Après près de vingt ans passés au sein de l’État, notamment à Bercy et à la tête du Sisse (Service de l'information stratégique et de la sécurité économique), Joffrey Célestin‐Urbain a rejoint le Campus Cyber en qualité de président. Son ambition : transformer une jeune structure en écosystème opérationnel. Avec L’Informaticien, il revient sur la feuille de route centrée sur la structuration de l’écosystème, la coopération entre acteurs et les enjeux de souveraineté européenne. Un échange à retrouver dans le numéro 244 de l’Informaticien.
Qu’est‐ce qui vous a mené à œuvrer dans le domaine de la cybersécurité ?
J.C.-U. : Je me suis spécialisé dans la thématique de la sou‐ veraineté économique, à travers mes précédents postes à Bercy (ministère de l’Économie et des Finances), à la fois au Trésor, qui est l’une des directions de Bercy, puis à la direc‐ tion générale des entreprises.
Mon dernier poste avant le Campus Cyber, qui peut illustrer le pourquoi, était celui de directeur du Sisse, le service de l’information stratégique et de la sécurité économique. Il fait office de tour de contrôle de tous les actes de prédation étrangère sur des entreprises, des laboratoires et des données sensibles françaises. Il y avait un prolongement naturel entre ce que je faisais à Bercy et le Campus Cyber.
Au sein du Sisse, j’ai pu mesurer toute l’étendue de l’agressivité des acteurs étatiques et économiques étrangers, qui ne reculent devant rien pour tourner les rapports de force géoéconomiques à leur avantage. Ils ont recours à tout un arsenal d’instruments, parmi lesquels la cybercriminalité. Cela a été une expérience fondatrice parce que, sur ce type de poste, l’on prend vraiment conscience de la face cachée de la mondialisation. Comme dans Stranger Things, il y a un monde à l’envers qui m’a ouvert les yeux. C’était une prise de conscience : nous étions en danger et il fallait changer de logiciel économique pour bâtir des capacités de cybersécurité européennes mutualisées à la hauteur de la menace.
Est‐ce ce défi qui vous a fait accepter ce poste ?
J.C.-U. : Ce que je recherche, ce sont justement les défis. Et celui du Campus Cyber est gigantesque. C’est une société privée qui doit faire du profit, mais en même temps, qui travaille sur une thématique d’intérêt général. Au Campus Cyber, je retrouve ce même enjeu de transformation. Il faut parvenir à changer de braquet dans une structure créée en 2022, qui doit évoluer vers un modèle beaucoup plus affirmé et ambitieux.
Quels sont les atouts et points faibles du Campus Cyber ?
J.C.-U. : Sa grande force, c’est d’avoir réussi à rassembler les principaux acteurs de la cybersécurité française en un seul et même endroit. D’où une grande diversité : il y a des établissements de formation, des associations, des organismes de recherche, des services de l’État, des entreprises de toute taille, issues de l’offre de cybersécurité ou de la demande. Sur le papier, nous avons déjà un bel écosystème. La principale faiblesse est que, jusqu’à présent, le potentiel d’écosystème du Campus Cyber n’a pas été pleinement exploité. Il faut parvenir à créer une communauté qui coopère et nourrisse des projets communs.
C’est ce que vous évoquiez lors de votre intervention aux dernières Assises de la cybersécurité 2025 à Monaco : le niveau de performance est encore insuffisant. Comment faire pour passer à la vitesse supérieure ?
J.C.-U. : Il faut arriver à honorer la promesse de valeur du Campus en générant un retour sur investissement pour tous les résidents et membres qui y ont investi de l’argent. Ils ont pris un ticket pour être aux avant‐postes hyperdynamiques. Où est cet écosystème ? C’est toute l’ambition de notre nouvelle feuille de route.
