RETEX Cyber : comment GAESI a capitalisé sur le label ExpertCyber de Cybermalveillance.gouv ?

Retour d’expérience en compagnie  de Christophe Gallienne , dirigeant et fondateurde GAESI.

Pouvez-vous vous présenter, et nous présenter GAESI ?

Christophe Gallienne : Je suis le fondateur et gérant de l’entreprise GAESI, créée en novembre 2004, spécialisée dans l’infogérance. Issu du domaine technique plutôt que commercial, j’ai toujours accordé une grande importance à la maîtrise technologique et à la veille permanente des évolutions du secteur. Lorsque j’ai constaté que le maintien en condition opérationnelle ne suffisait plus à lui seul, j’ai orienté l’entreprise vers une approche globale intégrant également le maintien en condition de sécurité. 

Comment le regard des PME sur les menaces cyber a-t-il évolué ?

La compréhension des enjeux cyber a beaucoup évolué depuis quatre ou cinq ans. L’impact des médias, notamment des grands médias généralistes, a joué pour beaucoup. Le rôle d’acteurs comme Cybermalveillance.gouv.fr aussi, bien sûr. Aujourd’hui, les entreprises et les administrations ont pris conscience de la nécessité de se mettre en ordre de bataille, d’augmenter leur niveau de sécurité. Cela ne veut pas dire que tout est devenu simple : toutes ne peuvent pas se mettre à niveau du jour au lendemain. Elles n’ont pas non plus de budgets illimités.

« La réalité, sur le terrain, c’est qu’on voit encore beaucoup d’entreprises en France avec des réseaux sans firewall, des entreprises sans anti-virus sur leurs serveurs, des ports USB qui ne sont pas bloqués, des accès physiques qui ne sont pas verrouillés… »

Les budgets liés aux EDR restent encore compliqués à débloquer. Il reste encore beaucoup à faire. Mais globalement, il est beaucoup plus facile d’aborder le sujet de la sécurité avec une PME aujourd’hui, que cela ne l’a été avant. Sur la protection des données, le vol d’identité, la double authentification… L’enjeu pour un prestataire IT comme GAESI est donc de trouver le bon curseur, le discours et les solutions à mettre en place en fonc￾tion de la situation de l’entreprise, de sa dépendance à l’IT.

Comment avez-vous découvert le label ExpertCyber ?

Tout est parti d’un simple conseil. Je cherchais à monter en compétence sur la cyber, à titre per￾sonnel. Je cherchais aussi à identifier les bonnes pratiques, pour mon entreprise, et pour ADN – le groupement Alliance du numérique – dont je suis membre fondateur. Et je ne savais pas forcément par où commencer. On m’a alors conseillé de me faire « labéliser ». Une idée à laquelle je n’avais pas du tout pensé, et que j’ai trouvée intéressante

Lorsque j’entre dans le processus de labélisation, je partage ma démarche avec mes pairs, dans le groupement ADN. Il y a un vrai intérêt de leur part. Au-delà de la labélisation, on me demande par exemple s’il serait possible de faire intervenir des experts de Cybermalveillance.gouv.fr, ou de l’ANSSI, lors de notre réunion annuelle. C’était il y a deux ans. Depuis, une vingtaine de membre d’ADN se sont déjà labélisés. Nous avons même maintenant une coordinatrice technique dans le groupement, qui accompagne nos membres qui souhaitent se labéliser.

Quel regard portent vos clients sur le label ExpertCyber ?

Même s’ils l’exigent encore rarement, nos clients nous posent de plus en plus de questions sur notre label ExpertCyber, et c’est un très bon signal ! Certaines mairies commencent à le demander,
également. On ne rappellera jamais assez à quel point le marché a beaucoup évolué ces dernières années. Autour de l’IP, trois métiers ont fusionné : les bureauticiens, les téléphonistes et les informaticiens.

