Rapport présenté
Avis du CESECC
Le Conseil économique, social, environnemental et culturel de Corse est saisi pour avis du rapport relatif à la stratégie cybersécurité de la Corse "CyberCorsica", ainsi que de ses annexes.
Ce rapport s’inscrit dans le cadre du Schéma directeur territorial d’aménagement numérique (stratégie SMART ISULA), adopté en 2022, dont il constitue le 12ème livret, consacré à la cybersécurité. Il vise à définir une stratégie territoriale en matière de cybersécurité et à en fixer les orientations opérationnelles.
La stratégie présentée a pour objet de structurer l’action publique en matière de cybersécurité, en vue de renforcer la protection des acteurs, des infrastructures et des usages numériques à l’échelle de la Corse.
Élaborée dans le cadre d’une concertation associant les acteurs publics et privés, elle repose sur un état des lieux de l’écosystème insulaire, identifie des enjeux prioritaires et prévoit un plan d’actions ainsi qu’une gouvernance dédiée, incluant une charte et un règlement intérieur.
Le projet de délibération prévoit l’approbation de cette stratégie, son intégration à Smart Isula, ainsi que la mise en œuvre de ses modalités de gouvernance et de financement.
Il souligne la qualité du travail présenté et la pertinence de la stratégie proposée, celle-ci intervenant dans un contexte où la filière demeure fragile et encore en phase de construction.
Le CESECC observe que la stratégie constitue un maillon venant compléter les dispositifs existants sans pour autant garantir à elle seule une montée en maturité du secteur, et met en évidence un besoin de structuration progressive de la filière, permettant d’assurer son développement et sa consolidation dans la durée.
En ce qui concerne la portée internationale de la stratégie CyberCorsica, le CESECC relève que le rapport ne mentionne qu’un seul événement (European digital information hub, p. 30). Or, comme indiqué en page 18 ("Des entreprises cyber très fragiles"), l’élargissement du marché apparaît déterminant, faute de quoi la stratégie pourrait favoriser des compétences externes, à rebours de l’objectif poursuivi.
Le CESECC suggère ainsi à la Collectivité de Corse d’engager une démarche mutualisée avec la Sardaigne et les Baléares ou, à défaut, de conduire une étude de marché sur ces territoires.
Il considère que ces espaces présentent des vulnérabilités similaires (insularité, dépendance aux câbles sous-marins, tissu de TPE, saisonnalité touristique, moyens limités) et que ces contraintes pourraient constituer un levier collectif.
Dans ce contexte, la mutualisation avec la Sardaigne (1,6 million d’habitants) et les Baléares (1,2 million), portant le bassin à plus de 3 millions d’habitants contre environ 350 000 en Corse, serait susceptible de modifier l’équation économique des entreprises cyber insulaires, avec l’appui de la Collectivité de Corse.
Selon le CESECC, la mise en œuvre de dispositifs européens pourrait porter ainsi cette coopération de manière bien plus convaincante pour la Commission européenne qu'un projet strictement corse.
Plus généralement, le CESECC recommande de renforcer le rôle de coordination de la Collectivité de Corse afin de structurer durablement l’écosystème et d’assurer la cohérence des actions engagées.
Le CESECC note que les flux numériques de la Corse reposent à 90% sur deux câbles sous-marins qui représentent une vulnérabilité réelle.
Il recommande de réfléchir à des plans de continuité d'activité robustes et la conception d'infrastructures de communication de secours.
Il relève que la dispersion des informations et l’absence de centralisation à l’échelle territoriale limitent actuellement la capacité d’analyse et de compréhension des risques.
Le CESECC observe la nécessité de mieux recenser et mutualiser les données relatives aux incidents, y compris lorsque ceux-ci relèvent d’événements survenus à l’échelle nationale mais ayant un impact sur le territoire.
Le CESECC recommande de prioriser la mise en œuvre d’un observatoire territorial des cybermenaces.
Il préconise d’organiser la mutualisation des retours d’expérience entre acteurs publics et privés, afin d’améliorer la connaissance des risques et la capacité d’anticipation.
