Le Cesin réclame des standards pour la notation cyber

Le Club des Experts de la Sécurité de l’Information et du Numérique (Cesin) a réclamé, le 19 juin 2023, l’adoption de « méthodes et de référentiels partagés » pour la notation cyber. Cette prise de position répond à la multiplication des sociétés proposant d’évaluer le niveau de cybersécurité d’une organisation, en général de l’extérieur.

Or chaque spécialiste de la notation cyber dispose de ses propres règles et standards d’évaluation. Il n’existe pas de référentiel commun permettant aux clients ou aux entreprises évaluées de s’assurer de la fiabilité, de la comparabilité et de l’impartialité de ces notations.

Pire. Selon le Cesin, une entreprise peut, dans le contexte actuel, « présenter une façade de sécurité trompeuse avec une note satisfaisante, quand bien même ses fondamentaux de sécurité ne sont pas respectés ». Or, les assureurs ou les contrats de sous-traitance s’appuient de plus en plus sur ces notations peu fiables.

Le Cesin appelle donc à l’adoption d’un référentiel commun, « sur la base de méthodes et critères reflétant fidèlement et de façon reproductible le niveau de maturité des organisations ». Il devra s’accompagner « de normes et mesures standardisées, de manière à rationaliser la communication auprès des comités exécutifs et conseils d’administration, et en vue de favoriser le développement de sociétés de cyber rating en Europe ».

« Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur », abonde Mylène Jarossay, directrice de la cybersécurité de LVMH, présidente du Cesin.