ExpertCyber : Un label pour valoriser l’expertise des prestataires cyber auprès des PME et des collectivités

Entretien avec Frank Gicquel, Directeur des partenariats de Cybermalveillance.gouv.fr,

Comment est né le label ExpertCyber ?

Frank Gicquel : « Nous avons fait le constat il y a 3 ans qu’il n’existait pas de label pour valoriser l’expertise des prestataires en cybersécurité sur les volets installation, sécurisation, maintenance et assistance. En tout cas, pas pour les revendeurs orientés TPE, PME, et collectivités. On trouvait bien sûr les visas de sécurité de l’ANSSI, qui sont des référentiels de très, très haut niveau. Mais on s’est rendu compte qu’il n’était pas forcément adapté pour la plupart des revendeurs, prestataires Cyber régionaux.

Donc nous nous sommes mis autour d’une table, avec les syndicats de la profession. Et nous avons créé un label, le label ExpertCyber. Une certification qui permet d’identifier tous les prestataires, et ils sont nombreux, qui font très bien leur travail, qui assurent le 1^er niveau de cybersécurité, et apportent les garanties nécessaires aux PME et aux collectivités. »

Quel a été la réaction des revendeurs ?

F.G : « Nous avions dans l’idée de construire quelque chose de réaliste et adapté aux acteurs du Channel en France. Il y a eu une phase de test, pendant laquelle les groupements de revendeurs, notamment, ont été pilotes : Eurabis, Sequence, Resadia, Escrim, FRP2i. Nous avions besoin de cette phase de bêta-test pour mettre le curseur au bon niveau, parce que c’était nouveau. Ce label, ce n’est pas un « label en chocolat » : il devait être adapté, mais garantir de vraies compétences cyber. Un certificat obtenu par 100% des participants n’aurait pas de valeur. »

Justement, quelle est la proportion de revendeurs qui obtiennent le label ?

F.G : « Notre taux de réussite est de 65%. Concrètement, il y en a donc 1 sur 3 qui échoue. D’ailleurs ces chiffres ne tiennent pas compte de ceux qui, tout simplement, ne vont pas jusqu’au bout de la démarche, ceux qui se rendent compte que la barre est un peu trop haute. Pour ceux-là, nous restons dans une démarche très bienveillante :  Il n’y a même pas de délai pour recandidater. On peut donc recandidater immédiatement. C’est une certification qui se prépare. De nombreux partenaire se rendent compte qu’ils ne sont pas prêts. 6 mois après, ils l’étaient. Le label les a aidés à écrire des procédures et à professionnaliser leur démarche. C’est aussi cet intérêt-là de se faire labelliser. »

Combien de prestataires sont labélisé, actuellement ?

F.G : « Aujourd’hui, nous avons 194 labellisés en France, dont 70% sont situés hors Ile-de-France. Nous sommes même montés à 250 labelisés, puis leur nombre a diminué : tous n’ont pas reconduits leur certification, qui est valable 2 ans. Ce n’est pas suffisant bien sûr. Tout le monde travaille pour que les PME et les collectivités accélèrent sur la Cyber. Quand on voit arriver, par exemple, des sujets comme NIS2, on se rend compte qu’ils auront besoin de pouvoir identifier les bons prestataires, des prestataires de confiance. Des prestataires qui devront pouvoir attester de leurs compétences Cyber. C’est le rôle de notre label Expert Cyber. »

Comment se passe la certification ?

F.G : « La démarche est assez simple. Et pensée pour être la moins coûteuse possible, c’est important de le signifier. Nous sommes vraiment dans une démarche non mercantile. Dès les premières discussions avec les syndicats, nous étions d’accord sur le fait que ce qui devait faire la différence devait être sur l’expertise, et non sur la taille du portefeuille…. Passer la certification coûte 800€ HT. Ce n’est pas rien, mais dans le monde de la certification de l’analyse, c’est plus que correct. Nous ne sommes même pas intermédiaires : tout va directement à l’organisme certificateur. En l’occurrence, l’AFNOR. »

Pour commenter cet article et retrouver toutes les actualités de la Distribution IT : RDV sur la page Linkedin de ChannelBiz.

Entretien réalisé sur CyberSécu Expo, le salon du distributeur Infinigate.