Nombreuses sont les agences qui proposent des notations d’entreprises pour évaluer la sensibilité des entreprises face aux de cyberattaque. Cet outil devenu indispensable notamment auprès des cyber assurances, est également critiqué pour son manque de transparence.
À l’image des notations financières, le rating cyber vise à apporter de la sécurité pour les partenaires d’une entreprise. “On a fait le choix d’être noté par une agence car de grands clients nous challengeaient”, confie par exemple Nicolas Andrieu, RSSI du groupe Coface, lors d’une table ronde organisée par l’association ISACA-AFAI. En utilisant des données disponibles publiquement via des analyses de réputation, des recherches sur le dark web ou encore des questionnaires, ces agences déterminent un score « cyber » pour les entreprises, qui peut avoir une influence importante. “On s’en sert pour préparer nos clients durant un processus de souscription ou de renouvellement”, indique ainsi Nhat Truong, Practice Leader Cyber Risk au sein de la société de courtage en assurance Marsh.
“Au début de la démarche, les assureurs reçoivent un questionnaire déclaratif de maturité cyber qui détermine un profil de risque”, poursuit-il. “Avec le nombre de dossiers qu’ont les assureurs, il est difficile de faire confiance à travers un simple questionnaire déclaratif. Ils ont besoin de concret. C’est pour ça qu’ils vont utiliser ces notations pour se faire une opinion” poursuit-il. Le courtier assure : “Le prix d’une cyber assurance n’est pas adossé à un certain scoring mais cela aide à ce que l’assureur se fasse une vision des choses”. Selon les chiffres présentés par l’association ISACA-AFAI, 53% des sociétés qui utilisent ces notations sont des grandes entreprises, 35% des ETI et 12% des TPE-PME.
Un outil devenu indispensable
Pourtant, les méthodes de ces différentes agences de notation sont parfois variées et peu claires. “C’est basé sur des données publiques et des algorithmes obscurs qui vont les quantifier. En aucun cas c’est une fin en soi”, estime Didier Fournier, RSSI et manager de transition. “Il y a des travers, des faux positifs qui ne sont pas des moindres. Ça ne représente pas toujours la sécurité de l’entreprise. Pour avoir une vraie vision, il faut souvent plonger pour trouver des éléments sur la stratégie de l’entreprise ou la structure, qui ne sont pas visibles avec une note. Une simple erreur d’interprétation pourrait amener à croire qu’un RSSI n’en fout pas une, alors qu’il y a derrière, beaucoup d’efforts et de travail. Il faut avancer avec des pincettes sur ce sujet”.
Pour Nicolas Andrieu, RSSI de Coface, cet outil est malgré tout indispensable. “Peut-être que ce n’est pas parfait, mais on est arrivé à la conclusion qu’on doit utiliser ces agences de scoring”, développe-t-il. “On a des méthodes internes pour évaluer certains fournisseurs mais on ne peut pas le faire avec tous. Cela nous permet d’enrichir nos processus avec une première possibilité d’analyse avant de creuser”. Franck Mahé, RSSI de Bred appuie cette idée : “L’idée est d’intégrer ça dans la méthodologie afin d’avoir une supervision plus accrue quand c’est important”.
Manque de transparence
“Il faut savoir ce qui compose la note”, ajoute Franck Mahé. “Ils récupèrent les informations souvent avec des robots, de l’IA. Pour moi il n’y a pas assez d’intelligence humaine et cela conduit parfois à des déviances”. Il en tire malgré tout une conclusion : “Il faut qu’on progresse sur la communication et la compréhension de la complexité de nos entreprises. Ce qu’on constate c’est que plus le SI est simple, plus la note est bonne”. Didier Fournier, RSSI et manager de transition estime lui qu’il faut changer de paradigme : “Il faut que ce soit un outil opérationnel, or c’est présenté comme un outil de posture plus moins publique.”
“Il n’y a pas deux plateformes de notation qui présentent les choses de la même manière”, poursuit Didier Fournier. “Chacun a son algorithme. Il faudrait plutôt donner de solutions avec des données contextuelles. Ce changement doit être opéré dans la philosophie même de l’outil. Ça nécessite des ressources pour s’en occuper au sein des agences de notation, pour prendre en main les plans de correction. Il faut s’aligner sur un modèle cohérent et changer la façon de présenter la chose. La notation financière tient compte de l’historique. Là on est dans un cas de figure complètement à part”. En attendant, chacun s’aligne sur un constat : “C’est un mal nécessaire. Ça participe à la transparence”, regrette Franck Mahé, RSSI de Bred. Nhat Truong, Practice leader Cyber Risk chez Marsh, conclut : “Les agences de notation font partie du paysage de la cyber. Il faut que les RSSI prennent cela en compte”.