Compte rendu du Webinaire du jeudi 29 Avril

Les exemples du label francais « ExpertCyber » et du label européen « Cybersecurity made in Europe »

« Labeliser non pas les produits mais l’expertise des équipes »

Olivier MARTY

Président de la Commission IT EBEN

Contexte général

En 2021, l’utilisation des outils numériques est essentielle pour toute entreprise ou administration publique, peu importe sa taille. Un accès aux services facilités, des données plus accessibles, et de nouveaux débouchés, sont les effets bénéfiques d’une digitalisation réussie. Cependant, la présence dans le monde digital expose ceux qui s’y trouvent à des cyberattaques qui sont de plus en plus fréquentes.

La création de labels, dont Expert Cyber et European Cyber Security, permet une identification simple des acteurs disposant d’une expertise dans le domaine de la sécurité numérique ou développant des solutions en Europe.

L’apport des Labels

  • Expert Cyber

Le label Expert Cyber, developpé par Cybermalveillance.gouv.fr en collaboration avec la Fédération EBEN et d’autres organisations du secteur numérique, est une initiative à destination des PME et des plus petites entreprises, les incitant ainsi à renforcer leurs compétences en matière numérique en les récompensant avec l’obtention d’un label reconnu. Le label Expert Cyber n’a pas vocation à valider des produits,  il labélise le savoir-faire d’une entreprise ayant la capacité de mettre en œuvre efficacement les produits numériques. Ce label concilie parfaitement le rôle de protection de l’État avec les demandes d’efficacité et d’accompagnement des entreprises et notamment des PME.

L’objectif est la certification des compétences en matière numérique d’une entreprise. Le cout de la labélisation est de 800€. Plusieurs conditions sont à remplir : il faut être assuré, avoir une démarche compatible avec les RGPD en interne, ainsi que prouver et fournir des comptes rendus d’opération attestant d’une maitrise de l’outil numérique. Le label est attribué pour une durée de deux ans.

  • Cybersecurity Made in Europe

Le secteur du numérique est très dynamique dans l’Union européenne et les acteurs y sont très nombreux. Il peut être difficile de se distinguer des autres entreprises sur le marché, en particulier vis-à-vis des concurrents non-européens. Ces dernières années, la question de la souveraineté est devenue de plus importante. Le label Cyber Security Made in Europe atteste que les activités de l’entreprise sont localisées en Europe et qu’elle est détenue par des intérêts européens. Ce label vise ainsi à promouvoir et à donner de la visibilité aux entreprises européennes sur un marché européen et national de plus en plus compétitif.

Le label Cyber Security Made in Europe a été développé par ECSO, partenaire de la Commission européenne en matière de cybersécurité au niveau européen. Ce label est un atout compétitif, il a pour but de donner une garantie que l’entreprise est européenne et respecte une liste de valeurs en matière de cybersécurité et notamment des normes du RGPD. Ce label est destinée à toutes les entreprises, indépendamment de leur taille. C’est à travers les partenaires de ECSO que le contrôles sont effectués. Les partenaires nationaux de ECSO, parmi lesquels DIGITAL SME, participe à l’évaluation et apporte regard local sur la situation de l’entreprise, tout en renforçant un lien de confiance entre l’entreprise et l’Union.

Questions

Pourquoi des labels spécialement dédiés aux PME ?

Du point de vue français, il faut prendre en considération deux aspects : les réformes de la commande publique facilitant l’accès des PME aux marchés publics et l’absence de préférence locale.  Ces conditions permettent à des entreprises de toute l’Europe de candidater dans les cadre des marchés publics. Les PME et les TME ont donc vu leur panel de clients potentiels s’accroitre en même temps que celui de leurs concurrents potentiels, tout en étant plus exposées aux cyberattaques. Il est donc nécessaire de leur offrir par le label Expert Cyber un moyen de se distinguer par leur expertise et par leur résilience en matière numérique.

Au niveau européen, le label « Cybersecurity Made un Europe » vise à offrir une plus grande visibilité aux PME et aussi aux autres entreprises en général, de façon à améliorer leur compétitivité sur le marché européen. Il est vital pour le développement des PME de leur donner les moyens de se démarquer.

Quelle est la valeur ajoutée d’un label ? Quelle est la différence entre l’auto-certification et le certification par un tiers ?

Avant tout un label offre une garantie à un commanditaire ou à un acheteur. Du point de vue du labelisé, le label apporte une plus grande visibilité et permet de se distinguer du reste des concurrents. Un label peut être décerné à la suite d’une procédure d’auto-certification ou d’une procédure d’évaluation par un tiers.

Un label reposant sur l’auto-évaluation permet à un l’acteur d’évaluer lui-même sa réponse aux exigences d’un label. A l’inverse, un label avec certification par un tiers, demande la réalisation d’un audit par un tiers à l’entreprise pour vérifier les respect des règles du label. Rappelons qu’une agence à l’origine d’un label ne peut s’appliquer un label à elle-même ; ce système permet de limiter les abus.

L’auto-certification est plus flexible et plus facile à mettre en œuvre, notamment pour les acteurs de petite taille ou ayant des moyens réduits. Elle permet aussi de prendre conscience des prérequis d’un label et de s’y conformer progressivement. La certification par un tiers est une procédure plus couteuse et plus invasive, un audit est nécessaire, mais elle renforce la confiance en la qualité du label.

Du point de vue de la commande publique, par exemple dans le cadre de l’UGAP, la sélection des acteurs se fait sur la base de critères objectifs ; dès lors un label ainsi que son mode d’obtention, à moins qu’il soit un prérequis, n’est pas déterminant. Cependant, un label certifié par un tiers renforce la confiance que peut avoir le commanditaire public vis-à-vis d’un acteur d’un point de vue humain.

Vers qui se tourner en cas de cyber attaque ?

En France, Cybermalveillance.gouv.fr permet une prise en charge rapide en cas de cyberattaque ou d’incident numérique. L’usage de cette plateforme est recommandé, notamment pour ceux ne disposant pas de prestataire de service de cybersécurité Cette plateforme est à la dispositions de tous, professionnels ou non, personnes publiques ou personnes privées. Les entreprises labelisées Expert Cyber seront proposées en priorité pour offrir une réponse en cas de problème. Ce label ne certifie pas seulement une capacité à remédier aux problèmes mais garantie la capacité de l’entreprise à effectuer des mesures de maintenance et d’installation.

Au niveau, européen, tout les labelisés sont catalogués, par exemple au sein du label Cyber Watching ou de groupements de labels nationaux (comme Exper Cyber) ou européens. La victime pourra bénéficier du soutien des groupes européens et nationaux en cas de cyberattaque ou d’incident.

 

Un grand merci à nos intervenants :

Olivier MARTY – Président de la Commission IT EBEN

Danilo D’ELIA – Senior Policy Manager, European Cyber Security Organisation

Yves NICLOUX – Directeur des achats et de la commande publique pour la Ville et la Métropole de Metz

Webinaire animé par Amandine Laveau Zimmerlé