Le 19 juin dernier, le Cesin faisait part de son inquiétude quant à la prolifération des agences de notation cyber. Pour le Club des Experts de la Sécurité de l’Information et du Numérique, l’absence de méthode et de référentiel partagés expose au risque qu’une entreprise présente une bonne note sans pour autant respecter les bases de la sécurité.
La généralisation des acteurs privés de notation, similaires aux agences de notation financière, pour évaluer le niveau de maturité cyber des organisations soulève des questions. Alors que le marché exige davantage de visibilité, ces acteurs sont-ils capables de fournir une évaluation impartiale des entreprises ? Quelle est la fiabilité de leurs méthodes d’évaluation et quels sont les impacts sur les entreprises ? Des questions que se posent à juste titre les membres du Club des Experts de la Sécurité de l’Information et du Numérique dans un contexte de montée en puissance des crises cyber et où les offres de notation cyber se multiplient. Le Cesin a mis en évidence les lacunes de ces agences dès lors qu’il s’agit d’évaluer de manière fiable la maturité des entreprises en matière de cybersécurité. Il souligne le manque de méthodes et de référentiels partagés et acceptés. Face aux risques élevés qui pèsent sur l’avenir, le Cesin demande une transparence totale concernant les méthodes et les algorithmes utilisés par les agences de notation cyber, ainsi que le développement de leaders européens dans ce domaine.
Ni garantie d’indépendance ni consensus sur la valeur des notations
Ces services sont, en effet, de plus en plus utilisés dans le cadre de contrats d’assurance, de sous-traitance ou bien pour évaluer l’exposition publique de certaines organisations. Ce qui inquiète, c’est, qu’à ce jour, n’importe quel acteur se proclamant spécialiste de la notation cyber peut évaluer la cybersécurité d’une organisation. Cela sans la prévenir et sans vérification préalable. « Il n’existe aucune garantie d’indépendance, aucun consensus sur la véritable valeur des notations de risque cyber publiées par l’oligopole des agences américaines », alertaient Arnaud Martin et Didier Gras, administrateurs du Cesin (source : Vigile de notre autonomie stratégique – Juin 2022.) D’autant que ces évaluations sont ensuite vendues et partagées avec des tiers tels que des concurrents ou des autorités, voire rendues publiques. De plus, une entreprise peut présenter une apparence de sécurité trompeuse avec une note satisfaisante, même si ses fondamentaux en matière de sécurité ne sont pas respectés.
Un besoin urgent de mettre en place un référentiel
Dans un communiqué, Mylène Jarossay, présidente du Cesin, rappelle qu’un processus de notation doit être vertueux et source de progrès : « Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur, pour connaître le niveau réel de sécurité des organisations, c’est-à-dire leur capacité globale à répondre aux cyber risques. Ceci afin que ces systèmes de notation ne détournent pas les organisations de la mise en place de mesures moins visibles, donc moins payantes en termes de note, et pourtant essentielles en termes de défense. » Le Cesin propose, afin d’éviter certains dérapages, la mise en place d’un référentiel visant à soutenir l’émergence de notations claires et transparentes, basées sur des méthodes et des critères reflétant fidèlement et de manière reproductible le niveau de maturité des organisations. Cela garantirait la compétence des analystes et l’application du principe d’amélioration continue de la cybersécurité. Enfin, il recommande la mise en œuvre de normes et de mesures standardisées pour rationaliser la communication auprès des comités exécutifs et des conseils d’administration, et favoriser le développement de sociétés de notation cyber en Europe. Dans un document accessible en ligne, les administrateurs du Cesin ont consolidé un rappel des usages de la notation cyber, les différents axes d’amélioration, les considérations à prendre en compte et, bien entendu, les recommandations de l’association.