PME : les formations certifiantes bon marché pour se conformer aux nouvelles réglementations cyber
De nombreuses petites et moyennes entreprises (PME) doivent se conformer à de nouvelles normes de cybersécurité. La directive NIS 2 oblige entre 15 000 et 20 000 PME à rehausser leur niveau de cybersécurité. Quant au règlement Dora, appliqué depuis janvier 2025, il renforce la cyber-résilience des acteurs financiers, quelle que soit leur taille. Les fournisseurs de ces PME sont également concernés. NIS 2 leur impose d'être matures en cybersécurité et Dora impose aux entités qu'il vise d'évaluer la cyber-résilience des fournisseurs du secteur des technologies de l'information et de la communication.
Problème : beaucoup de PME ne disposent pas des moyens financiers suffisants pour se conformer à ces nouvelles réglementations et prouver leur maturité cyber. Elles peuvent néanmoins recourir à des organismes formant leurs salariés à y parvenir, indique Vincent Poulbere, directeur exécutif de SysDream, organisme de formation en cybersécurité : "Je connais beaucoup de clients qui n'ont pas les moyens financiers de recourir à des consultants extérieurs pour se conformer à NIS 2, Dora, ISO 27001, etc. Et, quand ils en ont les moyens, il faut qu'ils soient compétents pour acheter les bonnes prestations. C'est pourquoi on leur conseille d'acheter moins de consultants et de plus investir dans la formation. Leurs salariés deviendront alors des sachants et ils pourront structurer leur conformité cyber et, quand c'est possible, acheter les bonnes prestations".
Les formations certifiantes pour se conformer à NIS 2 et Dora
Deux programmes dédiés à la conformité des organisations à NIS 2 et Dora ont été lancés il y a environ un an sur le marché des formations certifiantes en cybersécurité : NIS 2 lead manager et Dora lead manager. Ceux-ci ont pour objectif d'enseigner les principes normatifs de ces textes et les méthodes pratiques pour les mettre en œuvre : "Il s'agit de comprendre comment on répond aux exigences de la réglementation en prenant en compte la réalité des entreprises : leurs moyens, leurs clients, etc.", affirme Virginie Estrampes, responsable formation chez SysDream.
"Ces formations contiennent donc des études de cas et des mises en situation pour que les stagiaires apprennent à mettre en œuvre ces réglementations dans leur organisation. Par exemple, ils doivent travailler en groupe pour mettre une société en conformité avec NIS 2", explique Hervé Schauer, fondateur de HS2, un organisme de formation au Campus Cyber. C'est pourquoi elles sont généralement dispensées par des formateurs très expérimentés : "Chez SysDream, tous nos formateurs sont des gens du terrain et ont en moyenne 15 à 20 ans d'expérience en tant que responsable de la sécurité des systèmes d'information, directeur des systèmes d'information, auditeur, etc. Ils partagent donc leurs expériences de terrain", précise Virginie Estrampes.
Quant aux salariés qui suivent ces programmes, "ce sont tous ceux qui sont amenés à déployer ces réglementations au sein de l'organisation : les responsables de la sécurité des systèmes d'information, juristes, responsables qualité, chefs de projet, informaticiens, etc. Pour les PME, c'est souvent le responsable informatique qui est concerné. Ceux-ci proviennent d'entreprises de toute taille et de secteurs très variés : tech, télécoms, hôpitaux, armée, enseignement, services à la personne, etc." Depuis la transposition en cours de NIS 2 et l'entrée en vigueur de Dora, "le périmètre des secteurs concernés par ces formations s'élargit toujours plus."
