France Cybersecurity has kept the same governance model since its creation under the Nouvelle France industrielle programme: a user college made up of CESIN, CIGREF and GITSIS; an industry college represented by ACN and Hexatrust; and a state college with ANSSI, the DGA and the DGE. Its mission has also remained unchanged: to promote French cybersecurity products and services for export.

The label was first unveiled at the FIC in January 2015, when 18 companies were selected for 25 certified solutions. The inaugural list included Atos, for the Hoox smartphone and TrustWay Proteccio HSM; Thales, for Teopad mobile device management, ELIPS network diode and MISTRAL encryption; and Orange Cyberdefense, for consulting services. Arkoon and Netasq, then both Airbus Defence and Space subsidiaries, were also certified before merging a year later to form Stormshield. Other early winners have since changed hands or names: Ercom, certified for Cryptosmart, was acquired by Thales in 2019; Amossys, recognized for audit and consulting services, was bought by Almond in 2023; and DenyAll became Rohde & Schwarz Cybersecurity in 2018 before turning into UBIKA in 2022.

France Cybersecurity is best understood as a controlled-origin label rather than a security clearance. Each of the three colleges has equal representation in the governance structure, and the award process is handled by a commission with two representatives from each college. Decisions rely on a “third-party reviewer” report, existing certifications and user feedback. The label is therefore not a security visa.

The criteria focus on French origin and operational reality. Beyond any product- or service-specific requirements, the main rules are: products and services provided by a French company; products designed and developed in France; services delivered from France and hosted in France where relevant; and products and services that are commercially available with identifiable customers. Applicants must provide detailed documentation, including shareholder structure, data handling for customers and employees, and the applicable law for employment contracts. For products, they must specify where R&D, production and support are based. For managed services, they must identify storage locations and the teams handling management, build and operations. For consulting, they must detail the main expertise center, hardware resources, mission teams and knowledge management.

The label is valid for one year. It costs €2,500 excluding VAT to obtain, or €1,250 for SMEs, and €1,500 to renew, or €750 for SMEs. Winners are traditionally announced at the Forum INCYBER, formerly the FIC. For the 2026 cohort, applications had to be submitted by 30 October 2025, or by 1 December for renewals.

Including renewals, 85 companies currently hold the label for 91 solutions, a number that has remained stable in recent years. None of the original January 2015 laureates remain, but some early names are still present: Olfeo and Pradeo, first certified in October 2015 when France Cybersecurity still ran two annual award rounds, and 6cure and Cyberwatch, certified in January and June 2016 respectively. Oodrive, long a regular holder of the label, is absent from the 2026 list, unlike Tixeo, Olfeo and Docaposte. Docaposte appears again for its Pack Cyber, after winning in 2021 for a different offer, L’Identité Numérique.

France Cybersecurity also has a European counterpart, Cybersecurity Made in Europe, run by ACN through its role as a founding member of ESCO (European Cyber Security Organisation). Unlike France Cybersecurity, this scheme is largely self-declaratory: companies can obtain it by paying a fee and meeting two sets of criteria, one on European origin and one on baseline cybersecurity practices such as security by design, least privilege, strong authentication and supply-chain security. It does not assess product or service quality in the way France Cybersecurity does, at least to some extent. The public fee is €1,500 excluding VAT, with applications reviewed year-round; ACN sets a preferential member price of €750 excluding VAT per year.

Un collège utilisateurs avec le CESIN, le CIGREF et le GITSIS ; un industriel avec l’ACN et Hexatrust ; un étatique avec l’ANSSI, la DGA et la DGE : depuis ses origines, France Cybersecurity a gardé la même structure de gouvernance.

Le label, né dans le cadre du programme de la Nouvelle France industrielle, a aussi gardé le même objectif. En l’occurrence, promouvoir l’offre française de produits et de services de cybersécurité à l’export.

Les premiers lauréats avaient été annoncés en janvier 2015, au FIC. Il y en avait 18, pour 25 solutions labellisées. Atos était sur la liste, pour son smartphone Hoox et son HSM TrustWay Proteccio. Thales aussi, pour ses offres Teopad (gestion des terminaux mobiles), ELIPS (diode réseau) et MISTRAL (chiffrement). Ainsi qu’Orange Cyberdefense, pour ses services de conseil.

Arkoon et Netasq, alors tous deux filiales d’Airbus Defence and Space, étaient également lauréats. Ils fusionneraient un an plus tard pour donner Stormshield.

