News
Cyber rating : la difficulté pour établir un...
juillet 2023 par Laurent Besset, Directeur du Pôle Cyberdéfense I-TRACING
Le 19 juin, Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), dont I-TRACING fait partie des membres fondateurs historiques, a publié un communiqué pour partager son inquiétude concernant la prolifération des agences de notation cyber. Pour le CESIN, “l’absence de méthode et de référentiel partagés” ne permet pas aux clients et aux entreprises évaluées de prendre connaissance de la fiabilité et de l’impartialité des notations. Pour le club, le danger est qu’une entreprise peut présenter une bonne note sans même respecter les bases de la sécurité. C’est avec ce constat que le CESIN exige “une transparence totale des méthodes et algorithmes des agences de notation cyber ainsi que le développement de leaders européens”.
Le cyber rating permet de noter les entreprises sur leur cybersécurité. C’est un procédé très utilisé par les assureurs dans le cadre des contrats de sous-traitance. Dans ce contexte, Laurent Besset, Directeur cyberdéfense chez I-TRACING, spécialiste des services de cybersécurité, réagit :
« S’il n’existe pas de notation cyber universelle aujourd’hui c’est avant tout parce que des entreprises privées et concurrentes se sont emparées en premier d’un marché devenu très fructueux..
Nous devons donc jongler au quotidien avec une grande diversité de scores, souvent construits à partir d’indicateurs très similaires, mais jamais avec la même formule de calcul.
Si les inquiétudes de la communauté apparaissent fondées au regard de certaines limites (problème d’exhaustivité des périmètres surveillés, effets de bord créés par certaines architectures, notamment les services Cloud/SaaS positionnés devant les actifs de l’entreprise, cas des réseaux Wi-Fi guest, etc.), il est dommage de ne pas exploiter une majorité de détections pertinentes (exposition de ports dangereux, actifs exposant des logiciels obsolètes et vulnérables, infections virales, etc.).
La note reste d’ailleurs un indicateur plutôt fiable de « non qualité ». Il est en effet rare qu’une entreprise dont la note est mauvaise soit très mâture en termes de sécurité de l’information. En revanche, le fait qu’une entreprise soit bien notée ne garantit pas qu’elle soit « sécurisée » car la bonne note n’est pas auto-suffisante.
Il faut donc prendre la note et les alertes associées pour ce qu’elles sont : des éléments à prendre en compte au sein d’un faisceau beaucoup plus large.
Il y a un biais important qui est introduit concernant les attentes des entreprises envers ce service. D’un côté, il existe des clients qui voient dans le cyber rating un outil leur permettant de réduire leur surface d’attaque et ont tout intérêt à ce que la couverture soit maximale. Ces derniers auront tendance à compléter la liste d’actifs auto-découverte par le service grâce à un inventaire des actifs manquants et connus. De l’autre, on retrouve des clients qui ne voient que la note et sa valeur en termes d’image (vis-à-vis des assureurs, des clients, des partenaires, etc.). Pour eux, il n’y a aucun intérêt à compléter la liste auto-découverte et prendre le risque qu’un actif inconnu du service, déclaré en complément, ne vienne dégrader la note. »
