Les PME françaises ont à leur disposition plusieurs dispositifs publics pour structurer, prouver et améliorer leur niveau de cybersécurité. Label ExpertCyber, visas de sécurité ANSSI, qualification PASSI, chèque diagnostic cyber, guide d’hygiène informatique : chacun de ces outils répond à un objectif précis. Et dans presque chacun d’eux, la même question revient : vos collaborateurs sont-ils formés et sensibilisés aux cybermenaces ?
Ce guide décrypte ces dispositifs pour les PME et les prestataires informatiques qui les accompagnent. Sans jargon, avec les sources officielles, et avec une réponse claire à la question que tout responsable informatique finit par poser : « Comment la sensibilisation s’intègre-t-elle dans ma démarche de labellisation ? »
Le label ExpertCyber
Le label ExpertCyber est porté par cybermalveillance.gouv.fr, le dispositif national d’assistance aux victimes de cybermalveillance, piloté conjointement par l’ANSSI et le Secrétariat d’État chargé du numérique. Son objectif : identifier les prestataires informatiques capables d’accompagner sérieusement leurs clients PME, associations et collectivités sur les questions de cybersécurité.
Qui peut obtenir le label ExpertCyber ?
Le label est exclusivement destiné aux prestataires de services informatiques : ESN, intégrateurs, MSP, cabinets de conseil IT, revendeurs de solutions. Ce n’est pas un label décerné aux entreprises pour leur propre niveau de sécurité — c’est une reconnaissance de la compétence du prestataire à conseiller et accompagner ses clients.
Pour obtenir le label, un prestataire doit démontrer :
- Des compétences techniques vérifiables en cybersécurité (configurations, gestion des accès, sauvegardes, réponse aux incidents)
- Des références et pratiques de conseil auprès de clients PME ou de collectivités
- La capacité à sensibiliser les utilisateurs finaux de ses clients aux risques numériques
- L’usage de pratiques conformes aux recommandations de l’ANSSI
Ce dernier point n’est pas anecdotique. La plateforme cybermalveillance.gouv.fr insiste sur le fait qu’un prestataire labellisé doit pouvoir proposer à ses clients des actions concrètes de sensibilisation — pas seulement installer des firewalls.
Ce que le label représente pour vos clients
Un prestataire portant le label ExpertCyber donne à ses clients PME un signal clair : ce prestataire a été évalué, ses compétences sont vérifiées, et il sait accompagner une organisation peu mature en cybersécurité. Dans un marché où n’importe quelle entreprise peut se revendiquer « expert cybersécurité », c’est une différenciation réelle.
Pour le prestataire, c’est aussi une obligation de cohérence : proposer le label à ses clients implique d’être capable de les accompagner sur la sensibilisation au phishing, la gestion des mots de passe, la réaction aux incidents. Les prestataires qui ajoutent une offre de simulation de phishing à leur catalogue peuvent ainsi cocher cette case avec des preuves documentées.
Les visas de sécurité ANSSI
Les visas de sécurité ANSSI désignent l’ensemble des certifications et qualifications délivrées par l’Agence nationale de la sécurité des systèmes d’information pour les produits et services de cybersécurité. Ils ne s’adressent pas aux entreprises utilisatrices mais aux éditeurs de logiciels, équipementiers et prestataires de sécurité qui souhaitent faire évaluer leurs solutions. Toutes les informations sont disponibles sur cyber.gouv.fr.
Les trois niveaux du visa
La CSPN — Certification de Sécurité de Premier Niveau
La CSPN est le niveau d’entrée. Elle atteste qu’un produit (logiciel, matériel, firmware) a subi une évaluation de sécurité par un laboratoire agréé CESTI (Centres d’Évaluation de la Sécurité des Technologies de l’Information) dans un délai et un budget maîtrisés. La CSPN est adaptée aux produits dont la durée de vie et les usages sont bien délimités. Elle n’est pas l’équivalent d’une certification Critères Communs, mais elle constitue un seuil crédible pour les marchés publics et les appels d’offres.
Les Critères Communs (CC)
Les Critères Communs sont le niveau le plus exigeant. Reconnus internationalement dans le cadre des accords CCRA (Common Criteria Recognition Arrangement) et SOG-IS, ils s’appliquent aux produits dont la criticité justifie une évaluation approfondie : cartes à puce, systèmes embarqués, solutions de chiffrement. Les CC sont rarement exigés des PME directement, mais les PME qui achètent des produits certifiés CC bénéficient d’une garantie d’évaluation indépendante.