Ercom, distingué pour sa solution Cyrptosmart, passerait quant à lui dans le giron de Thales en 2019. Amossys, labellisée pour ses prestations d’audit et de conseil, serait acquis par le groupe Almond en 2023. DenyAll deviendrait pour sa part Rohde & Schwarz Cybersecurity en 2018, puis UBIKA en 2022.

Une garantie d’origine contrôlée plus qu’un visa de sécurité

L’ANSSI, la DGA et la DGE ont chacune un représentant au collège étatique de France Cybersecurity. Même système pour le CESIN, le CIGREF et le GITSIS au collège utilisateurs. Au collège des industriels, l’ACN et Hexatrust ont chacun deux sièges.

Cette structure définit l’évolution des critères pour l’attribution, effectuée par une commission où siègent deux représentants de chaque collège. Les délibérations s’appuient notamment sur le rapport d’un « tiers instructeur », ainsi que sur « des certifications existantes » et « des retours d’utilisateurs ». Le label ne s’apparente donc pas à un visa de sécurité.

Au-delà des éventuelles exigences spécifiques à des catégories de produits ou de services, il y a quatre grands critères :

Produits et services fournis et/ou délivrés par une entreprise française

Produits conçus et développés en France

Services fournis de France et hébergés en France le cas échéant

Produits et services commercialisés et qui ont des clients identifiables

Les éléments à renseigner dans le dossier de candidature s’en ressentent. Fournisseurs, éditeurs et prestataires de services sont par exemple invités à lister leurs principaux actionnaires et leurs parts, leur traitement de données clients et employés, ainsi que le(s) droit(s) applicables aux contrats de travail.

De même, pour les produits, est demandée la localisation principale de la R&D, de la production et du support. Pour les services managés, celle du stockage comme des équipes de management, de build et d’exploitation. Pour le conseil, celle du principal centre d’expertise, des moyens matériels, des équipes de mission et du knowledge management.

6cure, Cyberwatch, Olfeo et Pradeo, « vétérans » du label France Cybersecurity

Le label est valable un an. Il en coûte 2500 € HT pour l’obtenir (1250 € pour les PME). Et 1500 pour le renouveler s’il est en cours de validité (750 € pour les PME). L’officialisation des lauréats se fait traditionnellement au Forum INCYBER (ex-FIC).

Pour la « promo 2026 », il fallait postuler avant le 30 octobre 2025 (ou le 1er décembre pour les renouvellements).

Renouvellements compris, 85 entreprises sont détentrices du label, pour 91 solutions. Un volume stable depuis quelques années.

Des lauréats de janvier 2015, il n’en reste aucun. Demeurent toutefois quelques « anciens », tels Olfeo et Pradeo, distingués pour la première fois en octobre 2015, à l’heure où France Cybersecurity effectuait encore deux labellisations par an. Autres « vétérans » : 6cure et Cyberwatch, respectivement lauréats en janvier et juin 2016.

Oodrive, lauréat pendant plusieurs années, n’est pas de la « promo 2026 ». Il fait partie des fournisseurs qui ont régulièrement revendiqué le label dans leurs communications à la presse. Comme, entre autres, Tixeo, Olfeo et Docaposte, tous trois bien présents sur la liste 2026. Docaposte y figure comme l’an dernier pour son Pack Cyber ; elle avait été lauréate en 2021 pour une autre offre : L’Identité Numérique.

Un pendant européen… en mode autodéclaratif

Aux commandes de France Cybersecurity, l’ACN (Alliance pour la confiance numérique, organisation professionnelle née en 2013) décerne un autre label : Cybersecurity Made in Europe. Elle en est chargée en tant que membre fondateur de l’association ESCO (European Cyber Security Organisation).

Au contraire de France Cybersecurity, la démarche est essentiellement autodéclarative. Moyennant contribution financière*, le label peut être obtenu en répondant à des critères sur deux axes. D’une part, l’origine européenne (entre autres, plus de 50 % du capital sous contrôle européen et au moins 50 % des effectifs et de la R&D sur place). De l’autre, des exigences cyber de base : security by design, moindre privilège, authentification forte, sécurité de la supply chain, etc.

Il ne s’agit donc pas de mesurer la qualité des produits et des services, au contraire de ce que garantit, dans une certaine mesure, France Cybersecurity.

* Candidatures évaluées tout au long de l’année. Coût public : 1500 € HT. Les associations émettrices sont libres de pratiquer un prix préférentiel pour leurs membres. L’ACN l’a fixé à 750 € HT par an.

Illustration générée par IA

The post France Cybersecurity officialise sa promo 2026 : qu’est-ce que ce label ? appeared first on Silicon.fr.