Board of cyber, Red Sift, Scovery et SecurityScorecard sont les premiers à signer la charte de bonne conduite des acteurs de la notation cyber du Clusif, un texte non contraignant qui entend apporter un peu de standardisation et beaucoup de confiance dans un secteur régulièrement pointé du doigt.
Publication originale le 19/09
màj 20/09, ajout des citations de Luc Declerck
En avril dernier, le Club de la sécurité de l’information français (Clusif) lançait sa “charte de bonne conduite des acteurs de la notation cyber”. L’association regroupant RSSI et fournisseurs apportait ainsi sa pierre à l’édifice d’un débat qui agite la sphère cyber française. Hier au Campus Cyber, quatre de ces acteurs de la notation cyber ont signé cette charte de bonnes pratiques : Board of cyber, Red Sift, Scovery et SecurityScorecard.
La notation cyber (à ne pas confondre avec le “Cyberscore” récemment introduit en droit français), et par extension l’évaluation de la maturité d’une organisation en matière de cybersécurité, compte autant d’afficionados que de détracteurs.
Bonne conduite
Parmi les “problèmes” de ce secteur, le Clusif citait l’opacité des algorithmes de notation (dans le cas d’une analyse de la surface d’attaque externe d’une société) ou encore, pour l’évaluation, la complexité des audits et des questionnaires qui diffèrent généralement d’un auditeur à l’autre. Découlent de ces défauts de nombreux biais, bien souvent au détriment de la société évaluée, qu’un modèle pay-to-win des acteurs de la notation vient aggraver.
Le Clusif s’est donc fondé sur les “pratiques qui se sont développées dès les années 2000 pour les agences de notation financières” et plus tardivement pour les notations ESG pour établir sa propre charte de bonnes pratiques. Laquelle entend “promouvoir un cercle vertueux autour de plusieurs principes : confiance entre les acteurs de la notation, dynamique d’amélioration des pratiques, recherche d’une méthodologie transparente et explicable, capacité des RSSI à s’approprier les résultats de la notation…”.
La notation au cœur de NIS 2
“La notation cyber est un sujet épidermique pour les RSSI” nous explique Luc Declerck, Managing Director de Board of Cyber. “Je pense qu’il y a un intérêt à créer un climat de confiance entre les agences de notation et les équipes opérationnelles” ajoute-t-il au sujet de la charte du Clusif, “il faut que l’outil ait des règles éthiques et de transparence”.
Une transparence et une éthique de plus en plus nécessaire : les systèmes de notation de la maturité cyber sont utilisés par les assureurs, les banques, les courtiers et, de plus en plus, par les entreprises désireuses de s’assurer de la bonne santé cyber de leurs partenaires. “Avec NIS2, la notation sera utilisée de façon plus importante, il est donc nécessaire de développer un écosystème de confiance au service des RSSI et des équipes opérationnelles” poursuit Luc Declerck. Pour Board of Cyber, la signature de cette charte est un aboutissement logique : “elle recouvre 99% de ce que nous faisons, c’est dans notre ADN”.