La qualification
La qualification ANSSI s’applique aux prestataires de services de cybersécurité (hébergeurs, opérateurs de SOC, prestataires de réponse aux incidents). Elle atteste que le service est conforme aux exigences de l’ANSSI en termes de compétences, de procédures et de résultats. Pour une PME qui cherche un prestataire de sécurité ou un hébergeur pour des données sensibles, retenir un prestataire qualifié par l’ANSSI est une décision fondée sur des critères objectifs.
Ce que cela change pour une PME
Une PME ne sollicite pas directement un visa ANSSI pour elle-même. Mais comprendre ces dispositifs aide à faire des choix d’achat éclairés : préférer un produit CSPN ou CC à un équivalent sans évaluation, choisir un hébergeur qualifié ANSSI pour ses données sensibles. Pour les marchés publics, les cahiers des charges mentionnent de plus en plus fréquemment ces certifications comme critères de sélection.
La qualification PASSI
La qualification PASSI — Prestataires d’Audit de la Sécurité des Systèmes d’Information — est délivrée par l’ANSSI aux cabinets spécialisés dans les audits de sécurité. La liste des PASSI qualifiés est accessible sur cyber.gouv.fr.
Qui doit faire appel à un PASSI ?
Pour les entités soumises à des obligations réglementaires strictes — opérateurs d’importance vitale (OIV), opérateurs de services essentiels (OSE) sous NIS2, entités relevant de la Loi de Programmation Militaire — certains audits de sécurité doivent obligatoirement être réalisés par un prestataire qualifié PASSI. En dehors de ces obligations réglementaires, faire appel à un PASSI reste une garantie de rigueur pour toute organisation qui veut un audit sérieux.
Ce qu’un audit PASSI couvre
Un audit PASSI peut couvrir plusieurs périmètres : audit organisationnel et physique, tests d’intrusion, audit de configuration, audit de code source. L’un des volets organisationnels inclut systématiquement l’évaluation des pratiques de sensibilisation :
- Existe-t-il une politique de sensibilisation formalisée ?
- Les collaborateurs ont-ils reçu une formation sur les risques de phishing et d’ingénierie sociale ?
- Les résultats sont-ils tracés et documentés ?
- La direction a-t-elle validé ces actions ?
Un audit PASSI qui constate l’absence de sensibilisation documentée produit une recommandation formelle à ce sujet. Pour les entreprises qui préparent un audit, disposer de rapports de campagnes de simulation — horodatés, avec les taux de clics et les résultats de formation — répond directement à ces questions.
La conformité NIS2 et les audits PASSI
L’article 21 de la directive NIS2 impose une gestion des risques qui comprend explicitement la sensibilisation des collaborateurs. Lors d’un contrôle ANSSI d’une entité soumise à NIS2, un auditeur PASSI missionné vérifiera la réalité de ces actions. Voir notre guide conformité NIS2 pour les obligations détaillées.
Le chèque diagnostic cyber
Le chèque diagnostic cyber est un dispositif de co-financement public qui permet aux PME de réaliser un diagnostic de maturité cybersécurité à coût fortement réduit. Il est mis en œuvre via plusieurs canaux selon les régions : cybermalveillance.gouv.fr, BPI France, conseils régionaux, et dans certains cas France Num.
Comment ça marche
Une PME éligible (critères de taille et de secteur variables selon le dispositif régional) bénéficie d’une prise en charge partielle ou totale du coût d’un diagnostic réalisé par un prestataire référencé. Le diagnostic dure en général une journée à une journée et demie sur site. À l’issue, l’entreprise reçoit un rapport avec :
- Une cartographie de ses actifs et des risques associés
- Une évaluation de ses pratiques de sécurité (mots de passe, accès, mises à jour, sauvegardes)
- Une évaluation de la configuration de sa messagerie et de ses accès distants
- Une évaluation des pratiques humaines : sensibilisation, réactions aux incidents, culture cyber
Ce dernier point revient dans 95 % des rapports de diagnostic comme une priorité d’action. Les prestataires mandatés pour ces diagnostics constatent presque systématiquement que les collaborateurs n’ont jamais été exposés à une simulation de phishing et que les procédures de vérification face à un email suspect n’existent pas.
Après le diagnostic : le plan d’actions
Le chèque diagnostic cyber n’est pas une fin en soi. Il produit un plan d’actions que l’entreprise doit mettre en œuvre. Ce plan inclut généralement des actions techniques (activer le MFA, déployer un filtre email) et des actions humaines (sensibiliser les collaborateurs, simuler des attaques de phishing). Les diagnostics réalisés via cybermalveillance.gouv.fr s’appuient sur la base de recommandations du guide d’hygiène informatique ANSSI.
