Interview de Nicolas Dufourcq, Directeur général de Bpifrance.
Quand on lance son entreprise, on ne pense pas forcément tout de suite aux aspects de cybersécurité. On s’attache plutôt en premier lieu aux aspects financiers. Et pourtant tous nos outils de travail sont aujourd'hui digitalisés et celui qui veut lancer son entreprise sera forcément confronté au risque cyber. Et qui dit cyberattaque dit aussi pertes financières importantes. Alors comment accompagner les entreprises sur ces sujets ? Comment les sensibiliser aux risques dès leur création ?
Stoïk a rencontré Nicolas Dufourcq, Directeur général de la Banque publique d’investissement. À l’occasion du renouvellement de son mandat, nous revenons avec lui sur le rôle d’une telle institution et sur les enjeux de cybersécurité auxquels font face les entreprises qui constituent notre tissu économique.
Stoïk : Comment êtes-vous arrivé à la tête de Bpifrance ?
Nicolas Dufourcq : J'adore la page blanche. C'était un peu un chaos organisationnel d'agences et d'entreprises qui ne se coordonnaient pas, avec pour conséquence de créer une complexité terrible pour les entrepreneurs. Le tout dans un contexte institutionnel avec l'État d'un côté, la Caisse des dépôts, les conseils régionaux, de l'autre, les collectivités locales, l'Union européenne : très compliqué. Le pauvre entrepreneur était perdu. Ce qui m'intéressait, c'était de faire l'objet le plus simple possible et de le mettre au service des entrepreneurs.
Vous avez aussi écrit un livre, « La désindustrialisation de la France entre 1995 et 2015 », pourquoi vous êtes-vous lancé dans un tel ouvrage ?
Cela s'est fait après dix ans à la tête de Bpifrance. C'est dix ans de vie commune avec les entrepreneurs qui m'ont permis de me dire, au fond, : « Il faut comprendre ce qu’il s'est passé avant la création de Bpifrance ». Qu'est ce qui a fait que la France a décidé de faire cette banque d'investissement qui est unique au monde pour financer l’industrie ? Il n’y a pas un seul autre pays dans le monde où une banque, en l'occurrence une entreprise, concentre autant dans sa boîte à outils au service des entrepreneurs.
En fait, c'est la conséquence d'un drame qui est le drame des années 2000 et de la désindustrialisation rempante. Une histoire qui n'avait jamais été vraiment racontée avec un narratif complet, un peu comme un roman policier. Ça a commencé là-bas, et puis il s'est passé ça... Et puis, de fil en aiguille, le pays a perdu la moitié de son industrie.
C'est cela que je raconte et c'est le message que je veux porter avec ce livre. Le message, c'est qu'on peut se laisser collectivement emporter par une mode qui, en l'occurrence, était l'idée que la société pouvait être faite entièrement de services et que la France pouvait se passer d'industrie. C'est une hallucination collective et ça peut toujours revenir. La France est assez sensible à ce genre de phénomène et quand cela arrive, il faut résolument s'y opposer.
Maintenant, on peut rebâtir une partie de ce qui a été perdu. Tout n'a pas été perdu. Il reste encore une industrie française très puissante. Elle est beaucoup plus petite qu'avant, mais elle est très puissante. Elle est ultra motivante et elle a été complètement transformée. La chance, pour moi, c'est que maintenant, on peut rebâtir uniquement avec des technos ultramodernes et des usines décarbonées et c'est ce qu'on est en train de faire.
Bpifrance finance très fortement la réindustrialisation de la France. Et donc vous pouvez vous attendre à de nouvelles usines magnifiques qui seront de beaux objets très attractifs pour les jeunes, en particulier, et qui permettront à la France de retrouver un peu de sa souveraineté et beaucoup de sa fierté.
Quelles sont les spécificités d’une banque comme Bpifrance ?
Partout dans le monde, vous avez une agence d'innovation, vous avez une structure qui fait de l'investissement en capital. Et puis vous avez à côté une petite banque d'entrepreneurs. Et puis encore, vous avez une agence d'assurance-crédit export. Et puis enfin, vous avez une structure qui fait un peu de conseil aux entrepreneurs, le tout découpé en autant de régions que ce que vous avez dans votre pays. Ce n’est pas coordonné, et c’est très compliqué. En France, tout est regroupé au sein de Bpifrance.
