Board of cyber, Red Sift, Scovery et SecurityScorecard sont les premiers à signer la charte de bonne conduite des acteurs de la notation cyber du Clusif, un texte non contraignant qui entend apporter un peu de standardisation et beaucoup de confiance dans un secteur régulièrement pointé du doigt.
En avril dernier, le Club de la sécurité de l’information français (Clusif) lançait sa “charte de bonne conduite des acteurs de la notation cyber”. L’association regroupant RSSI et fournisseurs apportait ainsi sa pierre à l’édifice d’un débat qui agite la sphère cyber française. Hier au Campus Cyber, quatre de ces acteurs de la notation cyber ont signé cette charte de bonnes pratiques : Board of cyber, Red Sift, Scovery et SecurityScorecard.
La notation cyber (à ne pas confondre avec le “Cyberscore” récemment introduit en droit français), et par extension l’évaluation de la maturité d’une organisation en matière de cybersécurité, compte autant d’afficionados que de détracteurs.
Bonne conduite
Parmi les “problèmes” de ce secteur, le Clusif citait l’opacité des algorithmes de notation (dans le cas d’une analyse de la surface d’attaque externe d’une société) ou encore, pour l’évaluation, la complexité des audits et des questionnaires qui diffèrent généralement d’un auditeur à l’autre. Découlent de ces défauts de nombreux biais, bien souvent au détriment de la société évaluée, qu’un modèle pay-to-win des acteurs de la notation vient aggraver.
Le Clusif s’est donc fondé sur les “pratiques qui se sont développées dès les années 2000 pour les agences de notation financières” et plus tardivement pour les notations ESG pour établir sa propre charte de bonnes pratiques. Laquelle entend “promouvoir un cercle vertueux autour de plusieurs principes : confiance entre les acteurs de la notation, dynamique d’amélioration des pratiques, recherche d’une méthodologie transparente et explicable, capacité des RSSI à s’approprier les résultats de la notation…”.
