Après dix-huit mois de maturation Cybermalveillance.com a dévoilé le mois dernier ExpertCyber, un label officiel garantissant aux entreprises de toute taille que les entreprises de services numériques qui en sont détentrices sont compétentes pour les accompagner dans leurs problématiques de cybersécurité. Revue de détail de ce nouveau dispositif, mentionné par Emmanuel Macron le 18 février dans le cadre de l’annonce de la stratégie nationale pour la cybersécurité, avec Franck Gicquel, responsable des partenariats de Cybermalveillance.gouv.
Channelnews : Pouvez-vous rappeler ce qu’est Cybermalveillance.gouv ?
Franck Gicquel : Cybermalveillance.gouv.fr est un dispositif d’information, de prévention, de formation et d’assistance aux victimes d’actes de cybermalveillance qui existe depuis 2017. Il est porté par un GIP (Groupement d’intérêt public) émanant de l’État baptisé Acyma. C’est ce GIP qui à l’origine de ce label ExpertCyber.
Channelnews : Pourquoi un label autour de la cybersécurité ?
Franck Gicquel : ExpertCyber a été développé en partenariat avec les principaux syndicats professionnels du secteur (Fédération Eben, Cinov Numérique, Syntec Numérique), et différentes organisations professionnelles (Fédération Française de l’Assurance (FFA), Medef, CPME…). Il vise à reconnaître l’expertise des prestataires de services numériques assurant des prestations d’installation, de maintenance et d’assistance dans le domaine de la sécurité numérique. L’idée c’est d’apporter un premier niveau de lisibilité aux professionnels qui sont très éloignés du sujet et qui ne savent pas à qui s’adresser. L’objectif, c’est de véhiculer la notion de prestataire de confiance et de faire de ce label une référence en matière de cybersécurité. Jusqu’ici les seuls référenciels existants en la matière étaient les visas de l’ANSSI. Mais ce sont des référenciels de très haut niveau orientés grands comptes qui ne correspondaient pas aux besoins des plus petites entreprises.
Channelnews : Comment ça marche ?
Franck Gicquel : L’expertise des prestataires est vérifiée sur la base d’un audit réalisé par un organisme certificateur, en l’occurrence l’Afnor. Une vingtaine de critères sont évalué comme la conformité RGPD du prestataire, le fait qu’il ait contracté ou non une assurance pour le risque cyber, sa connaissance de l’écosystème cyber, le fait qu’il détienne des certifications constructeurs, sa capacité à remonter les incidents, à produire des comptes rendus d’intervention et à conserver des preuves des attaques, etc. Le tout est complété par un questionnaire technique. Certains critères sont obligatoires (éliminatoires). Pour avoir le label, il faut obtenir 60 points sur un barème de 100. Une fois obtenu, il est valable deux ans.
Channelnews : Quel est le bénéfice pour les prestataires de se faire labelliser ?
Franck Gicquel : L’un des principaux avantages pour les labellisés, outre le fait de valoriser leur expertise dans la sécurité numérique, est de bénéficier du service de mise en relation de la plateforme Cybermalveillance.gouv. Toute visiteur qui se rend sur le site pour signaler un cyber incident se voit proposer de se faire accompagner par un prestataire. Pour cela il est invité à renseigner un formulaire qui est ensuite dirigé vers les prestataires enregistrés sur la plateforme – il y en a plus de 1050 – les plus proches géographiquement et dont les compétences correspondent le mieux aux besoins exprimés par le visiteur. Ce dernier reçoit ensuite les propositions d’assistance de quatre prestataires – les premiers à répondre – dont un labellisé.
Channelnews : Quelle est l’audience la plateforme Cybermalveillance.gouv ?
Franck Gicquel : Depuis la création de la plateforme en 2017, 240.000 victimes sont venues sur la plateforme pour se faire assister. Mais jusqu’à présent il s’agissait essentiellement de particuliers. Depuis un an, il commence à y avoir des besoins dans les petites et moyennes entreprises. Notre message consiste à les inciter à se faire accompagner par des professionnels de confiance.
Channelnews : Quel est le coût de ce label ?
Franck Gicquel : La volonté du GIP a été de faire en sorte que ce label reste accessible. D’où la décision d’opter pour un audit documentaire qui permet de faire baisser le prix facturé par l’Afnor à 800 € HT. Il n’y a pas d’autres frais.
Channelnews : Combien de partenaires sont déjà labellisés à ce jour et combien pensez-vous en avoir à terme ?
Franck Gicquel : Nous avons ouvert le label aux candidatures en mai 2020 et nous avons attendu d’atteindre les cinquante premiers labellisés pour dévoiler le dispositif. Nous avons atteint ce nombre début 2021. Nous en sommes à 55 actuellement [parmi lesquels ITS Integra, Axians, VFLIT, Advens, Aviti, Axel IT, Dynamips, Extrem IT, Interdata, Intrinsec, Oceanis, Soluceo, SOS Data, Xefi, Synetis…). C’est difficile de dire combien il y en aura à terme mais nous espérons atteindre rapidement une centaine.
Channelnews : Est-il prévu de développer un niveau avancé de ce label ?
Franck Gicquel : Il y a une demande pour cela. De même qu’il y a une demande pour que la labellisation porte sur un périmètre élargi à d’autres domaines que l’installation, la maintenance et l’assistance en cas d’incident. Le label n’a pas vocation à tout faire. Il ne faut pas que cela devienne trop compliqué. Mais il y aura probablement des évolutions. Un organe de pilotage, le comité de labellisation, assure la gouvernance et les évolutions futures du label.
Channelnews : Est-il prévu d’investir dans une campagne de communication pour faire connaître le label ?
Franck Gicquel : On aimerait faire quelque chose au second semestre sur les réseaux sociaux sur le thème de l’accompagnement par des partenaires de confiance que j’ai mentionné plus haut.