Cyber-rating : vers plus d’harmonisation et de standardisation ?
![Image Que faire en cas d’attaque par [rançongiciel ?]](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
![Image Europol, la CISA et le FBI alertent sur le gang de [rançongiciel Akira]](https://incyber.org//wp-content/uploads/2023/12/incyber-news-water-cybersecurite-cybersecurity-885x690.jpg)
![Image Les [polices européennes] prennent position contre le chiffrement de bout en bout](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-cybercop-police-2024-885x690.jpg)
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
Alors que les cybermenaces ne font que grandir, les agences de cyber-rating se multiplient. Mais pour certaines associations professionnelles, comme le CESIN, leur développement se fait tous azimuts, sans garde-fous ni rigueur méthodologique.
Le marché de la notation cyber (cyber-rating) se développe partout dans le monde, à la manière de celui de la notation financière des entreprises il y a quelques années déjà. Les acteurs de ce marché se donnent pour mission d’évaluer le niveau de maturité en cybersécurité des entreprises. Le recours à ces services intervient dans le cadre de contrats d’assurance et de sous-traitance ou pour mesurer l’exposition publique des organisations.
Selon un sondage réalisé par le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) auprès de ses membres en avril 2023, 55% des entreprises interrogées déclarent utiliser les services d’agences de notation cyber. Toujours selon cette enquête, 39% des répondants le font pour surveiller leur exposition publique et détecter leurs défauts de sécurité afin d’y remédier au plus tôt. Et 34% des personnes sondées déclarent avoir recours à ces services pour des questions d’image, de benchmark et de réputation de leur entreprise vis-à-vis de tiers.
Cyber-rating : la question de l’impartialité des acteurs
L’activité de ces agences de notation présente cependant des limites, selon le CESIN. L’association, qui reconnait qu’il existe une vraie demande de visibilité sur la maturité des entreprises en matière de cybersécurité, pose néanmoins les deux questions suivantes : ces acteurs sont-ils en capacité de créditer les entreprises de manière impartiale ? Quelle est la fiabilité des méthodes d’évaluation, pour quels impacts sur les entreprises ?
« À ce jour, n’importe quel acteur se réclamant du cyber-rating, peut à tout moment évaluer la cybersécurité d’une organisation sans la prévenir et sur un périmètre non vérifié. Cette notation est ensuite vendue, partagée avec des tiers (concurrents, autorités…) et peut même être rendue publique. Par ailleurs, une entreprise pourra présenter une façade de sécurité trompeuse avec une note satisfaisante, quand bien même ses fondamentaux de sécurité ne sont pas respectés », déclare le CESIN dans un communiqué.
Arnaud Martin et Didier Gras, administrateurs du CESIN, ont quant à eux dénoncé, en juin 2022, dans le cadre d’une note du think tank Digital New Deal, l’existence d’un oligopole américain dans ce domaine : « Il existe un oligopole des agences de rating américaines (95% du marché de la notation) qui publient de plus en plus d’indices ESG et créent des standards de fait. Ces agences imposent une dépendance ou une soumission à un rating cyber unilatéral. Ces évaluations exposent les entreprises européennes aux risques de délocalisation du droit, de distorsion de concurrence ou de conflit d’intérêts ». Les auteurs regrettent en outre qu’il n’existe, à date, aucune alternative européenne d’envergure.
Un appel à la transparence des méthodes et à la création d’un référentiel universel
Mylène Jarossay, présidente du CESIN, appelle de ses vœux à plus de transparence dans les méthodes et une prise de conscience de leurs limites : « Un processus de notation doit être vertueux et source de progrès. Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur, pour connaître le niveau réel de sécurité des organisations, c’est-à-dire leur capacité globale à répondre aux cyber-risques. Ceci afin que ces systèmes de notation ne détournent pas les organisations de la mise en place de mesures moins visibles, donc moins payantes en termes de note, et pourtant essentielles en termes de défense. »
Le CESIN suggère, afin d’éviter toute dérive, la mise en œuvre d’un référentiel pour soutenir l’émergence de notations claires et transparentes, sur la base de méthodes et critères reflétant fidèlement et de façon reproductible le niveau de maturité des organisations. Cela permettra de garantir la compétence des analystes et l’application du principe d’amélioration de la cybersécurité en continu. Enfin, il recommande la création de normes et mesures standardisées, de manière à rationaliser la communication auprès des comités exécutifs et conseils d’administration, tout en favorisant le développement de sociétés de cyber-rating en Europe.
La note de cyber-rating : un élément faisant partie d’un faisceau d’indices ?
Laurent Besset, directeur cyberdéfense chez I-Tracing, spécialiste des services de cybersécurité (I-Tracing est un des membres fondateurs du CESIN), reconnait lui aussi l’absence d’harmonisation des méthodes utilisées par les agences de notation : « S’il n’existe pas de notation cyber universelle aujourd’hui, c’est avant tout parce que des entreprises privées et concurrentes se sont emparées en premier d’un marché devenu très fructueux. Nous devons donc jongler au quotidien avec une grande diversité de scores, souvent construits à partir d’indicateurs très similaires, mais jamais avec la même formule de calcul. »
Il nuance cependant son point de vue : « Si les inquiétudes de la communauté apparaissent fondées au regard de certaines limites (problème d’exhaustivité des périmètres surveillés, effets de bord créés par certaines architectures, notamment les services Cloud/SaaS positionnés devant les actifs de l’entreprise, cas des réseaux Wi-Fi guest, etc.), il est dommage de ne pas exploiter une majorité de détections pertinentes (exposition de ports dangereux, actifs exposant des logiciels obsolètes et vulnérables, infections virales, etc.). »
En d’autres termes, quand la note n’est pas bonne, elle reste toutefois un indicateur plutôt fiable de « non qualité ». « Il est en effet rare qu’une entreprise dont la note est mauvaise soit très mature en termes de sécurité de l’information. En revanche, le fait qu’une entreprise soit bien notée ne garantit pas qu’elle soit ‘sécurisée’, car la bonne note n’est pas auto-suffisante. Il faut donc prendre la note et les alertes associées pour ce qu’elles sont : des éléments à prendre en compte au sein d’un faisceau beaucoup plus large », précise Laurent Besset.
Quels que soient les avis des uns et des autres en matière de cyber-rating, le salut viendra certainement de la création d’une accréditation européenne de notation cyber à destination des acteurs de la notation extra-financière. « Cette accréditation aurait pour objectif de garantir la fiabilité des mesures, l’indépendance des notes publiées ainsi que l’équité de traitement des entreprises européennes face aux choix d’investissement ou d’assurance liés à l’évaluation externe du risque cyber. Les exigences relatives à l’obtention de cette accréditation devraient notamment porter sur les modes de gouvernance et de financement de l’opérateur de mesure, sur la conformité de ses pratiques à des normes européennes partagées », concluent les administrateurs du CESIN, Arnaud Martin et Didier Gras.