Klaerenn
⌘K
Klaerenn
Tribunes

L'ubérisation labellisée de la cybersécurité des PME

L'État vient de subventionner un label cyber pour les PME, opéré par un acteur dont le métier principal est la commercialisation de données IT au marché financier, sans coordination publique avec Cybermalveillance, sans aucune exigence cyber dans son référentiel. Anatomie.
L'ubérisation labellisée de la cybersécurité des PME
Prolix le devin, dans l'album d'Astérix Le Devin (Goscinny / Uderzo, 1972).
« Cet homme n'est pas un devin. C'est un charlatan. » — Panoramix, Le Devin

Le 17 avril 2026, la Direction générale des Entreprises a annoncé ScoreFact comme lauréate de l'appel à projets *« Dispositif de labellisation des experts numériques »*¹. La société, subventionnée par fonds publics, opérera désormais un label adossé à la marque France Num. Le périmètre annoncé inclut explicitement la cybersécurité, aux côtés de la stratégie numérique, de l'intelligence artificielle, de la gestion et du e-commerce.

Une TPE qui consultera demain l'annuaire France Num pour sécuriser son système d'information pourra légitimement penser que les prestataires labellisés ont fait l'objet d'une évaluation cyber par l'État. Aucune évaluation cyber n'est prévue par le dispositif.

Ce que la DGE a annoncé

Le communiqué de la DGE désigne l'opérateur retenu pour mettre en œuvre le label France Num à destination des prestataires accompagnant les TPE et PME dans leur transformation numérique. L'AAP avait été ouvert le 6 juin 2025 et clos le 11 juillet 2025⁹. Trente-cinq jours de candidature, neuf mois d'instruction. Le communiqué précise que le label couvrira la stratégie numérique, l'intelligence artificielle, la cybersécurité, la gestion et le e-commerce. Le coût visé pour le prestataire candidat est annoncé entre 200 et 400 euros, audit reconduit tous les deux ans.

Aucune réaction publique n'est venue, dans les semaines suivant l'annonce, des co-rédacteurs du référentiel sur lequel s'appuie le dispositif. Aucune communication non plus de Cybermalveillance.gouv.fr, de l'ANSSI ou du SGDSN. La presse spécialisée a relayé l'information sans la commenter¹⁰¹¹.

Ce que le label évalue vraiment

Le référentiel sur lequel ScoreFact opérera est public, publié sous licence Etalab le 22 avril 2025². Il a été élaboré par un groupe de travail piloté par la DGE, associant six Régions, CCI France, CMA France, Numeum, Cinov Digital, la CPME, la Confédération des commerçants et artisans des métropoles de France, l'Afnic, Cybermalveillance.gouv.fr et le GIE Carte Bancaire. Sa méthode d'évaluation y est définie en une phrase qui résume tout le dispositif : « Les critères d'évaluation sont des axes sur lesquels une mesure objective de la satisfaction clients est réalisée. »

Le label repose donc, exclusivement, sur une enquête de satisfaction conduite auprès d'un échantillon de clients du prestataire candidat. Pas d'audit technique, pas de vérification documentaire, pas de test de connaissances, pas d'exigence de certification individuelle des collaborateurs, pas d'obligation de RC Pro, pas d'audit sur site, pas d'organisme certificateur tiers indépendant requis. Le seuil d'éligibilité est fixé à 30 000 euros HT de chiffre d'affaires sur la matière, 4 clients référents, 2 ans d'ancienneté. La méthode a été testée sur 43 prestataires Activateurs France Num, 235 clients sondés, 152 réponses exploitées.

C'est exactement la mécanique d'évaluation d'un commerce sur Google Maps. Un restaurant noté 4,7 étoiles a des clients contents. Personne n'a vérifié sa cuisine. Pour choisir un restaurant, c'est utile. Pour vérifier le respect des règles d'hygiène alimentaire, la DGCCRF intervient par ailleurs.

Pour le label France Num appliqué à la cybersécurité, la DGCCRF du cyber, c'est ExpertCyber. Aucune communication publique ne documente, à ce stade, l'articulation entre les deux dispositifs.

