend de la factorisation de très grands nombres.
Les ordinateurs quantiques, eux, utilisent des principes différents, superposition, intrication, pour résoudre certains problèmes beaucoup plus rapidement. L’algorithme de Shor, par exemple, permettrait à un ordinateur quantique puissant de casser RSA et d’autres schémas similaires, rendant une grande partie de la sécurité actuelle d’internet vulnérable.
Ordinateur quantique – image d’illustration
L’objectif de la PQC est de développer de nouveaux algorithmes résistants aux attaques quantiques tout en restant efficaces sur les infrastructures numériques actuelles. Les chercheurs travaillent sur plusieurs familles d’algorithmes, basées sur différents problèmes mathématiques jugés difficiles à résoudre pour les ordinateurs classiques et quantiques.
Le concept de « récolter aujourd’hui, déchiffrer demain » illustre l’urgence de la PQC. Les informations sensibles transmises aujourd’hui,données financières, secrets d’État, informations personnelles, pourraient être interceptées et stockées en attendant que les ordinateurs quantiques soient suffisamment puissants pour les décrypter. La recherche et la normalisation sont donc capitales dès maintenant, même avant la généralisation des ordinateurs quantiques.
Des gouvernements et organisations du monde entier travaillent sur ce défi. Le NIST aux États-Unis organise un concours pluriannuel pour identifier et standardiser des algorithmes post-quantiques adoptables à grande échelle. En Europe, des initiatives comme le PEPR français mettent également l’accent sur la PQC.
En anticipant les menaces liées à l’informatique quantique, la PQC vise à protéger les données sensibles et les infrastructures critiques pour les décennies à venir, garantissant ainsi la sécurité nationale sur le long terme.
Où en est le programme français aujourd’hui ?
Les résultats financiers du PEPR n’ont pas été rendus publics, mais le programme a créé une dynamique : universités et institutions publiques collaborent, et les start-ups sont encouragées. La France s’est positionnée comme un acteur crédible en cybersécurité, capable de contribuer aux stratégies européennes.
Le succès du PEPR dépendra de la manière dont les initiatives de recherche se traduiront en adoption généralisée. Les prochaines années montreront si la France est moins vulnérable aux cyberattaques et plus autonome technologiquement.
En termes de chiffres purs, il est difficile de mesurer si les objectifs ont été atteints, mais la dynamique et les ambitions du plan demeurent.
