Cyber rating : le CESIN redoute la dépendance stratégique
Peut-on se fier aux méthodes d'évaluation de la maturité cyber des entreprises ?
Le Club des experts de la sécurité de l'information et du numérique (CESIN) s'interroge.
L'association française qui regroupe plus de 900 entreprises et administrations membres pointe « l'absence de méthode et de référentiel partagés et acceptés ».
« Mues par l'effervescence des crises cyber, les offres de cyber rating font florès. Le recours à ces services se développe dans le cadre de contrats d'assurance, de contrats de sous-traitance, ou pour mesurer l'exposition publique des organisations. A ce jour, n'importe quel acteur se réclamant du cyber rating, peut à tout moment évaluer la cybersécurité d'une organisation sans la prévenir et sur un périmètre non vérifié », déclare l'organisation.
De surcroît, cette notation est ensuite vendue et partagée avec des tiers.
Lire aussi : Le conseil du CESIN accueille deux nouveaux RSSI
Autant de manquements qui, selon le CESIN, augmentent les risques de dérives.
Vers un référentiel du cyber rating ?
Il est possible de mieux faire pour éviter les abus, selon la prise de position [PDF] du CESIN.
« Un processus de notation doit être vertueux et source de progrès », explique Mylène Jarossay, présidente du CESIN. « Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l'on ait conscience des limites de ces évaluations menées de l'extérieur, pour connaître le niveau réel de sécurité des organisations ».
Autrement dit, « leur capacité globale à répondre aux cyber risques. »
Lire aussi : Où en est la Cyber " Made in France " ?
Le CESIN recommande donc la mise en oeuvre d'un référentiel et de mesures standardisées.
L'ambition est triple. Il s'agit, d'une part, de soutenir l'émergence de notations « claires » par des analystes compétents et, d'autre part, de soutenir l'application du principe d'amélioration continue de la cybersécurité. Il est question, par ailleurs, de rationaliser le message porté auprès des comités exécutifs et des conseils d'administration, précise le collectif.
En parallèle, le CESIN entend favoriser « le développement de sociétés de cyber rating en Europe. » C'est une question d'autonomie stratégique, si l'on en croit deux administrateurs du CESIN, Arnaud Martin (RSSI, Caisse des dépots) et Didier Gras (RSSI, Groupe BNP Paribas).
Dans une publication* [PDF] parue au printemps 2022, ils déclaraient :
« Il n'existe aucune garantie d'indépendance, aucun consensus sur la véritable valeur des notations de risque cyber publiées par l'oligopole des agences américaines ».
*(source : Digital New Deal | « Cybersécurité - Vigile de notre autonomie stratégique », juin 2022).
(crédit photo © Shutterstock)
Sur le même thème
Voir tous les articles Cybersécurité