L’organisme public poursuit ses efforts d’évangélisation des PME et TPE aux cyber-risques et à leurs conséquences. Et s’appuie davantage sur les distributeurs, revendeurs, VAR, intégrateurs et autres MSP. Il s’agit de distinguer et d’encourager ceux qui font l’effort d’acquérir des expertises indispensables en cybersécurité. Franck Gicquel, le responsable des partenariats de cybermalveillance.fr, explique comment il va pousser son label et son référentiel de compétences auprès du channel.
Pourquoi cybermalveillance.fr a-t-il créé un label ?
Avec l’AFNOR, la région Nouvelle-Aquitaine et le Centre de formation de l’ANSSI, nous voulions sortir de la mêlée les prestataires présentant un bon niveau d’expertise pour les PME et les TPE. Et aider les autres partenaires ou prestataires à monter en compétences, alors qu’il n’existe pas vraiment de formations complètes dédiées à leurs métiers, hormis les certifications délivrées par les éditeurs et constructeurs. Une première étape nous a conduits à identifier les prestataires de confiance en cybersécurité qui pouvaient recevoir notre label. Avant d’identifier un référentiel de compétences pour donner une suite à cette première brique mise à la disposition du secteur. Maintenant, nous allons lancer la construction de ces offres de formation.
Comment le pousser auprès du channel ?
Les formations ne se créeront que s’il y a un marché. Ce qui suppose une prise de conscience et des financements. Nous négocierons avec les syndicats pour les créer et les financer. Cette approche s’articulera autour de deux autres axes, d’abord auprès des éditeurs et constructeurs, en leur expliquant que nous créerons des outils utiles à leurs partenaires car non cantonnés à leurs seuls produits. Enfin, avec le Medef, la CPME et l’U2P, qui regroupe des artisans et commerçants de proximité, nous devrions avoir une super couverture pour sensibiliser et prévenir contre les cyber risques. Aujourd’hui nous comptons plus de 200 cyberexperts, Mais il nous en faut plusieurs milliers pour préparer le coup de demain.
Quelle est la prochaine étape de ce projet ?
Une fois construit les financements de ces formations, il faudra les organiser, créer des modules adaptés aux besoins et contraintes de leurs destinataires. Nous allons rencontrer les fédérations professionnelles comme Numeum, et les opérateurs locaux de formations pour leur présenter notre référentiel et écouter leurs besoins.
Comment réagit le channel ?
Il était difficile de répondre il y a un mois. Aujourd’hui, les réactions sont très variables. Beaucoup de prestataires se posent des questions et ont déjà franchi le pas, ou s’apprêtent à le faire, de la délivrance de services, de la maintenance et de la réparation. Pour beaucoup d’autres distributeurs en revanche, le sujet est plus lointain même s’ils ont compris que les services étaient créateurs de valeur et de marges.
N’avez-vous pas peur de rajouter une couche au millefeuille réglementaire ?
Non, car il n’existe pas de label qui garantit la formation des prestataires, hormis le certificat de l’ANSSI pour l’audit et la réponse aux incidents. Celui de France Sécurité ne vérifie que la provenance des prestations. Je le reconnais, il faudra beaucoup de patience et de pédagogie en particulier auprès des PME et TPE, pas ou peu matures pour la cybersécurité.
Faudra-t-il imposer un standard minimum ou commun pour leur cybersécurisation ?
La question s’est déjà posée pour les grandes entreprises lors de la transposition de la directive Operateurs de Services Essentiels. Pour les PME et TPE, on pourrait imaginer de travailler avec les assureurs : une PME ne serait assurable que si elle a confié l’organisation de son SI à un prestataire extérieur labellisé. Quant à imaginer des lois cadrant la sécurisation de toutes les entreprises, ce n’est pas possible faute d’assez de prestataires pour les accompagner.
Vincent Bussière