ExpertCyber, le label officialisé début 2021 par le site Cybermalveillance.gouv.fr, prend de l’ampleur selon Franck Gicquel, son responsable des partenariats. Validé par l’Afnor et plus abordable que celui de l’Anssi, il reconnait déjà l’expertise de soixante professionnels en cyber sécurité assurant des prestations d’installation, de maintenance et d’assistance en cas d’incident.
Olivier Bellin, magazine Solutions Numériques : Quelles entreprises font appel à l’équipe de cybermalveillance.gouv.fr pour intervenir ou prévenir une cyber attaque ?
Franck Gicquel, responsable des partenariats cybermalveillance.gouv.fr, le site créé par le Gouvernement pour assister les particuliers, les petites entreprises et collectivités victimes de cybermalveillance :
Le site cybermalveillance.gouv.fr cible les TPE, PME et les petites collectivités, contrairement à l’Anssi (Agence nationale de la sécurité des systèmes d’information) qui adresse elle davantage les plus grandes entreprises et les comptes stratégiques. Pour les aider à prévenir et gérer des cyberattaques, Cybermalveillance.gouv.fr a officialisé début 2021 le label ExpertCyber. Il reconnait l’expertise des professionnels en sécurité numérique assurant des prestations d’installation, de maintenance et d’assistance en cas d’incident.
Votre label ExpertCyber est-il une version allégée de ceux de l’Anssi ?
Nous y avons pensé car nous ne voulions pas réinventer la roue, mais nous y avons renoncé car le fonctionnement du label ExpertCyber de cybermalveillance.gouv.fr est différent. En effet, nous privilégions une certification des partenaires basée sur le triptyque Installation – sécurisation / maintenance / assistance car nous adressons beaucoup de PME en région. En outre, l’investissement budgétaire et humain demandé pour obtenir notre label est beaucoup moins important que pour ceux de l’Anssi. En effet, cybermalveillance.gouv.fr a conscience que les petits prestataires IT régionaux spécialisés en cyber sécurité ne peuvent pas tous investir autant sur notre triptyque que de grandes structures nationales. Nous avons développé le label ExpertCyber dès 2019, en partenariat avec les principaux syndicats professionnels du secteur (Fédération Eben, Cinov Numérique et Syntec Numérique), la Fédération Française de l’Assurance (FFA) et le soutien de l’Afnor.
Votre label est-il réservé uniquement aux entreprises françaises ?
La souveraineté est un vrai sujet mais que Cybermalveillance.gouv.fr n’adresse pas avec son label car notre priorité est d’éduquer le secteur. Il est ouvert à toutes les entreprises implantées en France disposant d’un numéro de Siret, même si leur siège n’est pas en France. Mais attention, Cybermalveillance.gouv.fr labellise les candidats au niveau régional par site géographique, y compris pour les entreprises multisites. En effet, les équipes d’un même groupe implantées dans certaines villes sont parfois moins compétentes en cyber sécurité que celles implantées dans d’autres. Donc toutes doivent avoir le même niveau pour que le prestataire obtienne notre label.
Tous les prestataires IT sont-ils éligibles au label ExpertCyber, et sur quels critères ?
Oui, si ces prestataires IT remplissent au moins les critères de l’un des volets du triptyque Installation – sécurisation / maintenance / assistance. Cybermalveillance.gouv.fr assume son parti pris de ne choisir que des candidats qui répondent aux trois exigences de notre label ExpertCyber. Pour être sélectionnés, ils doivent obtenir au moins 60 des 100 points demandés, dont certains reposent sur des critères éliminatoires. Ce classement tient compte des différentes compétences des prestataires, qui sont très hétérogènes, tout comme les besoins des PME.
Pourquoi les candidats doivent-ils obtenir uniquement la note 60 sur 100 pour décrocher le label ExpertCyber de cybermalveillance.gouv.fr ?
Cybermalveillance.gouv.fr a mis le curseur de sélection à 60 points validés sur 100 après avoir réalisé des tests de faisabilité. En effet, certains prestataires IT sont plus compétents que d’autres et nous ne pouvions pas leur demander d’être performants dans tous les domaines, sinon nous aurions dû créer plusieurs labels sectoriels. Nous voulions aussi donner envie aux prestataires qui sont limite d’investir avec nous dans la durée pour se mettre à niveau. Il est possible que nous remontions le curseur à 70 si nous constatons que le niveau général des candidats monte. Mais pour l’heure, je constate que cette approche intéresse les candidats et qu’ils sont prêts à se mettre à niveau pour se faire labelliser. Se pose ensuite la question de leur formation et de la façon dont nous les aidons à utiliser nos référentiels et outils pour monter en charge.
Les pénuries de compétences en cybersécurité freinent-elles la certification des prestataires ?
Pas pour l’instant, mais cela peut changer car il existe une vraie pénurie de compétences en cybersécurité que constatent tous les candidats au label ExpertCyber.
Combien de prestataires IT ont-ils déjà décroché votre label ExpertCyber ?
Cybermalveillance.gouv.fr a déjà labellisé près de 60 spécialistes en cyber sécurité. Nous en annoncerons d’autres suite au récent rétablissement de la plateforme web de l’Afnor. J’estime que nous pouvons labelliser au moins 2 à 3 prestataires par département en France métropolitaine et en Outre-Mer. Nous pourrions atteindre les 200 labellisés prochainement. Je précise que notre label est valable deux ans, une durée réaliste et pertinente car les questions de cyber sécurité évoluent vite. Notre plateforme référence également 1100 prestataires spécialisés, essentiellement dans l’assistance, qui n’ont pas tous obligatoirement le label.
Quel est le coût de la labellisation ExpertCyber pour les candidats ?
Cybermalveillance.gouv.fr propose aux prestataires IT une labellisation à un coût très faible, de seulement 1000 euros. Une première dans le secteur rendue possible par le fait que notre organisation est un groupement d’intérêt public qui n’est pas rémunéré. Tout l’argent versé par le prestataire passe dans l’audit réalisé par l’Afnor à partir d’une base documentaire, ce qui lui permet de créer une procédure simplifiée et économique pour les candidats.
Un prestataire IT a-t-il l’obligation d’être labellisé par Cybermalveillance.gouv.fr ou l’Anssi pour intervenir sur un cyber incident ?
Non. Aucune obligation réglementaire n’oblige un prestataire IT à être labellisé pour intervenir sur un cyber incident, même dans le secteur public. Toutefois, notre référentiel pourrait intéresser les équipes des Centres de réponses à incident (Csirt) qui redirigent les victimes vers les bons organismes.
Envisagez-vous la création avec d’autres organisations européennes d’un label ExpertCyber européen ?
Un tel label n’existe que dans très peu de pays en Europe. Nous y réfléchissons car il y a eu un cap franchi en 2020 en matière de cyber menaces, avec une vraie prise de conscience par les entreprises européennes, dont les TPE ou PME notamment.