Le contournement de l'opérateur public compétent

ExpertCyber est un dispositif public de labellisation des prestataires en cybersécurité de proximité, lancé en 2020 par le GIP ACYMA (Cybermalveillance.gouv.fr) en partenariat avec AFNOR Certification³. Il évalue, par audit AFNOR conduit par auditeur qualifié, la conformité du prestataire à un référentiel technique d'une cinquantaine de critères. Le recueil V3, publié le 5 novembre 2025, couvre la conformité réglementaire, l'organisation interne, la qualité de l'offre de service en sécurité numérique, les compétences individuelles des salariés (avec mention explicite des certifications type CISSP, Lead Implementer ISO 27001, Lead Cybersecurity Manager ISO 27032, EBIOS RM), une attestation sur l'honneur de respect législatif, une RC Pro obligatoire, et un questionnaire technique chronométré avec note éliminatoire⁴. La labellisation est délivrée pour deux ans, audit à 800 euros HT. Plusieurs centaines de prestataires sont aujourd'hui labellisés.

Le label France Num crée donc, sur le périmètre cybersécurité, un dispositif concurrent d'ExpertCyber, avec un signal public adossé à la marque de l'État, mais sans aucune des exigences techniques d'ExpertCyber.

Cybermalveillance.gouv.fr figure formellement parmi les co-rédacteurs du référentiel d'avril 2025. Aucune information publique ne documente, à ce stade, que cette participation soit allée au-delà de la rédaction du document Etalab. Aucune trace publique de coordination interministérielle ne ressort, sur le choix de l'opérateur, sur l'inclusion du périmètre cybersécurité dans le label, ni sur l'articulation entre les deux dispositifs publics.

Le dispositif a été conçu par la DGE, qui dépend du ministère de l'Économie. L'opérateur public cyber compétent dépend d'un autre triptyque institutionnel : SGDSN, ministère de l'Intérieur, ANSSI. Bercy a annoncé un dispositif sur un périmètre dont l'opérateur public est tutélé par cet autre triptyque, sans coordination avec lui.

La conséquence opérationnelle est immédiate. Deux signaux publics, portés par deux dispositifs très inégalement exigeants, vont coexister sur le marché cyber de proximité, sans que la PME utilisatrice puisse les distinguer.

L'opérateur retenu et ce qu'il vend par ailleurs

ScoreFact est une SAS française, siège social Paris XVI, fondée en 2016, dirigée par Raphaël d'Halluin⁵. Son cœur historique d'activité est la certification de la satisfaction client dans l'écosystème IT, principalement orientée éditeurs et intégrateurs ERP/CRM/BI (Microsoft Dynamics, Sage, INES CRM, Prodware, Divalto, COSMO CONSULT). La méthodologie SF-SRS, propriétaire et non publique, repose sur un audit annuel par questionnaire papier-web-téléphone auprès de 60 à 100 % du parc client du prestataire évalué. Trois niveaux de label sont attribués (Promising, Expert, Excellent), avec un système d'étoiles cumulatives par années consécutives. Tarif communément pratiqué : environ 5 500 euros par audit.

La lecture publique du site ScoreFact montre un second pan d'activité, qui n'est pas un complément marginal. La page Contact mentionne explicitement parmi les services proposés : *« Préparation de transactions FUSAC - M&A, Vendor Due Diligence, Gestion de portfolio d'entreprises (Private Equity), Labels sur mesure, Édition de Panoramas sectoriels. »*⁶ L'indicateur Score-Churn, présenté comme stratégique exclusif, a été créé en 2008 « pour accompagner les fonds d'investissements dans leurs investissements dans le secteur IT ». Les données collectées dans le cadre des audits « sont également mises à disposition d'analystes, sociétés de conseil, presse, fonds d'investissement » via abonnement spécifique payant. Le post LinkedIn corporate ScoreFact daté de 2024 résume : *« ScoreFact apporte les data extra financières qui rationalisent l'ajustement des prix entre acheteurs et vendeurs. Cela fluidifie le marché. »*⁷

ScoreFact opère donc, sur son cœur de métier historique, comme un intermédiaire de données B2B sur le secteur IT français et européen. Sa clientèle finale principale est constituée de fonds de Private Equity, de cabinets de M&A, de structures de Vendor Due Diligence. Le label de satisfaction est, dans ce modèle, le mécanisme d'enrôlement des prestataires audités dans une collecte de données dont la valeur économique se réalise en aval, par la commercialisation auprès du marché financier.