Le principal objectif pour 2026 est de faire émerger cet écosystème coopératif et d’orchestrer son émergence en créant un cadre propice aux interactions. Si vous laissez les gens faire naturellement, spontanément, le niveau de coopération ne sera pas optimal. Il y a toujours la tentation de se dire : « J'arrive à 9 h le matin, je prends l’ascenseur, mon café, je me retranche derrière mon bureau et je sors à 18 h, sans avoir croisé personne. » Pour nous, l’enjeu est de favoriser des circuits de rencontres balisés entre les différents acteurs et qu’ils ne reposent pas sur la seule initiative personnelle. C’est important, car c’est ce qui nous différencie fondamentalement d’un espace de coworking. Il n’y a pas d’équivalent de Campus Cyber aussi intégré, aussi divers que celui‐là. C’est une chance sur laquelle nous devons capitaliser.
Donc, les entreprises au sein du Campus Cyber, bien que parfois directement en concurrence, doivent travailler ensemble ?
J.C.-U. : La cybersécurité française a des enjeux et des problématiques communes qui appellent des solutions collectives. La souveraineté, par exemple, mais aussi la formation. Sur ce dernier point, il faut faire en sorte que les étudiants formés ici, sur le Campus, ou ailleurs en France trouvent des débouchés à la hauteur de leurs compétences. Sur le plan de la recherche, nous devons créer des synergies entre les acteurs publics et privés. Partout, il y a des problématiques appelant des réponses autour de chaînes de valeur. Et nous, nous sommes en capacité de réunir, à chaque fois, différentes catégories d’acteurs pour répondre à ces problématiques, à des cas d’usage identifiés et sous des angles différents.
Comment cette approche pourrait‐elle s’articuler sur un sujet comme la souveraineté ?
J.C.-U. : Très concrètement, à travers des groupes de travail destinés à favoriser les échanges entre des RSSI : certains expliqueront pourquoi ils n’ont encore rien mis en place, tandis que d’autres partageront leur retour d’expérience, leurs expérimentations et les résultats observés. On crée une dynamique collective d’action, pas de parole. Il s’agit donc d’abord d’essayer de comprendre, à travers ces groupes de travail, qu’est‐ce qui empêche aujourd’hui un RSSI d’acheter plus massivement de l’EDR français, du firewall français, de l’IA française, ou encore de la sécurisation des identités allemande ou espagnole. Il y a une variété de paramètres qui empêchent aujourd’hui un RSSI d’acheter davantage français ou européen, et il faut arriver à les déceler et à les résoudre ensemble, sur le Campus.
Ces différents paramètres doivent être hiérarchisés, puis « débunkés » méthodiquement, afin de proposer aux RSSI des solutions — typiquement, des solutions issues des entreprises de l’offre. C’est de l’interfaçage intelligent sur des cas d’usage bien identifiés. En embarquant dès le départ dans cette démarche structurée les offreurs de solutions de cybersécurité, également largement représentés dans l’écosystème du Campus.
La thématique de la souveraineté a vraiment été montée en sauce au niveau politique. Ce qui manquait jusqu’à présent, c’étaient des exemples concrets de sociétés qui basculent, qui disent vouloir « réduire [leur] dépendance aux Américains et faire avec plus de solutions françaises », et dont l’exemple peut être transposé à large échelle. Nous pensons que le Campus Cyber peut être une caisse de résonance pour ces cas concrets.
Face à une offre pléthorique, comment accompagner les entreprises et les RSSI dans leurs choix en matière de cybersécurité ?
J.C.-U. : Nous avons la chance d’être dans un pays où l’offre existe. Mais si nous voulons démocratiser la cyber, auprès des PME par exemple, il va falloir les aider à naviguer. Notre force (du Campus, ndlr), c’est que nous sommes un opérateur de confiance, donc ce que nous allons proposer aux entreprises sera naturellement pris en compte.
Le rôle du campus n’est pas de les flécher vers des entreprises en particulier, il faut rester neutres, mais on peut au moins les orienter — c’est l’objectif de la plateforme NIS2 — vers des paniers d’offres en fonction de leurs besoins réglementaires, de gestion des risques, etc. En face de chaque catégorie de besoins seront présentées telles ou telles offres. À eux d’arrêter leur choix ensuite.
Concernant votre feuille de route, quels vont être les grands chantiers prioritaires que vous avez lancés ou allez lancer ?
En 2026, notre priorité est de faire en sorte que nos résidents soient heureux. Et ils ne le seront que s’ils ont le sentiment de faire partie d’un écosystème qui se vit, s’opère, se conçoit comme tel, où il se passe des choses comme nulle part ailleurs.