Chacune de ces deux formations dure 35 heures réparties sur cinq jours. La dernière demi-journée est consacrée à l'examen écrit qui dure trois heures. Son format doit permettre aux examinateurs de vérifier que les stagiaires ont acquis les connaissances nécessaires pour assurer la conformité de leur organisation à NIS 2 et Dora. La réussite à l'examen aboutit à la délivrance d'un certificat qui a une validité de trois ans. Toutefois, il n'est pas nécessaire de le renouveler selon Vincent Poulbere : "Les clients ne demandent pas de renouveler un certificat, car son obtention atteste déjà que les compétences ont été acquises." Quant aux prix de la formation, celui-ci varie en général entre 3 900 euros et 5 800 euros selon l'organisme de formation.
Les formations certifiantes pour les fournisseurs des entreprises NIS 2 et Dora
Les PME fournissant des entreprises soumises à NIS 2 et Dora peuvent démontrer leur maturité cyber en finançant pour leurs salariés, dont le métier est lié, les formations certifiantes ISO 27001 lead implementer et ISO 27005 risk manager. Celles-ci sont aussi ouvertes aux informaticiens, responsables de la sécurité des systèmes d'information, chefs de projet, juristes, consultants, managers confirmés, etc. "Elles sont un élément différentiant, un gage de sérieux, de qualité et de bonne conformité aux yeux de leurs clients", affirme Virginie Estrampes.
Pour rappel, ISO 27001 est une norme internationale qui définit les exigences d'un système de management de la sécurité de l'information (SMSI). Celui-ci est un cadre organisationnel et procédural destiné à protéger la confidentialité, l'intégrité et la disponibilité des informations grâce à une approche par les risques. Quant à la norme internationale ISO 27005, elle complète ISO 27001 en expliquant la méthode pour identifier, évaluer et traiter les risques au sein d'un SMSI.
Tout comme les formations NIS 2 et Dora, les programmes ISO 27001 et ISO 27005 visent à enseigner les principes de ces normes et les méthodes pour y conformer la gestion d'un système d'information. Ils contiennent donc aussi des études de cas et des mises en situation dispensées par des formateurs également très expérimentés en la matière. Chacune de ces deux formations durent 35 heures réparties sur cinq jours. Le cinquième jour est aussi en partie consacré à un examen écrit de trois heures évaluant la capacité des stagiaires à mettre en œuvre ces normes dans leur organisation. Sa réussite aboutit à la délivrance d'un certificat valable 3 ans. Ces formations sont souvent plus chères de quelques centaines d'euros que celles dédiées à NIS 2 et Dora.
Choisir l'organisme de formation en fonction des formateurs
Pour les PME, les prix ne constituent pas nécessairement un critère pour choisir un organisme de formation. Et pour cause, elles peuvent solliciter un opérateur de compétences (Opco) pour un financement des formations. Un Opco est un organisme agréé par l'Etat chargé d'accompagner la formation continue des salariés. "Toutes les entreprises disposent d'un budget auprès de leur Opco. Cependant, les petites entreprises ne le savent pas toujours. Surtout quand la gestion des ressources humaines est déléguée à des cabinets externes qui n'ont pas toujours l'information. De plus, la cybersécurité fait partie des secteurs en tension car on sait qu'il manque des postes dans ce domaine. Les Opco ont donc une facilité à accorder des financements pour ces formations en cybersécurité", observe Virginie Estrampes.
Hervé Schauer conseille de choisir l'organisme de formation uniquement en fonction de la qualité de ses formateurs : "Il faut se renseigner sur les formateurs auprès des anciens stagiaires, des associations professionnelles et en regardant leurs parcours." Virginie Estrampes partage le même avis : "Ce qui fait la différence, c'est l'expérience des formateurs". Selon elle, SysDream garantit leur qualité car ils sont certifiés par l'organisme international de certification Professional evaluation and certification board (PECB). En tant que tiers de confiance, les organismes internationaux de certification vérifient la conformité aux normes des formations dispensées et fournissent leur contenu. Hervé Schauer estime quant à lui que la certification des formateurs par PECB n'est pas un gage de qualité : "Leurs formateurs utilisent des supports de cours déjà faits, tandis que les miens gèrent des SMSI et conçoivent leurs propres cours et des exercices : c'est un énorme avantage."