Cyber-rating : le « Oui, mais » des entreprises

Discipline permettant de quantifier le cyber-risque auquel est exposée une organisation, le cyber-rating continue de se développer partout dans le monde. Le marché est très largement dominé par deux acteurs américains : BitSight et Security ScoreCard, qui s’octroient plus de 90% du marché. Ils sont suivis, de très loin, par d’autres entreprises comme Panorays ou UpGuard. En France, des sociétés telles que Cyrating tentent de résister à la suprématie américaine.

Pour Lari Lehtonen, responsable développement cyber chez Marsh, spécialiste du courtage d’assurance et du conseil en risque, l’utilisation des outils de cyber-rating s’est imposée ces dernières années en raison du recours de plus en plus fréquent qu’en faisaient les acteurs de l’assurance cyber. « Depuis quatre ou cinq ans, les assureurs cherchent de plus en plus fréquemment à identifier les sociétés qui sont un ‘bon risque’ et celles qui le sont moins. En quête de grilles d’analyse, ils se sont tournés vers les outils de cyber-rating. Par ricochet, nous les avons imités. Même s’il y a du pour et du contre à recourir à ces outils, je dois reconnaitre qu’il est très confortable d’appuyer sur un bouton pour obtenir une note sur une société ».

Même constat pour Thibault Carré, directeur cybersécurité chez Inquest, cabinet de conseil spécialisé dans la gestion des risques : « Le marché de l’assurance étant attaché à cette évaluation des risques assez rapide, nous utilisons aussi ces outils pour nos clients qui veulent avoir une idée de là où ils se positionnent dans cette notation. La raison en est simple : quand nos clients sont à la recherche d’une assurance cyber, leur objectif est d’améliorer leur note pour pouvoir obtenir un contrat d’assurance qui leur corresponde. »

Une évaluation en continu

Pour Frank Van Caenegem, RSSI EMEA de Schneider Electric et administrateur du Cesin, les agences de cyber-rating présentent par ailleurs l’avantage d’évaluer les entreprises en continu. « Dans un grand groupe comme Schneider Electric, il y a plusieurs dizaines de milliers d’adresses IP. Chaque mois, nous recevons une estimation et je peux vous assurer que garder une bonne note en continu, c’est exceptionnel. Ce que nous appliquons à notre propre système d’information, nous le faisons aussi avec les sociétés avec lesquelles nous sommes en partenariat commercial. Nous les suivons pour savoir si elles ont une hygiène de cybersécurité en continu ».

Autre avantage des agences de cyber-rating, souligné par Adrien Petit, cofondateur et CEO d’Uncovery, éditeur d’une solution d’EASM (External Attack Surface Management) : « Pour les équipes opérationnelles de cybersécurité, ces solutions ont permis, depuis quatre ou cinq ans, d’effectuer toutes les petites actions nécessaires à la phase de reconnaissance d’un profil offensif. Certes, il existe de très nombreux outils open source disponibles sur étagère, mais il peut y avoir une difficulté à industrialiser la démarche dans le temps, et de maintenir dans la durée le haut niveau d’expertise qui est requis. Des solutions de rating, mais aussi de scan de vulnérabilités, ont donc été utilisées, pour combler ce besoin ».

Cyber-rating : de nombreuses critiques malgré tout

Mais les agences de cyber-rating font l’objet de nombreuses critiques. Opacité des méthodes, absence de normes et de mesures standardisées, voire de référentiel universel, potentiels conflits d’intérêts… Les griefs ne manquent pas à l’encontre de ces entreprises. « Un des travaux que nous menons au Clusif concerne la qualité de la notation. La plupart des outils du marché donnent des notes sans prendre la peine d’informer les sociétés concernées. Certes, les solutions permettent d’avoir accès à son rapport, mais il y a un manque flagrant de réactivité pour permettre aux entreprises évaluées d’enlever des adresses IP qui ne leur appartiennent pas ou, à l’inverse, d’en ajouter. Dans la charte éthique que nous sommes en train d’élaborer, nous demandons aux entreprises de cyber-rating de signaler si une note a été travaillée par la contrepartie ou non. Si l’entreprise notée peut confirmer que le périmètre évalué est le bon, c’est déjà un grand pas de fait », note Frank Van Caenegem.

Une position que défend également Luc Declerck, Managing Director de Board of Cyber, éditeur d’une solution SaaS permettant de noter, piloter et améliorer en continu sa performance en cybersécurité et celle de son écosystème : « Notre solution de notation permet à chaque client d’accéder à sa cartographie, et de la modifier, comme il le souhaite, car chacun peut se tromper. Nous avons également créé des rapports lisibles par des non experts, afin de proposer un premier niveau de lecture très simple. Nous avons aussi misé sur la réactivité : si vous corrigez un défaut, cela se voit dans votre note dès le lendemain. Notre approche est donc beaucoup plus tournée vers les utilisateurs, plutôt que quelque chose, un peu ‘Big Brother’, qui vous note sans que vous ayez vraiment la main dessus. »

Autre interrogation soulevée par de nombreux observateurs de ce marché naissant : les deux leaders – BitSight et Security ScoreCard – sont-ils parfaitement impartiaux ? Quand on sait que l’agence de notation économique Moody’s a investi, en 2021, quelque 250 millions de dollars (229 millions d’euros) dans BitSight et que Fitch Ventures, la branche d’investissement en actions de Fitch Group, a soutenu la même année le tour de financement par actions privilégiées de série E de SecurityScorecard, des questions légitimes peuvent se poser.

« C’est un point intéressant qui a beaucoup questionné les membres du Cesin. C’est la raison pour laquelle nous voulons obtenir une impartialité et une transparence dans leur notation. Dans le groupe de travail du Clusif sur la charte éthique, nous demandons à ce qu’il n’y ait aucune pondération géopolitique, car cela peut être un avantage pour réaliser des prises de participation dans certaines entreprises, voire déstabiliser un pays », conclut Frank Van Caenegem.