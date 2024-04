Le Clusif publie une charte de bonne conduite des acteurs de la notation

avril 2024 par CLUSIF

Cette charte a fait l’objet d’un an de travail collectif incluant des agences elles-mêmes et ouvre la voie à une meilleure cohérence au profit des organisations évaluées et à une amélioration concrète de l’évaluation de leur maturité cyber.

Les notations en cybersécurité sont en général émises par des sociétés qui rassemblent le résultat de sondages systématiques, via internet, des failles des systèmes d’information des organisations, et les transforment en notation par la mise en oeuvre d’algorithmes qui leur sont propres.

Les problèmes posés par l’évaluation cyber (qui inclut la notation cyber) telle que pratiquée aujourd’hui sont pour l’essentiel de deux natures :

Quand ils sont soumis par des donneurs d’ordres, les questionnaires sont de plus en plus longs et complexes, de plus, chaque acteur a tendance à développer le sien. Ceci occasionne une perte de temps et d’énergie importante pour un certain nombre d’acteurs, en particulier les RSSI.

Quand un utilisateur fait l’objet de la part d’un acteur du marché d’une estimation de sa surface d’attaque par Internet, il est soumis au fait que les algorithmes de notations sont secrets, peuvent varier plusieurs fois par an et dépendent d’un champ d’application qui peut lui être inconnu

Il résulte de ces usages des biais potentiellement préjudiciables.

La charte produite par le Clusif vise à maîtriser les activités des agences de notation cyber. Sa vocation n’est pas d’être contraignante mais de viser à servir de canal d’expression pour la filière, selon un principe de libre adhésion.

Elle vise plus largement à promouvoir un cercle vertueux autour de plusieurs principes : confiance entre les acteurs de la notation, dynamique d’amélioration des pratiques, recherche d’une méthodologie transparente et explicable, capacité des RSSI à s’approprier les résultats de la notation.

« L’objet de cette charte est de contribuer à améliorer les pratiques globales de la notation cyber en y apportant davantage de transparence et de lisibilité », souligne Gerulf Kinkelin, animateur du groupe de travail Scoring au Clusif.

Cette charte est désormais en accès libre sur le site du Clusif et figure en 4ème partie du court dossier que vous trouverez ci-joint.