Le Club des experts de la sécurité de l'information et du numérique demande une transparence totale sur les méthodes et algorithmes des agences de notation cyber ainsi que le développement de leaders européens en la matière
Partenaire d’institutions, comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI), de la Commission nationale Informatique et Libertés (CNIL), la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI), de la Gendarmerie nationale, du Cercle européen de la sécurité, d’Acyma (cybermalveillance.gouv.fr)… le Club des experts de la sécurité de l’information et du numérique (Cesin) pousse sa gueulante ! En effet, l’association qui compte plus de 900 membres issus de tous secteurs d’activité, industries, ministères et entreprises (dont le CAC40 et le SBF120), pointe du doigt les limites des agences de cyber rating quant à une évaluation fiable de la maturité des entreprises en matière de cybersécurité. A cet égard,elle souligne l’absence de méthode et de référentiel partagés et acceptés. Qui plus est, elle identifie des risques induits élevés pour l’avenir.
Ces agences sont censées évaluer le niveau de maturité cyber des organisations. © Fly:D / Unsplash
La bonne affaire
Rappelons que ces agences sont censées évaluer le niveau de maturité cyber des organisations. Le recours à ces services se développe dans le cadre de contrats d’assurance, de contrats de sous-traitance ou pour mesurer l’exposition publique des organisations. Surfant sur les vagues , ou plutôt les tsunami des crises cyber, certains acteurs flairent « la bonne affaire ». A l’instar des agences de notation financière (Dagon Global Credit Fitch Ratings, Moody’s, Standard& Poor’s…) ou des agences de notation sociale et environnemental (Arcet Cotation, EthiFinance, Gavet & Bacqué, Novethic, Oekom, RepRisk, Standard Ethics, Vigeo Eiris…), leurs consœurs cyber (Bitsight, Security Scorecard…) commencent à se multiplier, attirées par un créneau de marché annoncé comme juteux. « Cependant, si le marché est en demande de visibilité, ces acteurs sont-ils en capacité de créditer les entreprises de manière impartiale ? Quelle fiabilité des méthodes d’évaluation, pour quels impacts sur les entreprises ? », s’interroge le Cesin. De fait, les offres de cyber rating pullulent.
Des comportements abusifs
Surtout, n’importe quel acteur se réclamant du cyber rating peut à tout moment évaluer la cybersécurité d’une organisation sans la prévenir. Qui plus est, elle peut le faire sur un périmètre non vérifié ! Cette notation est ensuite vendue, partagée avec des tiers (concurrents, autorités…) et peut même être rendue publique. Par ailleurs, une entreprise pourra présenter une façade de sécurité trompeuse avec une note satisfaisante quand bien même ses fondamentaux de sécurité ne sont pas respectés. « Il n’existe aucune garantie d’indépendance, aucun consensus sur la véritable valeur des notations de risque cyber publiées par l’oligopole des agences américaines », alertaient Arnaud Martin et Didier Gras, administrateurs du Cesin il y a déjà un an.
Le Cesin prône l’élaboration de méthodes d’évaluation transparentes et partagées. © Marga Santoso / Unsplash
Eviter les effets pervers
« Un processus de notation doit être vertueux et source de progrès, estime Mylène Jarossay, présidente du Cesin soulignant qu’il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur, pour connaître le niveau réel de sécurité des organisations, c’est-à-dire leur capacité globale à répondre aux cyber risques. Ceci afin que ces systèmes de notation ne détournent pas les organisations de la mise en place de mesures moins visibles, donc moins payantes en terme de note, et pourtant essentielles en termes de défense. » De son côté, Frank Van Caenegem, administrateur du Cesin, souligne : « Il est important d’avoir une approche du risque entre les vulnérabilités exploitables et les remontées des solutions de rating. Les solutions de rating permettent de suivre les tendances et la réactivité des sociétés par rapport à leur posture. »
Faire émerger des acteurs européens
Afin d’éviter certaines dérives, l’association suggère de mettre en œuvre un référentiel pour soutenir l’émergence de notations claires et transparentes, sur la base de méthodes et critères reflétant fidèlement et de façon reproductible le niveau de maturité des organisations. Objectif : garantir la compétence des analystes et l’application du principe d’amélioration de la cybersécurité en continu. Enfin, le Cesin prône l’élaboration de normes et mesures standardisées, de manière à rationaliser la communication auprès des Comités exécutifs et Conseils d’administration en vue de favoriser le développement de sociétés de cyber rating en Europe.
Erick Haehnsen
Commentez