Le dispositif subventionné par la DGE prolonge mécaniquement cette logique. Chaque prestataire numérique français qui acceptera de soumettre son parc clients à l'enquête, dans l'espoir d'obtenir le label France Num, alimentera la base d'information ScoreFact dont la valorisation principale réside dans la revente agrégée à des acteurs financiers. Aucun document public ne définit, à ce stade, de séparation entre la mission d'intérêt général subventionnée et l'activité commerciale annexe de l'opérateur. La convention DGE/ScoreFact n'est pas publique. Le montant et la durée de la subvention non plus.

Le mécanisme : l'ubérisation

Le dispositif présente toutes les caractéristiques structurelles de l'ubérisation, au sens analytique du terme et non au sens médiatique flou.

Une plateforme s'interpose entre une demande et une offre qui existaient déjà, en captant la rente d'intermédiation. La demande de confiance entre PME et prestataires numériques existe. Sur le périmètre cyber, ExpertCyber y répond depuis 2020. ScoreFact s'interpose dans cette relation en captant un audit annuel et la collecte associée. La différence avec un audit ExpertCyber tient en un point : ExpertCyber est un dispositif d'autorité auquel le prestataire se soumet ; le label France Num est une plateforme à laquelle le prestataire s'enrôle.

La plateforme reporte les obligations sur les acteurs intermédés sans les assumer. ScoreFact ne porte aucune responsabilité de compétence cyber sur les prestataires labellisés. Si une PME est compromise via un prestataire labellisé France Num pour défaut de compétence cyber, ni ScoreFact ni la DGE n'auront à répondre du signal qu'ils auront contribué à émettre. La RC Pro du prestataire couvrira, dans le meilleur des cas, le périmètre individuel du sinistre. Le risque systémique du signal trompeur n'est porté par personne.

Le pouvoir économique se construit sur l'asymétrie d'information organisée par la plateforme. ScoreFact agrégera les données de satisfaction de centaines de prestataires français. Aucun prestataire ne verra le graphe collectif qui le concerne. Cette asymétrie constitue le produit principal du dispositif. ScoreFact la commercialise déjà sur son périmètre historique.

La plateforme s'installe dans un vide réglementaire en exploitant le fait accompli. La DGE a lancé l'AAP en juin 2025, sélectionné le lauréat sur 9 mois d'instruction, sans coordination publique documentée avec Cybermalveillance ni avec l'ANSSI. La transposition NIS 2, qui imposera aux entités essentielles et importantes une diligence sur leurs prestataires IT, n'est toujours pas votée à l'Assemblée. Le label France Num cyber sera installé avant que le cadre régulatoire ne puisse l'encadrer.

La plateforme remplace l'audit technique par la notation client. Là où ExpertCyber est une régulation par autorité (audit AFNOR sur référentiel technique opposable), le label France Num est une régulation par satisfaction client. La PME devient le passager qui note son chauffeur. Sauf qu'elle n'a pas plus les moyens d'évaluer la cybersécurité de son prestataire que le passager Uber n'a les moyens d'évaluer la conformité technique du véhicule. Le système fonctionne tant que les passagers ne sont pas blessés. Il manifeste ses défauts à la première intrusion supply chain à grande échelle qui passera par un prestataire labellisé.

L'écart avec l'ubérisation classique est aggravant. Uber s'est imposé contre l'État, qui a ensuite régulé a posteriori. ScoreFact s'impose avec l'État, qui finance le dispositif et lui prête sa marque France Num. L'autorité publique crée elle-même la confiance dont la plateforme bénéficie.