Le CESECC observe que cette approche centrée sur la connaissance et la mutualisation des données pourrait être utilement articulée avec les principes définis dans la Charte de la donnée et de l’intelligence artificielle de la Corse, notamment en matière de maîtrise des flux de données et des conditions d’hébergement.
Il préconise de clarifier cette articulation afin de renforcer la cohérence d’ensemble des politiques publiques numériques à l’échelle territoriale.
Il observe que la structuration d’une offre de formation constitue un enjeu central, mais que celle-ci doit s’accompagner de débouchés économiques suffisants pour garantir l’insertion professionnelle.
Le CESECC considère que les initiatives engagées par l’Université de Corse en matière de formation et de sensibilisation constituent une base solide, mais nécessitent d’être renforcées et articulées avec les besoins de la filière.
Par ailleurs, le CESECC relève que l'enjeu 4 "Formation et accompagnement des compétences" pourrait utilement être porté dans les priorités d'action 2026-2028 (cf. pages 42 et 43).
Le CESECC recommande de structurer une offre de formation adaptée aux besoins de la filière cyber en Corse, en lien étroit avec les acteurs économiques.
Il suggère de renforcer les dispositifs d’attractivité et d’incitation à l’installation de compétences sur le territoire.
Il recommande de favoriser les liens entre formation et insertion professionnelle, afin de consolider durablement la filière.
Il observe que les spécificités du territoire, notamment la structure du tissu économique composé majoritairement de TPE, nécessitent des dispositifs adaptés.
Le CESECC, conscient de l'importance de développer des dispositifs de sensibilisation et de de médiation numérique à destination de différents publics, y compris les jeunes, recommande de déployer des actions à cet effet en tenant compte des spécificités du territoire.
Il préconise le développement de dispositifs mutualisés d’accompagnement adaptés aux TPE et aux collectivités à dominante rurale en prenant en compte leur faible capacité à se doter de postes dédiés à la cybersécurité.
Il observe que le coût des ressources humaines qualifiées (niveau ingénierie) et des formations dans le domaine de la cybersécurité est élevé, ce qui peut contraindre la mise en œuvre effective de la stratégie.
Le CESECC recommande de veiller à l’adéquation entre les ambitions de la stratégie et les moyens financiers mobilisés.
Il préconise d’identifier des leviers complémentaires de financement afin d’assurer la soutenabilité des actions engagées.
Le CESECC observe que le Campus Cyber de Corse constitue l'ambition la plus structurante de la stratégie à long terme.
Il note cependant que les conditions de sa mise en œuvre effective demeurent très incertaines et il souhaite que la phase de préfiguration débouche sur un rapport incluant une étude de de viabilité économique et un plan de financement pluriannuel réaliste.
Il relève que cette dimension a été identifiée par les services de la Collectivité de Corse, et qu’elle appelle une vigilance particulière dans la mise en œuvre de la stratégie.
Le CESECC recommande d’intégrer de manière explicite les enjeux environnementaux du numérique dans le déploiement de la stratégie cybersécurité.
Il préconise de veiller à la prise en compte de ces impacts dans les travaux à venir, notamment dans le cadre de la feuille de route annoncée en matière de numérique responsable.
Conclusion
Le CESECC souligne l’intérêt de la stratégie cybersécurité de la Corse "CyberCorsica", qui constitue une étape structurante dans la prise en compte des enjeux numériques à l’échelle territoriale. Il tient à saluer le travail conséquent et sérieux réalisé par les services de la Collectivité de Corse dans l’élaboration de cette stratégie.
Le CESECC émet un avis favorable sur ce rapport.
Il estime toutefois que sa réussite reposera sur la capacité à structurer durablement la filière cyber insulaire, à renforcer la coordination entre les acteurs et à accompagner la montée en maturité de l’écosystème.
À ce titre, il recommande de consolider la gouvernance, de prioriser les outils de connaissance et de mutualisation des menaces, ainsi que de renforcer les actions en matière de formation, d’attractivité et de sensibilisation, en particulier à destination des très petites entreprises et des collectivités à dominante rurale.
Le CESECC appelle également à veiller à l’adéquation des moyens mobilisés, à intégrer les enjeux environnementaux liés au numérique et à développer les coopérations, notamment à l’échelle méditerranéenne.
