Notation cyber : de premiers signataires pour la charte Clusif

La complexité des questionnaires et le secret des algorithmes, principaux problèmes de l'évaluation cyber ?

En avril, le Clusif avait formalisé cette position dans un rapport... assorti d'une charte de bonne conduite.

Celle-ci a officiellement ses premiers signataires. En l'occurrence, deux entreprises françaises (Board of Cyber, Scovery), une américaine (SecurityScorecard) et une britannique (Red Sift).

Non contraignante, la charte n'aborde pas l'ensemble des éléments pointés dans le rapport. Elle comporte essentiellement des objectifs de transparence. Parmi eux :

• Décrire la typologie des actifs traités et y donner accès aux utilisateurs des notations comme aux organisations notées
• Leur donner aussi accès au référentiel de notation
• Permettre à toute organisation notée d'accéder à la cartographie des actifs inclus dans la notation, avec les explications associées aux défaillances
• Leur permettre de demander la modification de cette cartographie ou du périmètre
• Préciser si le périmètre pris en compte pour une notation est reconnu comme représentatif par l'organisation notée et à quelle date
• Fournir la référence de l'algo de notation utilisé
• Communiquer, au moins 3 mois à l'avance, tout changement majeur du système de notation, a minima aux clients et aux organisations surveillées
• Si possible, assurer pour 6 mois la superposition entre une nouvelle notation et l'ancienne

Entre autres aspects figurant dans le rapport, mais pas dans la charte, il y a d'une part, la dégradation des notes pour cause de prise en compte d'éléments non pertinents (anciennes filières, sociétés homonymes...). De l'autre, la mauvaise qualification des risques de sécurité.

Le Clusif en appelle plus globalement à des métriques moins opaques. Il souligne également le besoin d'une procédure de correction "rapide et gratuite" face à des "attributions parfois hasardeuses".

Illustration via Adobe Stock