Benoît Fuzeau, Président du Clusif
Le panorama de la cybercriminalité du Clusif l’a encore montré cette année : la menace cybercriminelle est en expansion et ne compte pas disparaître. C’est désormais un véritable écosystème qui met la survie même des organisations privées et publiques en péril.
Nous avons tous à l’esprit les attaques récentes sur les hôpitaux, par exemple. Or toutes les victimes potentielles des cybercriminels n’ont pas nécessairement accès à l’information suffisante pour se prémunir de ces attaques.
C’est dans ce contexte de risque accru et d’incertitude qu’une loi portant sur la création d’une certification en cybersécurité a vu le jour. Cette loi veut répondre au besoin d’une meilleure lisibilité des outils numériques en mettant en place un audit sous la forme d’un « système d’information coloriel », soit une sorte de déclinaison du désormais bien connu « nutriscore » appliqué à la cybersécurité.
Les avantages et les risques du “cyberscore”
Beaucoup de spéculations ont entouré l’élaboration du texte depuis son dépôt en 2020, pointant les avantages et également les risques que représentent une notation du type du « cyberscore ». Quelle sera la durée de validité de l’audit ? Dans quelles conditions et selon quelles modalités sera-t-il réalisé ? Devrait-il être renouvelé à chaque évolution technologique de la plateforme ? Quid de la localisation des données hébergées par l’application ? En définitive, cette loi, adoptée le 3 mars 2022, laisse à ce jour un certain nombre de questions sans réponse.
Mais pour nous, professionnels de la cybersécurité, ce concept reste porteur et j’ai la conviction que nous pouvons utilement nous saisir des principes de cet outil.
Le Clusif s’attache à voir le côté opérationnel du cyberscore en tant que véritable levier de sensibilisation potentiel.
Parce que notre culture entrepreneuriale est celle-ci, nous produisons des indicateurs quantitatifs très techniques. Le besoin de rationaliser nos messages mais aussi de faire entendre les enjeux cyber nous poussent à une technicité du discours telle que nous avons du mal à nous faire comprendre et entendre, notamment des dirigeants. Or qu’attendent-ils vraiment de nous ? Selon mon expérience, ils ont davantage besoin d’un éclairage sur le risque que d’un indicateur qui fixe un nombre de vulnérabilités restant à corriger. Nous devons aider à la prise de décision, mais comment faire ?
C’est dans cette perspective que le cyberscore est une idée à saisir et c’est ce que je travaille à mettre en place en tant que RSSI. Tout le monde est sensibilisé par le nutriscore. Il est simple, voire naturel d’appréhender le risque de cette façon pour les utilisateurs comme pour nos dirigeants. Mais au-delà du visuel, reste à définir comment le construire et quelles sont les données à prendre en compte pour le calculer. Mes équipes et moi-même avons opté pour une vision applicative mais d’autres options tactiques sont possibles. Ce qui est important est de fournir des règles de calcul transparentes en interne et d’utiliser des données simples à collecter par l’équipe SSI.
Rendre compte du risque cyber de manière plus lisible, c’est l’objectif de départ du cyberscore. Mais cela doit nous interpeller sur la nécessité d’innover en matière de sensibilisation et de savoir tirer parti des outils innovants quand ils se présentent.