Ce rapport s’inscrit dans le cadre du Schéma directeur territorial d’aménagement numérique (stratégie SMART ISULA), adopté en 2022, dont il constitue le 12ème livret, consacré à la cybersécurité. Il vise à définir une stratégie territoriale en matière de cybersécurité et à en fixer les orientations opérationnelles.
La stratégie présentée a pour objet de structurer l’action publique en matière de cybersécurité, en vue de renforcer la protection des acteurs, des infrastructures et des usages numériques à l’échelle de la Corse.
Élaborée dans le cadre d’une concertation associant les acteurs publics et privés, elle repose sur un état des lieux de l’écosystème insulaire, identifie des enjeux prioritaires et prévoit un plan d’actions ainsi qu’une gouvernance dédiée, incluant une charte et un règlement intérieur.
Le projet de délibération prévoit l’approbation de cette stratégie, son intégration à Smart Isula, ainsi que la mise en œuvre de ses modalités de gouvernance et de financement.
- Structuration de la filière cyber et niveau de maturité
Il souligne la qualité du travail présenté et la pertinence de la stratégie proposée, celle-ci intervenant dans un contexte où la filière demeure fragile et encore en phase de construction.
Le CESECC observe que la stratégie constitue un maillon venant compléter les dispositifs existants sans pour autant garantir à elle seule une montée en maturité du secteur, et met en évidence un besoin de structuration progressive de la filière, permettant d’assurer son développement et sa consolidation dans la durée.
En ce qui concerne la portée internationale de la stratégie CyberCorsica, le CESECC relève que le rapport ne mentionne qu’un seul événement (European digital information hub, p. 30). Or, comme indiqué en page 18 ("Des entreprises cyber très fragiles"), l’élargissement du marché apparaît déterminant, faute de quoi la stratégie pourrait favoriser des compétences externes, à rebours de l’objectif poursuivi.
Le CESECC suggère ainsi à la Collectivité de Corse d’engager une démarche mutualisée avec la Sardaigne et les Baléares ou, à défaut, de conduire une étude de marché sur ces territoires.
Il considère que ces espaces présentent des vulnérabilités similaires (insularité, dépendance aux câbles sous-marins, tissu de TPE, saisonnalité touristique, moyens limités) et que ces contraintes pourraient constituer un levier collectif.
Dans ce contexte, la mutualisation avec la Sardaigne (1,6 million d’habitants) et les Baléares (1,2 million), portant le bassin à plus de 3 millions d’habitants contre environ 350 000 en Corse, serait susceptible de modifier l’équation économique des entreprises cyber insulaires, avec l’appui de la Collectivité de Corse.
Selon le CESECC, la mise en œuvre de dispositifs européens pourrait porter ainsi cette coopération de manière bien plus convaincante pour la Commission européenne qu'un projet strictement corse.
Plus généralement, le CESECC recommande de renforcer le rôle de coordination de la Collectivité de Corse afin de structurer durablement l’écosystème et d’assurer la cohérence des actions engagées.
Le CESECC note que les flux numériques de la Corse reposent à 90% sur deux câbles sous-marins qui représentent une vulnérabilité réelle.
Il recommande de réfléchir à des plans de continuité d'activité robustes et la conception d'infrastructures de communication de secours.
- Observation, connaissance et mutualisation des menaces cyber
Il relève que la dispersion des informations et l’absence de centralisation à l’échelle territoriale limitent actuellement la capacité d’analyse et de compréhension des risques.
Le CESECC observe la nécessité de mieux recenser et mutualiser les données relatives aux incidents, y compris lorsque ceux-ci relèvent d’événements survenus à l’échelle nationale mais ayant un impact sur le territoire.
Le CESECC recommande de prioriser la mise en œuvre d’un observatoire territorial des cybermenaces.
Il préconise d’organiser la mutualisation des retours d’expérience entre acteurs publics et privés, afin d’améliorer la connaissance des risques et la capacité d’anticipation.
Le CESECC observe que cette approche centrée sur la connaissance et la mutualisation des données pourrait être utilement articulée avec les principes définis dans la Charte de la donnée et de l’intelligence artificielle de la Corse, notamment en matière de maîtrise des flux de données et des conditions d’hébergement.