Ce que je sais, ce que je ne sais pas

Ce que je sais. Le référentiel France Num v1.0 d'avril 2025 ne comporte aucune méthode d'évaluation de la compétence cyber. Le communiqué DGE du 17 avril 2026 inscrit explicitement la cybersécurité dans le périmètre revendiqué du label opéré par ScoreFact. La méthode retenue est l'enquête de satisfaction client, exclusivement.

ExpertCyber, opéré par AFNOR pour le compte du GIP ACYMA, repose sur un audit technique exigeant, avec questionnaire chronométré, exigences de certifications individuelles et RC Pro obligatoire. Les deux dispositifs auront un signal public concurrent sur le même segment TPE/PME, sans articulation publique documentée à ce jour.

ScoreFact opère par ailleurs comme intermédiaire de données B2B sur le secteur IT français, dont la clientèle finale principale est constituée de fonds de Private Equity et de cabinets de M&A. Aucune muraille de Chine n'est documentée publiquement entre la mission subventionnée par la DGE et l'activité commerciale annexe de l'opérateur.

Ce que je ne sais pas. Le contenu exact de la convention DGE/ScoreFact, et notamment les éventuelles clauses de séparation des activités ou de restriction d'usage des données collectées via le dispositif. Le montant et la durée de la subvention DGE. La composition nominative du comité de sélection de l'AAP, et le nombre de candidatures déposées au 11 juillet 2025. L'identité du « prestataire » qui a assisté la DGE dans la rédaction du référentiel d'avril 2025, mentionné dans le document mais non nommé. La méthodologie précise que ScoreFact appliquera : référentiel Etalab v1.0 ouvert ou substitution par sa méthodologie propriétaire SF-SRS.

Si l'ANSSI a produit une analyse interne sur ce dispositif et ses interactions avec ExpertCyber. Si la DGE a engagé des discussions interministérielles avec le SGDSN ou le ministère de l'Intérieur sur l'articulation des deux labels. Si des prestataires labellisés ExpertCyber ont déjà manifesté leur intention de candidater au futur label France Num, ou de s'en abstenir collectivement.

Position

L'État vient de subventionner, par appel à projets, un dispositif de labellisation des prestataires numériques qui revendique publiquement la cybersécurité dans son périmètre, opéré par un acteur dont le modèle économique principal est la commercialisation de données IT au marché financier, sans coordination avec son opérateur public cyber compétent, sans exigence technique de compétence cyber dans son référentiel, et sans mécanisme de séparation des activités documenté.

Le dispositif est, dans sa conception même, l'application au cyber de proximité de la mécanique de l'ubérisation : interposition d'une plateforme privée dans une fonction de structuration de marché, captation de la rente d'intermédiation par collecte de données monétisables, externalisation du risque sur les acteurs intermédés et sur les utilisateurs finaux, contournement de l'autorité publique compétente, substitution de la notation client à la régulation par audit technique. La singularité française est que le dispositif est financé par fonds publics et adossé à la marque France Num, ce qui amplifie artificiellement le signal de confiance émis vers la PME utilisatrice.

À court terme, les PME devraient traiter le futur label France Num comme un avis qualifié sans valeur cyber, et exiger en complément un signal qualifié (ExpertCyber, qualification ANSSI, ou certification ISO 27001 du prestataire) dès lors que le besoin touche à la sécurité numérique. Les prestataires cyber qualifiés ont intérêt collectif à ne pas s'enrôler dans un dispositif qui dilue leur différenciation au bénéfice d'un opérateur dont la fonction publique recouvre une activité commerciale concurrente de leur écosystème.

Deux questions méritent une réponse publique. À la DGCCRF : quelle position la direction adopte-t-elle vis-à-vis des futures revendications commerciales de prestataires se présentant comme « labellisés cybersécurité par l'État » via le dispositif DGE/France Num, alors que ce dispositif ne comporte aucune évaluation cyber technique ? À la DGE : la direction peut-elle publier la grille exacte de ce que le label couvre et n'évalue pas par domaine, et clarifier publiquement le mode d'évaluation retenu pour le périmètre cybersécurité revendiqué dans son communiqué du 17 avril 2026 ?

