Cyber-score : premiers adhérents pour la Charte de bonne conduite du Clusif
Articles du même auteur :
2
3
Le Clusif (Club de la sécurité de l’information français) s’est félicité, le 21 septembre 2024, des quatre premières adhésions à sa Charte de bonne conduite pour la notation cyber. Les signataires sont les agences Board of cyber, Red Sift, Scovery et Security Scorecard. Cette Charte est une réponse aux inquiétudes sur la notation cyber du Clusif et du Cesin (Club des experts de la sécurité de l’information et du numérique), les deux principales associations de professionnels cyber en France.
Un cyber-score vise à fournir une évaluation objective et chiffrée du niveau de protection cyber d’une organisation, au terme d’une enquête ad hoc. Le Clusif et le Cesin reconnaissent l’utilité de telles cotations, en particulier vis-à-vis d’un tiers non-spécialiste. Elles évitent aussi aux RSSI de perdre un temps considérable à détailler à chacun de leurs partenaires les mécanismes de cyber-résilience de leur organisation.
Pour autant, selon le Cesin, de trop nombreux cyber-scores proposent une méthodologie médiocre, conduisant à des évaluations peu fiables. Certains systèmes de notation incitent aussi les organisations à privilégier des améliorations marginales et peu efficaces, mais aptes à faire monter leur score. Ces organisations se détourneraient alors d’investissements dans leur cybersécurité opérationnelle, pourtant nécessaires.
La Charte de bonne conduite du Clusif propose donc aux agences de notation cyber une série d’engagements pour garantir la qualité de leurs évaluations. La « transparence, tant du périmètre analysé que de la méthodologie » est au cœur de ses principes.
« Cette transparence est nécessaire pour les utilisateurs internes ou externes pour qu’ils comprennent la vraie signification du score. Elle est aussi indispensable au RSSI/CISO pour qu’il puisse améliorer la cybersécurité de son organisation en s’appuyant sur les audits du cyberscore, ce qui implique qu’il connaisse ses points de faiblesse », lit-on dans le communiqué du Clusif.