En février 2021, Cybermalveillance.gouv.fr lançait ExpertCyber, un label attribuable aux prestataires de services IT qui permet aux TPE, PME et collectivités d'identifier parmi eux des professionnels compétents en cybersécurité. Afin d'élargir les rangs des certifiés, la plateforme nationale de sensibilisation, de prévention et de soutien en matière de sécurité numérique rendra accessible « un référentiel de compétences intégrant tous les aspects essentiels du métier de prestataire cyber de premier niveau autour des domaines de la sécurisation, du maintien en conditions opérationnelles et de sécurité et de la remédiation » au premier trimestre 2023. Sa définition est le fruit du travail d'un groupe constitué par Cybermalveillance.gouv.fr début 2022 autour de l'AFNOR, du Campus régional de Cybersecurité, de Confiance numérique Nouvelle-Aquitaine (C3NA) et du Centre de formation de l'ANSSI (CFSSI).

« Le référentiel vise à clarifier les compétences à acquérir pour l'obtention de ce label : il permettra ainsi aux entreprises d'identifier les thématiques sur lesquelles elles doivent encore progresser ! Plus largement, ce référentiel permettra aux organismes de formation qui le souhaitent de créer des modules - voire des parcours - de formations adaptés aux différentes compétences identifiées, afin de répondre aux besoins des prestataires et in fine de leurs clients. », a indiqué Aurélie Bauer, Cheffe du CFSSI (Centre de Formation à la Sécurité des Systèmes d'Information de l'ANSSI).

Un manque de compétences en sécurité malgré le succès du label ExpertCyber

L'idée de ce référentiel tient au fait que les prestataires de services estampillés ExpertCyber sont encore trop peu nombreux. Non pas que le label n'ait pas déjà fait bon nombre d'émules, puisque plus de 200 sociétés de toutes tailles réparties dans l'ensemble de l'Hexagone (seuls 20% sont basés en Île-de-France) l'ont obtenu depuis l'ouverture aux candidatures en mai 2020. Des acteurs comme AB6 (94), Actuelburo (40), Adacis (33), Antana (95), Alastar (56) ou encore Dynamips (grand Ouest) font partie des 50 premiers certifiés. Mais cette population n'est pas assez importante face aux besoins des TPE-PME dont la digitalisation s'est accélérée avec la pandémie de Covid-19.