Peut-on se fier aux méthodes d’évaluation de la maturité cyber des entreprises ?
Le Club des experts de la sécurité de l’information et du numérique (CESIN) s’interroge.
L’association française qui regroupe plus de 900 entreprises et administrations membres pointe « l’absence de méthode et de référentiel partagés et acceptés ».
« Mues par l’effervescence des crises cyber, les offres de cyber rating font florès. Le recours à ces services se développe dans le cadre de contrats d’assurance, de contrats de sous-traitance, ou pour mesurer l’exposition publique des organisations. A ce jour, n’importe quel acteur se réclamant du cyber rating, peut à tout moment évaluer la cybersécurité d’une organisation sans la prévenir et sur un périmètre non vérifié », déclare l’organisation.
De surcroît, cette notation est ensuite vendue et partagée avec des tiers.
Autant de manquements qui, selon le CESIN, augmentent les risques de dérives.
Il est possible de mieux faire pour éviter les abus, selon la prise de position [PDF] du CESIN.
« Un processus de notation doit être vertueux et source de progrès », explique Mylène Jarossay, présidente du CESIN. « Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur, pour connaître le niveau réel de sécurité des organisations ».
Autrement dit, « leur capacité globale à répondre aux cyber risques. »
Le CESIN recommande donc la mise en oeuvre d’un référentiel et de mesures standardisées.
L’ambition est triple. Il s’agit, d’une part, de soutenir l’émergence de notations « claires » par des analystes compétents et, d’autre part, de soutenir l’application du principe d’amélioration continue de la cybersécurité. Il est question, par ailleurs, de rationaliser le message porté auprès des comités exécutifs et des conseils d’administration, précise le collectif.
En parallèle, le CESIN entend favoriser « le développement de sociétés de cyber rating en Europe. » C’est une question d’autonomie stratégique, si l’on en croit deux administrateurs du CESIN, Arnaud Martin (RSSI, Caisse des dépots) et Didier Gras (RSSI, Groupe BNP Paribas).
Dans une publication* [PDF] parue au printemps 2022, ils déclaraient :
« Il n’existe aucune garantie d’indépendance, aucun consensus sur la véritable valeur des notations de risque cyber publiées par l’oligopole des agences américaines ».
*(source : Digital New Deal | « Cybersécurité – Vigile de notre autonomie stratégique », juin 2022).
(crédit photo © Shutterstock)
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…