Le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) met en lumière les limites des agences de notation quant à une évaluation fiable de la maturité des entreprises en matière de cybersécurité. Elle souligne l’absence de méthode et de référentiel partagés et acceptés, et identifie des risques induits élevés pour l’avenir.
Les acteurs privés de la notation se généralisent, à l’instar des agences de notation financière, pour évaluer le niveau de maturité cyber des organisations. Or, si le marché est en demande de visibilité, ces acteurs sont-ils en capacité de créditer les entreprises de manière impartiale ? Quelle fiabilité des méthodes d’évaluation, pour quels impacts sur les entreprises ?
Une multiplication des ratings, pour le meilleur… et pour le pire
Mues par l’effervescence des crises cyber les offres de cyber rating font florès. Le recours à ces services se développe dans le cadre de contrats d’assurances, de contrats de sous-traitance, ou pour mesurer l’exposition publique des organisations. Selon le Cesin, « à ce jour, n’importe quel acteur se réclamant du cyber rating, peut à tout moment évaluer la cybersécurité d’une organisation sans la prévenir et sur un périmètre non vérifié. Cette notation est ensuite vendue, partagée avec des tiers (concurrents, autorités…) et peut même être rendue publique. Par ailleurs, une entreprise pourra présenter une façade de sécurité trompeuse avec une note satisfaisante quand bien même ses fondamentaux de sécurité ne sont pas respectés. »
De fait, le Cesin affirme qu’il « n’existe aucune garantie d’indépendance, aucun consensus sur la véritable valeur des notations de risque cyber publiées par l’oligopole des agences américaines. »
Pour Mylène Jarossay, Présidente du Cesin, « un processus de notation doit être vertueux et source de progrès. Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur, pour connaître le niveau réel de sécurité des organisations, c’est-à-dire leur capacité globale à répondre aux cyber risques. Ceci afin que ces systèmes de notation ne détournent pas les organisations de la mise en place mesures moins visibles, donc moins payantes en terme de note, et pourtant essentielles en terme de défense. »
« Il est important d’avoir une approche du risque entre les vulnérabilités exploitables et les remontées des solutions de rating. Les solutions de rating permettent de suivre les tendances et la réactivité des sociétés par rapport à leur posture », estime pour sa part Frank Van Caenegem, Administrateur du Cesin.
À quand un référentiel ?
Le Cesin suggère, afin d’éviter un certain nombre de dérives, la mise en œuvre d’un référentiel pour soutenir l’émergence de notations claires et transparentes, sur la base de méthodes et critères reflétant fidèlement et de façon reproductible le niveau de maturité des organisations. De sorte à garantir la compétence des analystes et l’application du principe d’amélioration de la cybersécurité en continue. Enfin, il suggère la mise en œuvre de normes et mesures standardisées, de manière à rationaliser la communication auprès des comités exécutifs et conseils d’administration, et en vue de favoriser le développement de sociétés de cyber rating en Europe.
Laurent Besset, Directeur cyberdéfense chez I-Tracing : « Le fait qu’une entreprise soit bien notée ne garantit pas qu’elle soit sécurisée »
« S’il n’existe pas de notation cyber universelle aujourd’hui c’est avant tout parce que des entreprises privées et concurrentes se sont emparées en premier d’un marché devenu très fructueux.
Nous devons donc jongler au quotidien avec une grande diversité de scores, souvent construits à partir d’indicateurs très similaires, mais jamais avec la même formule de calcul.
Si les inquiétudes de la communauté apparaissent fondées au regard de certaines limites (problème d’exhaustivité des périmètres surveillés, effets de bord créés par certaines architectures, notamment les services Cloud/SaaS positionnés devant les actifs de l’entreprise, cas des réseaux Wi-Fi guest, etc.), il est dommage de ne pas exploiter une majorité de détections pertinentes (exposition de ports dangereux, actifs exposant des logiciels obsolètes et vulnérables, infections virales, etc.).
La note reste d’ailleurs un indicateur plutôt fiable de « non qualité ». Il est en effet rare qu’une entreprise dont la note est mauvaise soit très mature en termes de sécurité de l’information. En revanche, le fait qu’une entreprise soit bien notée ne garantit pas qu’elle soit « sécurisée » car la bonne note n’est pas auto-suffisante.
Il faut donc prendre la note et les alertes associées pour ce qu’elles sont : des éléments à prendre en compte au sein d’un faisceau beaucoup plus large.
Il y a un biais important qui est introduit concernant les attentes des entreprises envers ce service. D’un côté, il existe des clients qui voient dans le cyber rating un outil leur permettant de réduire leur surface d’attaque et ont tout intérêt à ce que la couverture soit maximale. Ces derniers auront tendance à compléter la liste d’actifs auto-découverte par le service grâce à un inventaire des actifs manquants et connus. De l’autre, on retrouve des clients qui ne voient que la note et sa valeur en termes d’image (vis-à-vis des assureurs, des clients, des partenaires, etc.). Pour eux, il n’y a aucun intérêt à compléter la liste auto-découverte et prendre le risque qu’un actif inconnu du service, déclaré en complément, ne vienne dégrader la note. »