L’entrepreneur vient sans même savoir ce qu'il cherche. Il ouvre un dialogue business avec nos collaborateurs qui sont tous d'ailleurs hyper jeunes, 60 % de femmes, très actifs, au service du client. À partir de là, on va tricoter des solutions avec vous, grâce à tous ces produits : des aides à l’innovation, du crédit, renforcer les fonds propres... et nous allons envoyer des consultants pour des missions de conseil, proposer à l’entrepreneur de rentrer dans nos écoles, les Accélérateurs, faire des missions à l’international, projeter l’entreprise sur les marchés étrangers, leur faire du crédit export. Bpifrance est bien plus qu'une banque. C’est un éditeur d’entrepreneurs. C'est à la fois une institution financière pilotée par une discipline du résultat exigeante, régulée par la Banque centrale européenne comme toutes les autres banques, et en même temps un outil de projection et de distribution de confiance. Une marraine, dans tous les terroirs, les vallées, les départements, militante de la transformation, de la croissance, de la décarbonation, de l’innovation. C’est un énorme outil de transformation de l'économie française.
Quelles sont les missions de Bpifrance? Est-ce qu'elles ont évolué depuis dix ans ?
Oui, car elles se transforment naturellement avec la France. Les grandes missions de 2023, c'est quoi ? C'est décarboner le tissu productif. C'est réindustrialiser, c'est transformer complètement, là aussi, l'écosystème des entreprises, avant tout par l'innovation. C'est France 2030, un programme de 54 milliards d'euros à déployer et dont Bpifrance est le principal opérateur. Nous avons déjà déployé 8 milliards d'euros en 2022. La mission d’aujourd’hui, c’est de retrouver par l’innovation une souveraineté pour la France.
Vous accompagnez combien d'entrepreneurs ?
Nous avons environ 200 000 clients actifs, dans lesquels nous avons des participations au capital, qui nous remboursent des prêts, ou encore des avances remboursables à l’innovation, etc. Chaque année nous signons 40 000 nouveaux contrats en direct. C'est pour cela que nos équipes sont en croissance. Nous recrutons 350 personnes par an, ce qui fait une croissance de 10% par an, pour assurer le contact direct avec les entrepreneurs sur tout le territoire au travers de nos 50 implantations.
Nous intervenons aussi indirectement auprès des entreprises en garantissant leurs crédits bancaires. Cela représente environ 100 000 clients supplémentaires. Et nous finançons également les réseaux d’accompagnement à la création d’entreprises avec pour objectif de doubler le nombre d’entrepreneurs d’ici 2030.
Quels sont les principaux risques qui ont été identifiés par Bpifrance pour les entreprises ?
Il y a un très gros besoin en matière de lutte contre le réchauffement climatique. Nous aidons les entrepreneurs à se décarboner pour des raisons éthiques et pour des raisons business. Cela va de soi. Pour beaucoup, c'est le risque fondamental. Ensuite, il y a évidemment le risque macroéconomique et géopolitique, mais je n'ai pas besoin de commenter. Et puis en effet, il y a les risques digitaux et techniques. On arrive à votre sujet qui est celui de la cybersécurité.
Quels sont les secteurs stratégiques qui ont été identifiés par Bpifrance ? Et qu'est-ce qui a été mis en place pour les accompagner ?
Si je parle de l'hyper stratégique, bien entendu, je rappelle qu’on finance toute la transition énergétique, le photovoltaïque, l'éolien, toute la filière des PME de la transition que nous retrouvons dans la communauté du coq vert. Ensuite, on arrive à la santé, à la production de beaucoup de médicaments, on finance la relocalisation d'ailleurs et la réindustrialisation française dans le domaine.
Ensuite, on finance énormément de choses qui peuvent vous paraître moins stratégiques, mais qui dans le PIB de la France comptent beaucoup, en particulier le tourisme et l'industrie. L'industrie c'est 60 % de nos fonds propres, c'est 30 % de crédits, c'est 70 % de notre financement en innovation et c'est 70 % de nos actions de conseil.
Quand est-ce que le sujet de la cybersécurité est devenu une priorité pour Bpifrance ?
On a commencé à tirer la sonnette d'alarme en 2018, quand on a compris qu'on avait un système d'information assez poreux. C'est important parce qu'évidemment Bpifrance est une cible intéressante. On a fait un gros travail en la matière. On s'est adapté aux nouvelles générations d'attaques qui sont des attaques beaucoup plus indiscriminées, automatisées, à base d'intelligence artificielle et qui nous ont amené à passer d'une sécurité défensive à une sécurité plus intelligente. C'est un combat permanent.
Évidemment, on a été attaqué à plusieurs reprises. Nous faisons des exercices en interne et parfois les collègues de la DSI me font très peur parce qu'ils ne me préviennent pas et montent des scénarios les plus abracadabrants les uns que les autres, auxquels certains collaborateurs ont pu participer et auxquels j’ai cru moi-même. Des mails de phishing, par exemple, des attaques foudroyantes avec communication à la presse, pour tester la capacité à tenir du comité exécutif.