Pour savoir si votre entreprise est éligible, consultez les dispositifs disponibles dans votre région sur cybermalveillance.gouv.fr et le site France Num.
Le guide d’hygiène informatique ANSSI
Le guide d’hygiène informatique ANSSI liste 42 règles pratiques pour sécuriser un système d’information. Publié et maintenu par l’ANSSI, il est disponible gratuitement sur cyber.gouv.fr. Ce n’est pas un texte réglementaire, mais il fait référence dans la quasi-totalité des audits de sécurité réalisés en France.
Les règles qui concernent le facteur humain
Sur les 42 règles du guide, plusieurs portent directement sur les pratiques des utilisateurs et la sensibilisation. Les règles les plus citées lors des audits :
Règle 1 — Sensibiliser et former les utilisateurs : le guide place la sensibilisation en tête de ses recommandations, avant les mesures techniques. L’ANSSI considère que les mesures de sécurité les plus sophistiquées sont contournées si les utilisateurs ne comprennent pas les risques.
Règle 2 — Maîtriser les usages des messageries : avec des recommandations spécifiques sur la vérification des expéditeurs, le traitement des pièces jointes et la vigilance face aux demandes inhabituelles — autant de comportements que les simulations de phishing entraînent directement.
Règle 5 — Identifier nommément chaque utilisateur : la traçabilité individuelle est nécessaire pour mesurer les comportements et produire des rapports de formation nominatifs, tels que ceux générés par les plateformes de simulation.
Règle 21 — Maîtriser les accès à distance : les collaborateurs qui se connectent à distance depuis des environnements non maîtrisés sont des cibles prioritaires pour les attaques de phishing de credential harvesting. La sensibilisation sur ce vecteur est explicitement recommandée.
Règle 40 — Réaliser des audits réguliers : les campagnes de simulation de phishing constituent une forme d’audit comportemental régulier, aligné avec cet objectif.
Ce que signifie « respecter le guide » en pratique
Aucun contrôle automatique ne vérifie si une PME applique les 42 règles. Mais lors d’un audit PASSI, d’un diagnostic via chèque cyber ou d’une évaluation dans le cadre d’un appel d’offres public, les auditeurs utilisent ce guide comme grille de lecture. Une PME capable de montrer qu’elle a mis en œuvre les règles relatives à la sensibilisation — avec des preuves documentées — passe l’évaluation humaine sans difficulté.
Pour aller plus loin sur les configurations techniques liées à la messagerie, notre test de sécurité email vérifie vos enregistrements SPF, DKIM et DMARC en quelques secondes.
Comment nophi.sh s’intègre dans votre démarche de labellisation
Les dispositifs présentés dans ce guide ont un point commun : ils demandent tous des preuves de sensibilisation, pas des intentions. La différence entre une PME qui décroche un label ou passe un audit, et une PME qui échoue, tient souvent à sa capacité à présenter des documents concrets.
Pour les prestataires informatiques qui visent le label ExpertCyber
Le label ExpertCyber exige de prouver que vous accompagnez vos clients sur la sensibilisation aux cybermenaces. Avec nophi.sh, vous pouvez proposer des campagnes de simulation de phishing en marque blanche à vos clients PME. Vous leur fournissez des rapports de campagne horodatés, des taux de clics par service, et des parcours de micro-formation adaptés aux résultats. Ce n’est pas une option accessoire dans votre dossier de labellisation — c’est la preuve la plus directe que vous êtes en mesure de les accompagner.
Un prestataire qui ajoute nophi.sh à son catalogue peut répondre à la question d’un auditeur ExpertCyber avec des chiffres : « Voici les 12 campagnes que j’ai conduites pour mes clients cette année, voici les résultats, voici comment les taux de clics ont évolué sur 6 mois. »
Pour les entreprises qui préparent un audit PASSI ou une vérification NIS2
Lors d’un audit PASSI, le volet organisationnel vérifie si vos collaborateurs ont été sensibilisés. La question n’est pas rhétorique : l’auditeur demande des preuves. Un rapport de campagne nophi.sh constitue une pièce documentaire recevable : date de la campagne, nombre de destinataires, taux de clics, modules de formation complétés, évolution sur les campagnes successives.
Pour les entreprises concernées par NIS2, la conformité inclut explicitement la sensibilisation du personnel. Les rapports de simulation de phishing s’ajoutent à votre dossier de conformité au même titre que votre politique de sécurité ou votre plan de réponse aux incidents.
