Notation de la posture de sécurité : controversée, elle continue de se développer

C’était au mois de février. Dans ses prévisions pour l’année entamée, Gartner entrevoyait dix priorités en matière de sécurité informatique, la dernière étant le recours à des services de notation de la posture de sécurité comme ceux que peuvent proposer Bitsight ou Cyrating, notamment.

Le Français Provadys vient de lancer son propre service en la matière, proposant plusieurs niveaux de prestation jusqu’à 4 500 € HT. Pour ce prix-là, il faut compter avec un audit sur place, à partir d’entretiens et de revue documentaire. Ce qui s’ajoute à des tests manuels réalisés dès le niveau précédent de la prestation, à 3 000 € HT. Pour les prestations moins onéreuses, l’essentiel de l’évaluation apparaît largement automatisé. Le volet examen des actifs exposés en ligne rappelle d’ailleurs ce que peut proposer Weakspot. Et dès le premier niveau de prestation payant, l’évaluation est actualisée durant un an.

Sur son site Web, Provadys détaille ses cibles : les assureurs, les entreprises – pour leurs relations avec assureurs, partenaires et fournisseurs –, ou encore les investisseurs. L’intérêt des premiers pour la notation cyber est bien connu.

Allianz est ainsi déjà partenaire de Cyence, tandis qu’Axa a misé sur SecurityScorecard. De son côté, Bitsight revendique BNP Paribas parmi ses clients et a finalisé un quatrième tour de table en juin 2018, à hauteur de 60 M$. Début mars, à l’occasion de RSA Conference, Cytegic a annoncé avoir été retenu par Phoenix Insurance Company pour automatiser le processus de notation du risque cyber des entreprises et ainsi accélérer la souscription de contrats d’assurance cyber.

Mais pour beaucoup, à commencer par Gérôme Billois, senior manager au sein de la practice Risk Management et Sécurité de l’information de Wavestone, l’exercice ne manque pas de présenter des limites : « la réalité de la posture est complexe à prendre en compte », soulignait-il ainsi dans nos colonnes en décembre 2017, alertant au passage d’éventuelles « (dés)illusions ».

Pour Hash Miser, c’est en fait pire que cela : « la notation de sécurité est la meilleure arnaque de tous les temps ! Vous pourriez avoir un vrai bunker en interne qu’ils ne chercheraient que les défauts dans la peinture. Et si votre environnement est assez complexe, la plupart du temps, les problèmes détectés concernent la maison de votre voisin ».

Oh come on ! Security rating is the best scam ever ! You could have a real bunker inside they only check for any crack in the painting. And if your environment is complex enough most of the time the detected problems are on the neighbor’s house. https://t.co/NitiMKCqoh

— Hash Miser (@H_Miser) April 9, 2019

Si de nombreux témoignages, sur la plateforme Peer Insights de Gartner, sont positifs, à l’égard de Bitsight comme de SecurityScorecard, certains ne sont en revanche pas tendres. Peut-être ont-ils alors le mérite d’interpeler et d’appeler à lever une ambiguïté que certains pourraient vouloir entretenir : la notation cyber n’est pas un outil de pilotage de la sécurité informatique ; « c’est une solution rapide et superficielle de gestion du risque », estime ainsi un utilisateur témoignant sur la plateforme du cabinet d’analystes.