Ensuite, on s'est beaucoup intéressé à nos clients. La prise de conscience est venue de l'interne. Certains de nos clients ont été terriblement blessés, en particulier une entreprise. Je peux le dire puisque son directeur général a décidé de le révéler publiquement pour alerter tout le monde : Beneteau. Nous sommes actionnaires de Beneteau, nous avons donc constaté les conséquences. Nous avons vu encore une fois, que les robots d’attaque étaient complètement indiscriminés et qu’ils pouvaient un jour attaquer une entreprise de faïence ou une entreprise de transport le surlendemain. Il n’y a plus de spécialisation par secteur.
Tous nos clients sont arrosés par des robots qui cherchent des failles. Tous nos clients doivent se défendre. On a commencé à les sensibiliser, puis les éduquer, publier toutes sortes de manuels. Du « qui fait quoi » du « que faire en cas de ? ». Et on va aller plus loin maintenant , puisqu'on va leur proposer de s'équiper de logiciels d’EDR de manière très large.
On passe donc de la sensibilisation à la recommandation. Des EDR parce que c'est totalement critique, ce ne sont pas des outils très onéreux. Ils sont pourtant fondamentaux dans notre responsabilité de FinTech qui propose des plateformes digitales et qui pousse du logiciel à nos clients, y compris de cybersécurité. Aujourd’hui, nous sommes arrivés à un stade où tout le monde dit “ok, j'ai compris, mais donnez-moi le numéro de téléphone de quelqu'un qui peut m'aider.”
Est-ce que vous avez déjà été confronté à des cas de crise cyber ?
Bpifrance est attaqué tous les jours. Pour l'instant, nous n'avons pas eu de crise, mais parce que les attaques ont été immédiatement repoussées. Toutes les banques françaises sont attaquées plusieurs fois par jour.
Selon vous, quel est le secteur d'activité qui est aujourd'hui le plus concerné par le risque cyber ?
Avant, on pouvait dire aujourd’hui c’est la finance et demain l'industrie, mais maintenant avec cette stratégie d’arrosage, cela peut concerner un hôpital, une association, des entreprises du CAC 40… Tout le monde se digitalise avec des plateformes et des services en ligne pour améliorer l'expérience client. Cela multiplie les points de vulnérabilité des organisations.
En quoi est ce que le secteur de l'industrie est concerné par le risque cyber ?
Aujourd'hui tout est en ligne : toutes les données stockées dont on a besoin pour travailler. Si vous n'avez pas d’ERP, l'usine s'arrête.
Quel a été l'impact du digital sur la désindustrialisation ?
Au début des années 2000, quantité de PME industrielles travaillaient encore avec des fax ou imprimaient les emails. La grande transformation culturelle remonte aux années 2000, avec l'Internet français. Il a décollé en 98. A cette époque, la plupart des PME n’avaient pas de site web. Les jeunes qui me lisent ne peuvent pas imaginer ce que c'était, mais pourtant c'était comme ça.
Est-ce que ça va accélérer la désindustrialisation de la France à cette époque-là ? Le fait que le digital fasse son apparition sur le marché au même moment, non, je ne pense pas qu'on puisse dire ça. On avait un retard terrible dans la robotisation. Alors oui, la robotisation c'est le digital. Mais les grandes entreprises françaises se sont plutôt bien emparées à l'époque des ERP. Elles se sont informatisées et les plus petites ont suivi. L’informatisation s'est faite, mais les produits finaux étaient trop chers, pas suffisamment compétitifs pour l'export.
A contrario, le digital pourrait faire renaître les sites industriels. Les usines qui se construisent aujourd’hui sont full digital, robotisées, décarbonées. Elles sont sur de bonnes constantes de compétitivité par rapport à l'Allemagne, l'Europe du Nord et même à l'Italie du Nord. C’est ce qui nous permet de tenir.
Un message à faire passer ?
Ce n'est pas parce que l'année 2023 est une année marquée par de grands sujets, nouveaux, comme le prix de l'énergie, la difficulté à recruter, etc...qu’il faut en rabattre l’ambition. C'est comme ça, c'est la vie… les entrepreneurs sont extrêmement résilients. C’est parce qu'ils ont tout à faire qu'il ne faut pas qu'ils remettent à l'année prochaine la question de la cybersécurité. La cyber, c'est maintenant. C'est vraiment une question et c'est comme de conduire sans assurance.
Merci à M. Dufourcq d'avoir accepté de répondre à nos questions.