Nous avons déjà commencé en mettant en place une gouver‐ nance dédiée à leurs besoins qui n’ont jamais été véritablement canalisés et exprimés jusqu’à aujourd’hui. Nous avons donc mis sur pied une sorte d’assemblée générale des résidents où, pen‐ dant deux heures, nous les écoutons.
Nous rencontrons les résidents tous les trois mois et mettons, à chaque fois, la liste à jour de leurs doléances et desiderata, avec des solutions. Cela peut aller du changement d’une ampoule à des questionnements sur la manière de participer à des groupes de travail. C’est basique certes, mais la satisfaction client est au cœur de notre objectif. Le Campus Cyber est une entreprise, et il faut que nos résidents soient heureux. Car un résident heureux est un résident qui reste, voire qui revient — certains nous ont quittés par le passé.
Et pour 2027 ?
En 2027, nous souhaitons créer trois nouveaux services qui font défaut actuellement. Il s’agit d’abord d’une plateforme d’accompagnement NIS2 pour les PME et pour les collectivi‐ tés locales concernées, afin qu’elles augmentent leur niveau de maturité cyber.
Le deuxième service est une forge de croissance des entreprises technologiques de la cyber. L’idée ? Que les bribes d’accompa‐ gnement des nouvelles startups qui se créent dans le secteur et dans le numérique de confiance soient orchestrées de manière cohérente, selon une chaîne continue, des premiers stades de l’entrepreneuriat à l’accélération sur les marchés européens. Troisième élément, développer une infrastructure de recherche et d’innovation, avec de l’intelligence artificielle, une infrastructure cyber mutualisée..., qui serait ouverte à tout l’écosystème, le but étant que startups et chercheurs se l’approprient.
En 2026‐2027, nous avons aussi l’Europe comme fil conducteur commun. Nous voulons développer au maximum les relations entre l’écosystème cyber français et ceux des autres pays européens, qui sont rarement aussi bien structurés qu’en France. Plus concrètement, créer un réseau des Campus Cyber en Europe pour que les écosystèmes se connaissent et qu’à terme, des clients allemands puissent se tourner naturellement vers des entreprises françaises pour leurs besoins cyber, et inversement. On ne peut pas espérer que l’Europe se peint aux seules couleurs de la France, il faut que les clients français fassent confiance aux solutions européennes. C’est ça, la préférence européenne.
La préférence européenne peut‐elle tenir face à l’attractivité du financement américain ?
J.C.-U. : Il faut décloisonner les écosystèmes européens en créant une communauté d’investisseurs locaux permet‐ tant de réunir des montants suffisamment importants pour concurrencer les Américains. Si une startup cherche à réu‐ nir un montant qu’elle n’arrive pas à lever en France, il faut que nous soyons capables de mobiliser des fonds européens. Selon l’organisation européenne ECSO, le marché européen de la cyber devrait passer de 63 milliards de dollars à environ 105 milliards de dollars d’ici 2030. Imaginons que ces 40 mil‐ liards de dollars supplémentaires profitent uniquement à des entreprises européennes. Vous allez avoir des entreprises dont les business models vont exploser ; il va falloir être en mesure de les accompagner financièrement. L’enjeu des ressources repose sur notre capacité à scaler l’offre (passage à l’échelle). Si, demain, le marché européen devait être réservé aux acteurs européens, nous devons créer les conditions pour que des géants émergent et que les fonds d’investissement suivent.
Est‐ce qu’il y a une décision difficile, voire impopulaire, que vous seriez prêt à prendre pour faire avancer le Campus Cyber ?
J.CU : L’orientation vers plus de souveraineté. Le Campus Cyber se lance, mais c’est un saut dans le vide. C’est facile de dire qu’il faut être souverain : politiquement, on ne prend pas de risque. En revanche, obtenir des résultats est beaucoup plus compli‐ qué. Je ne sais pas dans quelle mesure la dynamique que nous allons lancer va se traduire par des décisions de grands groupes ou d’administrations publiques en faveur d’un sourcing (appro‐ visionnement) plus français.
