🎬Démo-MesServicesCyber:la plateforme publique pour passer à l’action en cybersécurité

🎬 Démo EFOP : découverte de MesServicesCyber, la plateforme publique pour passer à l’action en cybersécurité

Dans le cadre de notre série d’ateliers autour des socles numériques EFOP, nous avons consacré une session de démonstration à MesServicesCyber, la plateforme portée par l’ANSSI pour faciliter l’accès aux ressources, guides et services cyber gratuits proposés par l’État et ses partenaires. La plateforme se présente comme un point d’entrée unique pour aider les organisations à mieux se repérer, à évaluer leur maturité et à identifier les bons leviers d’action. ( (Ouvre une nouvelle fenêtre) MesServicesCyber)

Animée par Floriane Gallego, chargée de déploiement au laboratoire d’innovation de l’ANSSI, cette démo a permis de mieux comprendre la logique du service : rendre la cybersécurité plus accessible, plus lisible et plus opérationnelle, en particulier pour les structures qui ne disposent pas encore d’une forte maturité sur ces sujets.

À retenir

Cette démonstration a permis de découvrir une plateforme utile pour :

• repérer rapidement les ressources publiques disponibles en cybersécurité ;
• évaluer la maturité cyber d’une organisation ;
• solliciter un diagnostic accompagné ;
• identifier des contacts, financements et services adaptés ;
• mieux comprendre les parcours d’accompagnement autour de NIS2. ( (Ouvre une nouvelle fenêtre) MesServicesCyber)

MesServicesCyber s’affirme ainsi comme un outil de mise en mouvement, particulièrement pertinent pour les structures qui cherchent à transformer un besoin diffus de cybersécurité en premières actions concrètes.

Une plateforme pour centraliser les ressources cyber utiles

MesServicesCyber est présenté comme une plateforme publique destinée à faciliter l’accès aux guides, outils et services gratuits proposés par l’ANSSI et ses partenaires. Le site met notamment à disposition un catalogue de ressources, un test de maturité cyber, des parcours thématiques et des contenus dédiés à la directive NIS2. Il rappelle également que toutes les organisations sont concernées par le risque cyber, avec une attention particulière portée aux TPE, PME, ETI et collectivités. ( (Ouvre une nouvelle fenêtre) MesServicesCyber)

Au cours de la démonstration, Floriane Gallego a rappelé la vocation du laboratoire d’innovation de l’ANSSI : concevoir des produits numériques à portée large, capables d’accompagner massivement les organisations, au-delà du seul cercle des structures déjà expertes ou réglementées.

Le diagnostic cyber, un service très concret pour enclencher une démarche

L’un des points forts de la démonstration a porté sur le diagnostic cyber, présenté comme l’un des services phares de la plateforme.

Le principe est simple : une organisation peut demander à bénéficier d’un diagnostic réalisé avec l’appui d’un aidant cyber. L’objectif est double :

• offrir un temps d’échange humain, pédagogique et sans démarche commerciale ;
• aboutir à une restitution concrète, avec des mesures prioritaires à mettre en œuvre.

L’intérêt de ce service, tel qu’il a été souligné pendant la démo, est de lever les freins fréquemment rencontrés sur le terrain : difficulté à savoir par où commencer, manque de repères, inquiétude face au marché des prestataires ou absence de feuille de route claire.

À l’issue du diagnostic, l’organisation repart avec une restitution structurée et des recommandations priorisées, afin de pouvoir engager une montée en maturité plus sereinement.

Un test de maturité cyber rapide et mobilisable en atelier

Autre fonctionnalité mise en avant : le test de maturité cyber, accessible en ligne. Le site le présente comme un questionnaire rapide, réalisable en environ cinq minutes, permettant d’obtenir une évaluation indicative de la posture de l’organisation face aux enjeux cyber. Il ne s’agit pas d’un audit technique, mais bien d’un outil de sensibilisation et de positionnement. ( (Ouvre une nouvelle fenêtre) MesServicesCyber)

Pendant la session, une démonstration en mode collectif a permis d’illustrer son usage en atelier. Ce format est particulièrement intéressant pour animer un temps d’échange avec un groupe : il permet de faire émerger les représentations, d’ouvrir la discussion sur les pratiques existantes et de créer une première prise de conscience.

L’exercice a aussi permis de montrer comment l’ANSSI structure la notion de maturité cyber autour de plusieurs dimensions : prise en compte du risque, gouvernance, moyens humains et budgétaires, ou encore pratiques et services utilisés dans l’organisation.

NIS2, contacts utiles, prestataires, financements : une logique de parcours

La démonstration a aussi montré que MesServicesCyber ne se limite pas à un catalogue documentaire. La plateforme propose une logique de parcours pour aider les organisations à s’orienter selon leur besoin :

• se lancer ;
• approfondir ;
• se sécuriser ;
• réagir ;
• s’informer sur NIS2.

