Le gouvernement a lancé un nouveau label, Expert Cyber, pour orienter les petites structures (TPE, PME, collectivité) vers des prestataires en cybersécurité suffisamment compétents pour gérer des incidents de cybersécurité.

Des entreprises vont bientôt pouvoir officiellement s’afficher comme « Expert Cyber ». Ce nouveau label, attribué par le gouvernement et soumis à un examen par l’Afnor (l’organisation française en charge de l’élaboration des normes) doit orienter les victimes de problèmes de cybersécurité vers des entreprises avec un certain niveau d’expertise.

Il a pour objectif de clarifier l’offre de service accessible aux organisations de petite taille, comme les PME, les TPE et certaines collectivités. Cybermalveillance.gouv.fr, le dispositif national d’assistance et de prévention au risque numérique en charge du projet, a ouvert les candidatures le 19 mai, et les premiers résultats devraient tomber dès le mois prochain.

newpsp.jpg

Le label Expert Cyber sera attribué à des prestataires qui proposent des services d’installation, de maintenance ou d’assistance. // Source : Louise Audry pour Numerama

Pour prétendre au label, l’entreprise, quelle que soit sa taille, doit proposer des prestations d’installation, de maintenance ou d’assistance dans un de ces trois secteurs : les systèmes d’information professionnels (messageries, logiciels de bureautique), les sites Internet (administration et protection) ou la téléphonie.

Le candidat devra passer un rapide examen à distance, et fournir plusieurs documents administratifs qui seront examinés par des auditeurs. Coût pour l’entreprise : 800 euros.

Si l’entreprise obtient le label, elle pourra l’afficher pendant deux ans, et sera identifiée à part sur la plateforme de Cybermalveillance, qui recommande des services aux victimes de cyberattaques et de cybermalveillance.

Orienter les petites structures vers un accompagnement de qualité

Avant même que Cybermalveillance ne soit lancé en 2017, l’Anssi (Agence nationale de la sécurité des systèmes d’information) distribuait déjà des certifications, les très réputés visas de cybersécurité. Mais ce label ne s’adresse qu’à des services et produits de très haut niveau : les membres agréés sont habilités à intervenir sur des incidents qui touchent des structures d’importance vitale.

« Ces prestataires ne vont pas intervenir sur les incidents mineurs qui peuvent toucher les PME, TPE et petites collectivités », constate Franck Giquel, responsable des partenariats de Cybermalveillance. Il ne s’agit pas que d’une question d’offre : les structures plus petites n’ont tout simplement pas forcément besoin des prestations de sécurité les plus avancées. « Nous avons donc été missionnés pour que les organisations de toutes tailles puissent accéder à une aide adaptée. »

Une garantie technique pour les victimes de cyberattaque

Avant Expert Cyber, Cybermalveillance a listé plus de 800 prestataires de proximité. Pour être référencées, ces entreprises ont fourni plusieurs documents juridiques et signé une charte de confiance, puis Cybermalveillance a examiné les dossiers au cas par cas.

Parmi les sociétés référencées, certaines n’ont pas la sécurité au cœur de leur métier : elles ont par exemple commencé leur activité par de l’imprimerie et de la réparation d’ordinateur, avant de glisser progressivement vers des services de réseaux pour répondre à une demande sur leur territoire. Pour Franck Giquel, ces touche-à-tout du numérique sont nécessaires au maillage de l’offre de sécurité sur le territoire, mais ils ne peuvent pas répondre à tous les cas de figure.

« Jusqu’ici nous ne pouvions que présumer l’expertise en cybersécurité des entreprises », concède-t-il. « Avec le label, nous allons distinguer les prestataires qui ont une expertise de bon niveau et ceux dont compétences ne sont pas au niveau de l’état de l’art.  »

Les rapports d’incident regardés de près

Pour que l’évaluation de l’expertise soit bien encadrée,  Cybermalveillance s’est tourné vers l’Afnor, l’organisation française en charge de l’élaboration et de l’homologation des normes. Dans un premier temps, les candidats ont 30 minutes pour répondre à un QCM de 20 questions sur des questions de cybersécurité généralistes. Puis ils doivent fournir toutes sortes de documents qui seront passés au peigne fin par l’Afnor. « Par exemple, les auditeurs vont évaluer les rapports d’incidents traités par l’entreprise. Ils vont juger sa façon de travailler, ce qu’elle a fait et les mesures qu’elle a préconisées pour empêcher l’incident de se reproduire », avance le responsable de Cybermalveillance.

Le label doit également garantir une certaine qualité de l’accompagnement client. Parmi les partenaires qui ont participé aux discussions autour de projet se trouve la fédération française de l’assurance. « Jusqu’ici, les assurances n’ont pas de listes d’acteurs de confiance capables de venir assister des TPE, PME ou petites collectivités, sur les questions de cybersécurité. Le label pourra être une orientation utile pour eux, à mesure qu’ils développent des produits d’assurance pour ces organisations de petite taille », relève Franck Giquel.

Et peut-être qu’à terme, seuls les services des prestataires labellisés Expert Cyber seront éligibles à un remboursement par les assurances.

une comparateur meilleur vpn numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !