Longtemps perçue comme un sujet technique réservé aux spécialistes IT, la cybersécurité s’impose aujourd’hui comme un pilier stratégique du secteur de la défense. En Wallonie et à Bruxelles, elle conditionne désormais l’accès aux marchés et la crédibilité des entreprises industrielles.
Le rapport des entreprises à la cybersécurité a profondément évolué ces dernières années. Pour Jérémy Grandclaudon, expert senior en cybersécurité à l’AdN, ce basculement est désormais très net : "Il y a encore quelques années, quand je parlais de la cybersécurité à des entreprises industrielles, elles me disaient que ça ne les concernait pas. Leurs responsables me disaient avec ironie comprendre mes mots, mais pas mes phrases. Aujourd’hui, c’est terminé. La cybersécurité les concerne directement, ça les inquiète, et la question n’est plus de savoir si le risque existe, mais comment l’adresser concrètement."
Une menace qui dépasse l'IT classique
Cette prise de conscience est encore plus marquée dans le secteur de la défense, où la cybermenace ne se limite pas à des attaques informatiques classiques, mais peut avoir des conséquences opérationnelles directes. Les conflits récents ont mis en lumière la vulnérabilité des systèmes connectés, des communications et des chaînes logistiques. Jean-Christophe Deprez, Directeur de la Recherche et de l’Innovation au CETIC, rappelle que la cybersécurité doit être envisagée de manière globale : "La cybersécurité ne concerne pas uniquement l’IT classique. Elle touche aussi les systèmes embarqués, les systèmes cyber-physiques et toute la supply chain. Un sous-traitant qui développe un composant apparemment secondaire peut devenir un maillon faible et bloquer toute une chaîne de production ou un système opérationnel. "
Une réalité bien connue au sein de l’écosystème aéro-défense. Anthony Bievelez, Project Manager chez SkyWin, rappelle que la cybersécurité s’inscrit dans des chaînes industrielles complexes, structurées autour d’OEM (Original Equipment Manufacturer) et de nombreux niveaux de sous-traitance : "Dans la défense comme dans l’aéronautique, on est sur des systèmes très intégrés. Il y a un donneur d’ordre principal, puis toute une cascade de sous-traitants. Si un maillon est insuffisamment sécurisé, c’est l’ensemble du système qui devient vulnérable."
Secure by design et supply chain. Changer de logique
Face à cette réalité, le secteur de la défense évolue vers une approche Secure by Design, où la sécurité est intégrée dès la conception des systèmes, et non ajoutée a posteriori. Cette approche implique des méthodes rigoureuses, des tests systématiques et une meilleure maîtrise des composants logiciels : "Aujourd’hui, les logiciels sont composés de millions de lignes de code et de briques réutilisées. Il est mathématiquement impossible de trouver toutes les failles. L’enjeu est donc d’identifier les zones les plus critiques et d’organiser des tests de pénétration ciblés, de manière structurée et reproductible." ajoute Jean-Christophe Deprez.
Cette exigence ne concerne pas uniquement les grands groupes. Au contraire, elle s'étend désormais progressivement à l'ensemble de la chaîne de valeur. Jérémy Grandclaudon insiste sur ce point : "On n’attaque presque jamais directement les grandes entreprises très sécurisées. On attaque leur sous-traitant, celui qui a une pièce de code ou un composant moins protégé. C’est pour cela que la surveillance et la sécurisation de la supply chain deviennent une obligation majeure pour les deux ou trois prochaines années."
Dans ce contexte, certains donneurs d’ordre changent de posture : plutôt que d’exclure leurs partenaires les plus fragiles, ils cherchent de plus en plus à les accompagner dans leur montée en maturité cyber, afin de préserver la robustesse globale de l’écosystème.
Réglementations européennes. Contraintes et opportunités
L’entrée en vigueur de cadres réglementaires européens comme NIS2 ou le Cyber Resilience Act (CRA) accélère encore cette transformation. Même si la défense n’est pas toujours directement soumise à ces textes, leurs effets se font sentir dans l’ensemble de l’écosystème industriel. Jean-Christophe Deprez souligne leur rôle structurant : "NIS2 et le Cyber Resilience Act imposent des exigences claires en matière de sécurité, d’organisation et de responsabilité. Pour beaucoup d’entreprises industrielles, ce sont des contraintes fortes, mais elles peuvent aussi devenir des références communes, évitant que la défense impose des exigences complètement différentes du monde civil."
Pour Jérémy Grandclaudon, ces obligations peuvent même devenir un avantage concurrentiel : "Les entreprises qui s’y prennent tôt vont avoir un avantage énorme. Elles auront déjà "avalé la pilule" quand les autres commenceront à s’y mettre. Pendant un an ou un an et demi, celles qui peuvent montrer patte blanche en cybersécurité seront clairement favorisées dans l’accès aux contrats, notamment dans la défense."
La cybersécurité n’est donc plus uniquement un centre de coûts. Elle devient un critère de sélection, voire un facteur de différenciation stratégique.
Souveraineté numérique et dépendances technologiques
Au-delà des risques opérationnels, la cybersécurité pose la question plus large de la souveraineté numérique. Dépendance aux solutions extra-européennes, explosion des coûts du cloud, maîtrise des données sensibles autant de sujets qui prennent une dimension nouvelle dans le contexte de la défense.
"Il existe des solutions clés sur porte qui fonctionnent très bien. Mais dès qu’on parle de souveraineté, de maîtrise réelle des outils et des coûts, le catalogue se réduit fortement. Aujourd’hui, beaucoup d’acteurs se disent qu’ils doivent explorer des alternatives européennes, voire locales, parce que la dépendance devient un risque en soi." observe Jérémy Grandclaudon.
Un constat complété par Jean-Pierre Chisogne, Deputy Director chez SkyWin , qui ajoute que cette réflexion ouvre aussi des perspectives positives : "La Wallonie dispose d’une expertise forte, reconnue en aéronautique, en spatial et en cybersécurité. La Belgique, membre fondateur de l’ESA, est très active sur ces sujets. L’écosystème est là, structuré depuis des années, et il s’organise progressivement autour de ces nouveaux enjeux."