« L’idée, c’était de trouver un moyen de valoriser l’expertise de nos prestataires. » Cybermalveillance a présenté la semaine dernière les grandes lignes de son projet de label Expert Cyber, destiné aux prestataires de sa plateforme. Lancé par le gouvernement en 2017, la plateforme Cybermalveillance propose en effet de mettre en relation les victimes d’attaque informatique avec des prestataires de proximité capables de répondre à leur problème. Cybermalveillance proposera à partir du 1er trimestre de l’année prochaine un programme permettant aux entreprises prestataires de prétendre au label Expert Cyber.
« Cela correspond à une demande de nos prestataires, qui cherchaient un moyen de valoriser publiquement leur expertise sur les sujets liés à la cybersécurité », expliquait ainsi Jerôme Notin à l’occasion de l’évènement sur la cybersécurité organisé par la fédération Syntec. Jusqu’alors en effet, les prestataires recommandés par la plateforme cybermalveillance.gouv.fr n’étaient pas soumis à une sélection draconienne : il suffisait pour être affiché sur le site de s’engager sur une charte, mais aucune sélection approfondie n’était nécessaire. Un parti pris qui a permis à Cybermalveillance de rassembler un grand nombre de prestataires sur l’ensemble du territoire, mais qui trouve ses limites.
publicité
Passer à la vitesse supérieure
La mise en place de ce label vise donc à proposer un goulot d’étranglement en distinguant les bons élèves au sein des 1 600 prestataires proposés au travers de la plateforme. Si l’Anssi (Agence nationale de la sécurité des systèmes d’information) s’est déjà dotée de toute une gamme de certifications et de qualifications (les Visas de sécurité), l’agence ne joue pas dans la même cour que le label de cybermalveillance.gouv.fr : celui-ci s’adresse en effet à des prestataires de proximité, dans une approche bien plus généraliste que celle couverte par les Visas de sécurité de l’Anssi.
Pour les victimes, ce label sera également un moyen d’identifier des prestataires de confiance pour accompagner leurs projets en matière de cybersécurité.
Pour prétendre au label Expert Cyber, les entreprises devront se frotter au processus de sélection et aux audits de l’Afnor. Et régler la douloureuse : le label coûtera entre 800 et 1 000 euros, correspondant à la prestation d’audit des experts de l’Afnor. Et le paiement de la somme ne garantira pas l’obtention du label : il faudra pour cela prouver un certain niveau de connaissances et de maturité en la matière.
L’examen de la candidature visera à déterminer plusieurs aspects : après les vérifications d’ordre général sur la protection des données sera examinée la façon dont travaille l’entreprise via une étude de ses rapports, de réponse à incident. Le processus de candidature se penchera également sur les profils des employés de la société, notamment via un questionnaire de compétences techniques sur les sujets de cybersécurité. Enfin, le dernier volet abordera la question du service client : la sensibilisation des clients en premier lieu, mais la transparence et la lisibilité des propositions commerciales seront aussi prises en compte.
L’ensemble des critères permettra d’attribuer un score, qui sera utilisé pour octroyer ou non le label. Celui ci sera valable pour une période de deux ans et devra être renouvelé par les entreprises qui souhaitent en bénéficier. Plusieurs entreprises sont déjà en train de tester le processus de sélection, qui sera ajusté selon les retours des candidats. Sur la première année, la plateforme aimerait pouvoir compter sur deux prestataires labellisés par département.
Pour les prestataires distingués par le label, le bénéfice le plus évident est celui de l’image. Mais, si les modalités exactes ne sont pas définies pour l’instant, cybermalveillance.gouv.fr promet aussi de valoriser les détenteurs du label sur sa propre plateforme. Celle-ci doit en effet présenter une importante refonte au premier trimestre 2020, qui devrait selon Nextinpact permettre aux prestataires de contacter directement les victimes ayant signalé leurs problèmes sur la plateforme. Si cette nouvelle donne est mise en place, il est donc possible que les entreprises labellisées soient intégrées à la nouvelle version du dispositif.