Il préconise de clarifier cette articulation afin de renforcer la cohérence d’ensemble des politiques publiques numériques à l’échelle territoriale.
- Formation, compétences et attractivité de la filière
Il observe que la structuration d’une offre de formation constitue un enjeu central, mais que celle-ci doit s’accompagner de débouchés économiques suffisants pour garantir l’insertion professionnelle.
Le CESECC considère que les initiatives engagées par l’Université de Corse en matière de formation et de sensibilisation constituent une base solide, mais nécessitent d’être renforcées et articulées avec les besoins de la filière.
Par ailleurs, le CESECC relève que l'enjeu 4 "Formation et accompagnement des compétences" pourrait utilement être porté dans les priorités d'action 2026-2028 (cf. pages 42 et 43).
Le CESECC recommande de structurer une offre de formation adaptée aux besoins de la filière cyber en Corse, en lien étroit avec les acteurs économiques.
Il suggère de renforcer les dispositifs d’attractivité et d’incitation à l’installation de compétences sur le territoire.
Il recommande de favoriser les liens entre formation et insertion professionnelle, afin de consolider durablement la filière.
- Sensibilisation, acculturation et accompagnement des publics
Il observe que les spécificités du territoire, notamment la structure du tissu économique composé majoritairement de TPE, nécessitent des dispositifs adaptés.
Le CESECC, conscient de l'importance de développer des dispositifs de sensibilisation et de de médiation numérique à destination de différents publics, y compris les jeunes, recommande de déployer des actions à cet effet en tenant compte des spécificités du territoire.
Il préconise le développement de dispositifs mutualisés d’accompagnement adaptés aux TPE et aux collectivités à dominante rurale en prenant en compte leur faible capacité à se doter de postes dédiés à la cybersécurité.
- Moyens financiers et soutenabilité de la stratégie
Il observe que le coût des ressources humaines qualifiées (niveau ingénierie) et des formations dans le domaine de la cybersécurité est élevé, ce qui peut contraindre la mise en œuvre effective de la stratégie.
Le CESECC recommande de veiller à l’adéquation entre les ambitions de la stratégie et les moyens financiers mobilisés.
Il préconise d’identifier des leviers complémentaires de financement afin d’assurer la soutenabilité des actions engagées.
Le CESECC observe que le Campus Cyber de Corse constitue l'ambition la plus structurante de la stratégie à long terme.
Il note cependant que les conditions de sa mise en œuvre effective demeurent très incertaines et il souhaite que la phase de préfiguration débouche sur un rapport incluant une étude de de viabilité économique et un plan de financement pluriannuel réaliste.
- Enjeux environnementaux du numérique
Il relève que cette dimension a été identifiée par les services de la Collectivité de Corse, et qu’elle appelle une vigilance particulière dans la mise en œuvre de la stratégie.
Le CESECC recommande d’intégrer de manière explicite les enjeux environnementaux du numérique dans le déploiement de la stratégie cybersécurité.
Il préconise de veiller à la prise en compte de ces impacts dans les travaux à venir, notamment dans le cadre de la feuille de route annoncée en matière de numérique responsable.
Conclusion
Le CESECC souligne l’intérêt de la stratégie cybersécurité de la Corse "CyberCorsica", qui constitue une étape structurante dans la prise en compte des enjeux numériques à l’échelle territoriale. Il tient à saluer le travail conséquent et sérieux réalisé par les services de la Collectivité de Corse dans l’élaboration de cette stratégie.
Le CESECC émet un avis favorable sur ce rapport.
Il estime toutefois que sa réussite reposera sur la capacité à structurer durablement la filière cyber insulaire, à renforcer la coordination entre les acteurs et à accompagner la montée en maturité de l’écosystème.
À ce titre, il recommande de consolider la gouvernance, de prioriser les outils de connaissance et de mutualisation des menaces, ainsi que de renforcer les actions en matière de formation, d’attractivité et de sensibilisation, en particulier à destination des très petites entreprises et des collectivités à dominante rurale.
Le CESECC appelle également à veiller à l’adéquation des moyens mobilisés, à intégrer les enjeux environnementaux liés au numérique et à développer les coopérations, notamment à l’échelle méditerranéenne.
