AVIS D’EXPERT – Le 19 juin dernier, le CESIN faisait part de son inquiétude quant à la prolifération des agences de notation cyber. Pour le Club des Experts de la Sécurité de l’Information et du Numérique, l’absence de méthode et de référentiel partagés expose au risque qu’une entreprise présente une bonne note sans pour autant respecter les bases de la sécurité. Dans ce contexte, Laurent Besset, Directeur cyberdéfense chez I-TRACING, membre du CESIN et spécialiste des services de cybersécurité.
S’il n’existe pas de notation cyber universelle aujourd’hui c’est avant tout parce que des entreprises privées et concurrentes se sont emparées en premier d’un marché devenu très fructueux… Nous devons donc jongler au quotidien avec une grande diversité de scores, souvent construits à partir d’indicateurs très similaires, mais jamais avec la même formule de calcul. Si les inquiétudes de la communauté apparaissent fondées au regard de certaines limites (problème d’exhaustivité des périmètres surveillés, effets de bord créés par certaines architectures, notamment les services Cloud/SaaS positionnés devant les actifs de l’entreprise, cas des réseaux Wi-Fi guest, etc.), il est dommage de ne pas exploiter une majorité de détections pertinentes (exposition de ports dangereux, actifs exposant des logiciels obsolètes et vulnérables, infections virales, etc.).
Un biais important introduit face aux attentes des entreprises
La note reste d’ailleurs un indicateur plutôt fiable de « non qualité ». Il est en effet rare qu’une entreprise dont la note est mauvaise soit très mâture en termes de sécurité de l’information. En revanche, le fait qu’une entreprise soit bien notée ne garantit pas qu’elle soit « sécurisée » car la bonne note n’est pas auto-suffisante. Il faut donc prendre la note et les alertes associées pour ce qu’elles sont : des éléments à prendre en compte au sein d’un faisceau beaucoup plus large. Il y a un biais important qui est introduit concernant les attentes des entreprises envers ce service.
Aucun intérêt à compléter la liste auto-découverte
D’un côté, il existe des clients qui voient dans le cyber rating un outil leur permettant de réduire leur surface d’attaque et ont tout intérêt à ce que la couverture soit maximale. Ces derniers auront tendance à compléter la liste d’actifs auto-découverte par le service grâce à un inventaire des actifs manquants et connus. De l’autre, on retrouve des clients qui ne voient que la note et sa valeur en termes d’image (vis-à-vis des assureurs, des clients, des partenaires, etc.). Pour eux, il n’y a aucun intérêt à compléter la liste auto-découverte et prendre le risque qu’un actif inconnu du service, déclaré en complément, ne vienne dégrader la note.
Laurent Besset, Directeur cyberdéfense chez I-TRACING, membre du CESIN et spécialiste des services de cybersécurité