Notation du risque cyber : Moody’s s’associe à Team8

C’est un petit séisme qui vient de secouer le jeune écosystème de la notation du risque informatique : Moody’s vient d’annoncer la création d’une co-entreprise avec Team8 visant à établir un standard international pour évaluer et quantifier le risque cyber.
Jusqu’ici, les approches étaient variées et disparates, avec des services comme ceux de Bitsight, Cyrating, Provadys, ou encore Cyence et SecuritySecorecard.

De manière schématique, hors un acteur tel que CyQuant, il était généralement possible de diviser le marché entre ceux qui prennent une approche plutôt technique, et les tenant d’une démarche plus proche des classiques du monde de l’assurance. La co-entreprise de Moody’s et Team8 devra combiner les deux : elle « s’appuiera sur l’expérience de Moody’s dans le développement de méthodologies et de normes mondiales pour mesurer les risques, ainsi que sur l’expertise technique de Team8 dans les technologies de cybersécurité ».
Le fonds d’investissement soutient notamment le développement de jeunes pousses telles qu’Hysolate, Claroty, et Illusive Networks. Moody’s a investi dans Team8 l’an dernier.

L’agence de notation s’intéresse depuis plusieurs années à celle du risque informatique. Fin 2015, Jim Hempstead, son directeur général adjoint, expliquait que « nous n’intégrons pas explicitement le risque cyber comme un facteur de crédit principal aujourd’hui, mais notre analyse de solvabilité fondamentale intègre de nombreux scénarios de stress-test et un événement cyber pourrait être le déclencheur de l’un de ces scénarios ».

Le risque informatique devait être appréhendé à la manière d’autres risques exceptionnels.

Pour Moody’s, c’était donc déjà clair : le risque informatique devait être appréhendé à la manière d’autres risques exceptionnels, comme les catastrophes naturelles, « avec tout impact de crédit consécutif en fonction de la durée et de la sévérité de l’événement ».

La co-entreprise créée par Moody’s et Team8 sera dirigée par Derek Vadala, qui a notamment été RSSI de l’agence de notation. Au sein de son conseil d’administration, on trouvera notamment Nadav Zafrir, co-fondateur et Pdg de Team8, Jim Rosenthal, co-fondateur et Pdg de BlueVoyant et ancien COO de Morgan Stanley, ainsi que Simon Hastilow, directeur exécutif et responsable commercial de Moody’s Investor Service.

Pour Derek Vadala, « la combinaison des connaissances et de l’expérience de pointe de Team8 dans le domaine de la cybersécurité, et de l’expertise de Moody’s en matière d’analyse et de quantification des risques financiers, permet la création d’une capacité unique pour servir de norme en matière d’évaluation des cyber-risques ».