Pour les PME qui viennent de recevoir un diagnostic cyber
Si vous avez bénéficié d’un chèque diagnostic cyber et que le rapport liste la sensibilisation comme priorité, nophi.sh est l’étape suivante naturelle. La première campagne de simulation se configure en moins de 15 minutes. Vous obtenez une baseline : quel pourcentage de vos collaborateurs clique sur un email de phishing réaliste ? Où se trouvent les services les plus vulnérables ? Quels vecteurs (faux Chronopost, faux Ameli, fausse demande RH) obtiennent les taux de réussite les plus élevés contre vos équipes ?
Ces données transforment les recommandations abstraites de votre rapport de diagnostic en un plan d’actions mesurable, avec des preuves que vous pouvez présenter lors d’un contrôle ou d’un renouvellement de certification.
Consulter notre page conformité pour un aperçu de tous les dispositifs réglementaires dans lesquels nophi.sh génère des preuves documentaires utilisables.
FAQ
Questions fréquentes
Qu'est-ce que le label ExpertCyber et à qui s'adresse-t-il ?
Le label ExpertCyber est une démarche portée par cybermalveillance.gouv.fr pour identifier les prestataires informatiques capables d'accompagner les PME, associations et collectivités en matière de cybersécurité. Il s'adresse aux prestataires de services informatiques (ESN, intégrateurs, MSP) qui souhaitent prouver leur compétence cyber à leurs clients. L'obtention du label repose sur une vérification des compétences techniques et des pratiques de conseil, notamment la capacité à sensibiliser les utilisateurs finaux aux risques.
Comment obtenir le label ExpertCyber ?
Pour obtenir le label ExpertCyber, un prestataire informatique doit soumettre un dossier sur la plateforme cybermalveillance.gouv.fr et satisfaire à une grille d'évaluation portant sur ses compétences techniques, ses références clients, ses pratiques de conseil et sa capacité à accompagner ses clients sur la sensibilisation aux cybermenaces. Le label est accordé pour une durée limitée et doit être renouvelé. Les critères précis sont publiés sur cybermalveillance.gouv.fr.
C'est quoi le visa de sécurité ANSSI ?
Le visa de sécurité ANSSI désigne un ensemble de certifications et qualifications délivrées par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) pour les produits et services de cybersécurité. Il comprend notamment la Certification de Sécurité de Premier Niveau (CSPN), les Critères Communs (CC) et la qualification de prestataires. Pour les PME, le visa est un signal de confiance : un produit ou service portant le visa ANSSI a été évalué de manière indépendante. Toutes les informations sont disponibles sur cyber.gouv.fr.
Qu'est-ce que la qualification PASSI ?
La qualification PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) est délivrée par l'ANSSI aux prestataires spécialisés dans l'audit de sécurité informatique. Faire appel à un PASSI qualifié garantit que l'audit a été réalisé selon un référentiel reconnu. Pour les entités soumises à NIS2 ou LPM, certains audits doivent être conduits par un PASSI. La liste des PASSI qualifiés est accessible sur cyber.gouv.fr.
Qu'est-ce que le chèque diagnostic cyber et comment en bénéficier ?
Le chèque diagnostic cyber est un dispositif de co-financement public qui permet aux PME de réaliser un diagnostic de leur niveau de cybersécurité à coût réduit, voire nul. Il est distribué via des programmes régionaux (en lien avec les Régions, BPI France et la plateforme cybermalveillance.gouv.fr). Le diagnostic couvre les pratiques de sécurité, les configurations techniques et la sensibilisation des collaborateurs. À l'issue du diagnostic, l'entreprise reçoit un plan d'actions priorisées — dont, dans la très grande majorité des cas, le renforcement de la sensibilisation.
Le guide d'hygiène informatique ANSSI est-il obligatoire ?
Le guide d'hygiène informatique ANSSI n'est pas un texte réglementaire opposable, mais ses 42 règles constituent la référence de base en France pour tout plan de sécurité. Plusieurs dispositifs le mentionnent explicitement comme base : le label ExpertCyber, certains cahiers des charges de marchés publics et les audits PASSI s'y réfèrent. Le guide est disponible gratuitement sur cyber.gouv.fr.
La sensibilisation des collaborateurs est-elle vérifiée lors d'un audit de cybersécurité ?
Oui. Que ce soit dans le cadre d'un audit PASSI, d'un diagnostic de type chèque diagnostic cyber ou d'une évaluation pour le label ExpertCyber, la sensibilisation des collaborateurs est systématiquement examinée. Les auditeurs vérifient si une politique de sensibilisation existe, si des formations ont été réalisées et si les résultats sont tracés. Des rapports de simulation de phishing horodatés constituent des preuves documentaires acceptées.