Le site donne également accès à tous les guides de l'ANSSI, des contacts cyber en région, à des prestataires/produits labellisées ou certifiées par l’ANSSI, ainsi qu’à une rubrique dédiée aux financements cyber. Il agrège enfin des contenus de partenaires comme la CNIL ou (Ouvre une nouvelle fenêtre) Cybermalveillance.gouv.fr, dans une logique de guichet d’orientation unique. ( (Ouvre une nouvelle fenêtre) MesServicesCyber)

Un enjeu fort : rendre la cybersécurité plus accessible

L’un des messages clés de cette démo est sans doute celui-ci : la cybersécurité ne doit pas rester un sujet réservé aux seules structures déjà expertes. La promesse de MesServicesCyber est justement de proposer des points d’entrée adaptés à différents niveaux de maturité, avec une attention particulière aux organisations qui ont besoin d’un premier pas concret.

Cette approche est cohérente avec l’ambition affichée sur le site : faciliter l’accès de tous aux services et ressources de l’ANSSI et de ses partenaires, dans un cadre lisible, gratuit et structuré. ( (Ouvre une nouvelle fenêtre) MesServicesCyber)

Échanges avec les participants

Que peut faire une organisation qui n’est pas assujettie à la directive NIS2 ?
Il est d’abord rappelé que la directive va concerner un grand nombre d’entreprises, et que son périmètre n'est pas tout à fait arrêté et est susceptible encore d’évoluer.
Surtout, le fait de ne pas être assujetti ne signifie pas qu’il n’y a pas d’enjeu : un besoin de sécurisation existe dans tous les cas.

C’est pour cette raison que les exigences liées à la directive ont été rendues publiques, afin que les organisations puissent se les approprier, indépendamment de leur statut.

Deux possibilités sont alors mises en avant :

• engager une première démarche via un diagnostic cyber, présenté comme un point d’entrée permettant de se mettre en mouvement ;
• ou s’appuyer directement sur les exigences pour construire une feuille de route, plus complète, mais aussi plus lourde (de l’ordre d’une soixantaine de mesures à déployer dans le temps).

Il est également précisé que le fait de ne pas être assujetti n’empêche pas d’utiliser les autres outils et ressources disponibles.

Le fait de ne pas être assujetti peut-il empêcher l’accès à certains outils ?
Une difficulté d’accès à un outil a été signalée.
Il est indiqué que cette situation n’est pas identifiée comme un fonctionnement normal, et qu’elle apparaît surprenante, notamment si l’outil est bien référencé parmi les ressources proposées.

Ce point doit donc être vérifié.
En parallèle, il est rappelé que d’autres ressources et outils restent immédiatement accessibles, sans dépendre de ce type d’accès.

Quels sont les leviers concrets pour engager ou poursuivre une démarche de cybersécurité ?
Plusieurs pistes sont rappelées dans les échanges :

• le diagnostic cyber, comme point d’entrée ;
• le tableau des exigences, pour structurer une démarche plus complète ;
• les guides de l'ANSSI ;
• des exercices de gestion de crise.

Il est également mentionné l’intérêt d’outils de sensibilisation, notamment sous forme de jeu (CyberEnJeu, Réflexes Cyber), permettant d’impliquer les équipes et de travailler concrètement sur des sujets comme le Plan de Continuité d’Activité.

Comment se positionner lorsqu’une organisation a déjà engagé plusieurs démarches ?
La situation d’organisations ayant déjà lancé des actions (budget, gestion des données, formation) est évoquée.
Il est indiqué que ces démarches nécessitent des arbitrages et des choix pour aller plus loin.

Il est également rappelé que certaines structures, aujourd’hui non concernées, pourraient l’être dans un second temps.

Quels enseignements tirer des diagnostics cyber déjà réalisés ?
Les éléments chiffrés sont publics : 5528 diagnostics ont été réalisés à ce jour.

Le fonctionnement est précisé :

• une base d’environ 36 mesures est mobilisée ;
• parmi celles-ci, 6 mesures prioritaires sont proposées dans la restitution en fonction des réponses apportées pendant le diagnostic.

Il est indiqué que, pour les organisations les moins matures, certaines recommandations portent sur des éléments très fondamentaux encore absents.

Qui peut bénéficier du diagnostic cyber ?
Le dispositif est ouvert aux organisations disposant d’une implantation en France et d’un système d’information.
Il ne concerne pas les structures de type mono-salarié.

Il est précisé qu’une organisation dont le siège est à l’étranger peut en bénéficier dès lors qu’elle dispose d’une structure en France avec un identifiant (SIRET).

Comment anticiper une possible extension du périmètre NIS2 ?
La question de l’anticipation est explicitement posée, notamment pour des acteurs susceptibles d’être concernés à terme.

Il est proposé d’examiner les possibilités d’accès à certains outils et de poursuivre les échanges sur ce point.
Il est également indiqué qu’un outil complémentaire, présenté lors d’une autre démonstration (MonServiceSécurisé), permet d’accompagner concrètement les organisations publiques dans la sécurisation et l'homologation de leurs services numériques basées sur la directive NIS2.