À moyen terme, l'articulation entre le futur label France Num et les dispositifs publics du cyber régalien (ExpertCyber, qualifications ANSSI) reste à clarifier publiquement. La fragmentation institutionnelle française du numérique est déjà documentée sur d'autres dossiers : réforme de la facturation électronique, application du décret n°2026-272 relatif à l'article 31 SREN. Elle trouve ici une nouvelle expression. Cette accumulation cesse d'être une série d'incidents pour devenir une mécanique de fonctionnement, dont la cohérence est désormais documentable.

L'État appose le signal. La PME assume le risque.

Références

¹ DGE, communiqué de presse du 17 avril 2026, « Transformation numérique des entreprises : la DGE annonce le lauréat de l'appel à projets Dispositif de labellisation des experts numériques ». presse.economie.gouv.fr

² France Num, « Référentiel de labellisation des Experts Numériques v1.0 », publié le 22 avril 2025 sous licence Etalab. francenum.gouv.fr

³ Cybermalveillance.gouv.fr, « Découvrir le label ExpertCyber ». cybermalveillance.gouv.fr

⁴ Cybermalveillance.gouv.fr, « Recueil des critères d'évaluation des candidatures au Label ExpertCyber », V3 publié le 5 novembre 2025. cybermalveillance.gouv.fr

⁵ Page LinkedIn corporate ScoreFact (siège Paris 75116, fondée en 2016, 11-50 employés). linkedin.com/company/scorefact

⁶ ScoreFact, page « Contact ». scorefact.com/contact

⁷ ScoreFact, page « Société » et publications LinkedIn corporate, références Score-Churn (2008) et données extra-financières pour le Private Equity. scorefact.com/societe

⁸ AFNOR Certification, « Label ExpertCyber », plateforme de candidature. expertcyber.afnor.org

⁹ DGE, page de l'AAP « Dispositif de labellisation des experts numériques France Num », ouvert du 6 juin au 11 juillet 2025. entreprises.gouv.fr

¹⁰ LeMagIT, « Transformation digitale : c'est ScoreFact qui labélisera les prestataires pour les PME », 20 avril 2026. lemagit.fr

¹¹ Solutions Numériques & Cybersécurité, « Un label pour fiabiliser les experts du numérique qui démarchent les TPE et les PME », 21 avril 2026. solutions-numeriques.com

¹² Klaerenn, « La plus grande surface d'attaque non régulée de l'économie française », février 2026. klaerenn.fr

More like this

Status: clean

Status: clean

En un mois, une IA a trouvé plus de dix mille failles critiques. 75 corrigées. Tout le monde en tire la même leçon : patcher plus vite. C'est la mauvaise. Le taux ne bouge pas, le volume double, et l'instrument de mesure devient aveugle au même moment.
I want to play a game

I want to play a game

48 PME, 9 millions d'euros, un dispositif d'accompagnement vers SecNumCloud conçu avec le mauvais outil, le mauvais référentiel, et aucun bilan public trois ans plus tard. Anatomie d'un piège à subventions.
The Thing That Should Not Be

The Thing That Should Not Be

ATLAS copie ATT&CK pour l'IA. Quatre attaques en deux mois, mêmes identifiants, aucun mécanisme en commun. Le framework nomme les techniques sans armer les défenseurs. L'industrie l'adopte parce qu'il ressemble à ATT&CK. La ressemblance est le piège.
Pitch Black

Pitch Black

Huit vecteurs de dégradation frappent le NIST. L'Europe a bâti sa conformité sur ses standards, du NVD au CISSP. Elle construit des alternatives sur un seul niveau. Elle n'a pas de système.
Mon Oncle

Mon Oncle

Décret SecNumCloud paru le 16 avril 2026, 23 mois après la loi. La veille, l'ANTS fuitait 19 millions de données. Aucun hébergement qualifié n'aurait empêché cette fuite. Le décret est utile pour ce qu'il est. Le confondre avec ce dont on aurait besoin reste l'illusion centrale.
The Prestige

The Prestige

D3FEND devait être le miroir défensif d'ATT&CK. J'ai examiné ses 267 techniques, leur provenance, leur distribution. Ce que j'ai trouvé ne correspond pas à l'ambition affichée. Quatorzième article de la série.