Keep It Secure: labellisation de prestataires d’audits Cybersécurité pour PME

Article
Par · 05/12/2018

Début 2017, la Wallonie mettait en oeuvre un programme “chèques-entreprises” destiné à remplacer l’ancien système des “primes e-business”. Onze types de chèques avaient alors été imaginés permettant de co-financer divers types d’interventions (formation, conseils, accompagnement) au bénéfice des PME wallonnes, notamment pour favoriser ou faciliter leur “transformation numérique”.

Dès le début, des chèques avaient été prévus pour des audits de cyber-sécurité. En ce mois de décembre 2018, ce chapitre est remis à jour. Un nouveau “dispositif”, baptisé Keep It Secure, est en effet lancé.

Différence majeure avec la situation antérieure: une labellisation spécifique “partenaire cybersécurité” est ajoutée, sur base d’un référentiel d’évaluation concocté par les centres de compétences Cetic et Multitel qui, pour la circonstance, se sont inspirés de normes et cadres existants (notamment celui du Center for Internet Security), en y ajoutant quelques spécificités propres à la typologie des entreprises locales.

Les prestataires de services d’audit de cyber-sécurité (individuels ou constitués en société) pourront obtenir le label Keep It Secure en suivant la procédure habituelle de validation “administrative et technique” prévue pour les chèques-entreprises.

Pour la première étape – vérification de la validité administrative de la candidature -, c’est toujours la DGO6, via le CeQual, qui est compétente. L’évaluation “technique” du candidat (compétences, équipe, méthodologies suivies…) sera confiée au Cetic et à Multitel, intervenant pour le compte de l’AdN.

Le label est accordé pour une durée de trois ans, reconductible (selon une procédure de renouvellement que l’on promet “simplifiée”.

Côté cible…

La raison d’être d’un chèque-entreprise Cybersécurité pour petite entreprise demeure la même: inciter davantage les petites structures à se saisir du problème, elles qui sont particulièrement exposées en raison d’une protection souvent déficiente et d’une absence de compétences et de moyens pour y faire face.

A quoi auront droit les sociétés: la valeur maximale du chèque-entreprise Audit de cybersécurité est de 20.000 euros hors TVA. Taux d’intervention du chèque dans la facture totale à supporter par l’entreprise? 50% pour les PME ; 75% pour les TPE (moins de 10 personnes) et les start-ups (moins de cinq ans).

Le processus à suivre pour obtenir cette aide est inchangé: l’entreprise choisit son prestataire parmi ceux qui auront été labellisés Keep It Secure, dépose son dossier sur la plate-forme Chèques Entreprises de la Région wallonne. Après validation de la demande, elle peut déclencher le processus d’audit, en payant sa quote-part. Le solde (montant du chèque) sera versé au prestataire après accomplissement de la mission et validation, toujours via le portail Chèques Entreprises, de la facture.

Sur quoi porte exactement l’audit? L’analyse qui sera effectuée concerne exclusivement un diagnostic “global” de l’infrastructure et des solutions informatiques, procédures et canaux d’échanges de données internes, utilisation de solutions de sécurité, bonnes pratiques (mots de passe…), procédures et solutions de sauvegarde, site Internet… Le volet GDPR n’est pas couvert.

Cet “audit global” vise à vérifier et à pointer les lacunes afin de dégager une série de mesures et d’actions nécessaires.

Informer, sensibiliser

Il a donc été jugé nécessaire de professionnaliser et de renforcer l’accompagnement des PME en matière de cyber-sécurité. Outre la certification des prestataires, le nouveau “dispositif” promet d’informer et de sensibiliser. Cela passera par un espace d’information spécifique sur le site de Digital Wallonia où l’on trouvera (le contenu doit encore être enrichi) une foire aux questions, un guide, un outil d’auto-évaluation pour les entreprises ainsi que la liste des prestataires certifiés.

Quand les pouvoirs publics s’inquiètent…

La cyber-sécurité est, à coup sûr, un sujet “chaud” dont les pouvoirs publics s’emparent de plus en plus. Dans quelques jours, Bruxelles sera le théâtre du lancement officiel de la “Brussels Initiative on Cybersecurity Innovation” (nous aurons l’occasion de vous en reparler).

Comment l’Etat mais aussi chaque entreprise doit-elle se préparer face aux risques de “cyber-ouragan” (les Anglo-Saxons parlent de “cyber-armageddon”)? En France, voici quelques semaines, l’Institut Montaigne, groupe de réflexion sur les politiques publiques hexagonales, publiait un rapport intitulé “Cyber-menace: avis de tempête”.

A lire ici…