« Le label ExpertCyber permet aux entreprises de vérifier que leur prestataire est qualifié dans son domaine de compétences, en l’occurence dans la cyber »

Tous n’ont pas le même niveau technique, surtout sur la cyber. Plus globalement, on croise parfois sur le terrain des prestataires qui flairent la bonne affaire du marché cyber, un marché énorme, et qui y rentrent sans avoir l’expertise nécessaire. C’est pour cela que nos clients apprécient le label ExpertCyber : il leur permet de vérifier que leur prestataire est qualifié dans son domaine de compétences, dans la cyber en l’occurrence.

Comment s’est passé le processus de labélisation pour GAESI ?

Je vais être très transparent : lorsque je me suis lancé pour la première fois dans la labélisation ExpertCyber, je l’avais sûrement prise trop à la légère. J’avais mis un alternant sur le sujet, et je me suis vite aperçu que ça ne serait pas suffisant. Au premier envoi, nous nous sommes faits « reto￾quer » sur plusieurs points importants. J’ai vite repris le dossier avec tout le sérieux nécessaire. En soit, le premier questionnaire n’est pas difficile. Après vient la phase d’audit. Et notamment toute la phase documentaire, puisque c’est un audit documentaire, à la différence d’un audit sur site. C’est elle qui demande le plus d’attention. Lorsque je m’y atèle, j’ai un peu peur que cela soit surtout beaucoup de paperasse à remplir… Rapidement, je réalise que c’est surtout très formateur, et que cela sera aussi faire un premier pas vers l’ISO pour l’entreprise.

« Se labéliser, c’est aussi se forcer à se remettre en question. Parce que la cyber est un travail en continu, c’est un secteur qui évolue très vite »

L’audit vérifie des points qui ont beaucoup de sens : la souscription d’une assurance, la politique RGPD,  les factures clients – pour vérifier que l’entreprise a bien une activité cyber réelle ; est-ce que nous sommes transparents sur les délais d’intervention et sur nos tarifs… Cela t’oblige à écrire les procédures que tu n’avais peut-être pas forcément bien documentées. Cela permet de prendre plus de hauteur, de formaliser ta démarche, sur la sécurisation, comment tu interviens, comment tu réagis en cas d’attaque, comment tu collectes la preuve…

Avez-vous vous un impact sur votre chiffre d’affaires depuis ?

Il est important de préciser qu’à aucun moment, on nous dit que le label va nous permettre de mul￾tiplier notre business par dix. L’objectif annoncé, c’est de monter en compétence le marché. De tirer tout le monde vers le haut. On en parle moins, mais il y a une vraie dynamique parmi tous les professionnels de la cyber, au-delà de la concurrence commerciale. On voit de plus en plus de partage sur les réseaux sociaux, notamment sur LinkedIn. C’est extrêmement précieux de pouvoir échanger entre pairs, sur des cas très com￾plexes, de pouvoir s’entraider. Sur ce sujet aussi, Cybermalveillance.gouv.fr a fait bouger les lignes.

Avec le recul, que vous apporte le label ?

Notre rôle en tant que prestataire IT ne se résume pas à la vente de solutions, et l’audit insiste beau￾coup dessus. Le travail de sensibilisation, par exemple, est devenu essentiel. On observe de plus en plus d’attaques par l’ingénierie sociale, des arnaques au président. Sur ces sujets, le label ExpertCyber nous légitime énormément : nous sommes des infogérants généralistes, et ce label renforce notre crédibilité lorsque nous rappelons les bonnes pratiques, lorsque nous mettons notre casquette « d’empêcheur de tourner en rond ». Il y a un vrai travail derrière cette labélisation, et c’est donc une vraie reconnaissance, qui amène un vrai différenciateur à nos yeux. Se labéliser, c’est aussi se forcer à se remettre en question. Parce que la cyber est un travail en continu, c’est un secteur qui évolue très vite

ExpertCyber : Un label pour valoriser l’expertise des prestataires en cybersécurité auprès des PME et des collectivités

Un entretien à retrouver dans le nouveau numéro de « ChannelBiz : Le Mag » : Le magazine des revendeurs, MSP et intégrateurs en France. 60 pages pour tout comprendre des enjeux de la distribution IT & Tech et des tendances du marché Cyber, Infra, Telecom et AV. Et Pour ne rien rater de l’actualité du Channel au quotidien, rejoignez notre page Linkedin ChannelBiz.fr.