Autre aspect, il faut faire comprendre à tout le monde, y compris au sein du Campus, que l’on fait partie d’un écosystème et ce n’est pas juste nous qui allons le décréter depuis le treizième étage de la tour. Chacun est partie prenante, a sa responsabilité et sa pierre à apporter à l’édifice. Et cela implique de contribuer à la dynamique.
Au regard de quels indicateurs pourriez‐vous dire que votre présidence a été un succès ou non ?
J.CU : Encore une fois, je reste attaché au taux de satisfaction des clients : si les gens sont heureux, ils restent. Aujourd’hui, nous sommes à 90 % de mètres carrés loués. Il faut que ces mètres carrés soient doublés d’humains sur place et d’engagement dans l’écosystème.
Ensuite, serons‐nous parvenus à créer une dynamique qui permette à la filière cyber française de répondre aux besoins ? Quelle sera l’évolution de la part de marché de nos entreprises ? Sommes‐nous parvenus à créer des champions ? C’est existentiel pour l’Europe. Si nous restons face à une large part de marché américaine sur la cybersécurité ou sur d’autres secteurs, nous serons balayés, car l’emprise numérique des États‐Unis leur donne un pouvoir d’extinction de l’économie européenne qui est gigantesque.
En cybersécurité, la pénurie de talents est régulièrement évoquée comme un problème structurel. Selon vous, où se situent les blocages et quels leviers permettraient d’y remédier ?
J.CU : L’intelligence artificielle est un sujet dimension‐ nant. On peut imaginer que l’IA supprimerait une partie du déficit de compétences, simplement parce qu’on aurait moins besoin d’humains sur un certain nombre de tâches. Je pense que les estimations qui circulent dans les études de marché sont plutôt sous‐estimées, et le mouvement sera massif, y compris en cybersécurité. Nous avons d’ores et déjà de l’IA pour
aider les analystes de SOC, diminuer le nombre de faux positifs et les épauler dans l’analyse.
Nous pouvons donc imaginer, dans un scénario très pessimiste pour la race humaine — mais optimiste d’un point de vue instrumental —, que le déficit de compétences soit comblé parce que le robot prendra le relais. Je ne suis pas sûr que ce soit un avenir très désirable. À l’autre bout du spectre, dans l’hypothèse où l’IA ne suffira pas à combler le manque de bras, il va plutôt falloir identifier précisément où se situe la rareté des profils. Il y a un enjeu RH qui va consister à comprendre où se trouvent les goulots d’étranglement, où il y a plus d’étudiants que de demandes, et où, inversement, il y a des pénuries. Cela nous permettra, à nous, Campus Cyber, d’alerter les établissements de formation afin qu’ils s’adaptent en fonction des besoins.
Face à une menace cyber en accélération, notamment avec l’IA, la réponse technologique suffit‐elle encore ou le problème est‐il ailleurs ?
J.CU : Nous ne pourrons jamais dire que nous sommes parfaitement en sécurité. Par définition, la menace est évolutive : on ne peut pas exclure que demain émerge un nouveau type de menace sur une vulnérabilité non identifiée. D’autant que nous sommes dans une phase d’accélération de la menace avec l’IA. Il y a beaucoup de fantasmes, mais aussi des craintes justifiées sur les bouleversements qu’elle va engendrer. Pas tellement sur la nature de la menace, mais plutôt sur l’échelle et sur la vitesse. Les organisations vont être confrontées à une vitesse d’exécution et à une échelle bien différentes. Mais je pense qu’il ne faut pas tomber dans le piège de l’ap‐ proche technologiste de la cyber et se dire que la technologie répondra à tout.
Il s’agit aussi de sujets de gouvernance, d’adoption de la cybersécurité comme élément majeur d’une stratégie de gestion des risques en entreprise. Nous devons avoir un ensemble de règles et de pratiques internes qui, en plus de nos outils, nous permettent d’être protégés de manière satisfaisante.
Il y a un vrai enjeu de massification de la cybersécurité en France et en Europe, mais nous n’en sommes encore qu’au début. Finalement, NIS2 doit nous faire passer d’un monde où la cybersécurité était réservée à quelques acteurs critiques, à un monde où chacun devient, en quelque sorte, un acteur critique.
