Notation de la posture de sécurité : Moody’s se tourne vers BitSight

Moody’s a annoncé, mi-septembre, un partenariat avec BitSight. Ce dernier fait partie des entreprises cherchant à quantifier le risque cyber, à l’instar de Cynet, Cyrating, mais aussi Provadys et Weakspot, ou encore Cyence, Cytegic, Cyquant et SecurityScorecard. 

Dans le cadre de ce partenariat, Moody’s doit investir 250 millions de dollars dans BitSight. Dans un communiqué de presse, Rob Fauber, président et CEO de Moody’s, explique que « créer de la transparence et de la confiance est au cœur de la mission de Moody’s : aider les organisations à évaluer des risques complexes et interconnectés afin de prendre des décisions plus éclairées. BitSight est le chef de file des notations de cybersécurité. Ensemble, nous aiderons les acteurs de tous horizons à mieux comprendre, mesurer et gérer les cybermenaces et à les traduire en risques de perte financière ».

Reste qu’avec ce chèque, BitSight va devoir racheter VisibleRisk, la co-entreprise que Moody’s avait créée avec le fonds d’investissement Team8 en 2019, avec l’ambition d’établir une norme internationale d’évaluation et de quantification du risque informatique. Moody’s et Team8 avaient annoncé, mi-mai 2021, avoir finalisé l’investissement de 25 millions de dollars dans VisibleRisk.

L’agence de notation s’intéresse depuis plusieurs années à celle du risque informatique. Fin 2015, Jim Hempstead, son directeur général adjoint, expliquait que « nous n’intégrons pas explicitement le risque cyber comme un facteur de crédit principal aujourd’hui, mais notre analyse de solvabilité fondamentale intègre de nombreux scénarios de stress-test et un événement cyber pourrait être le déclencheur de l’un de ces scénarios ».

Pour Moody’s, c’était donc déjà clair : le risque informatique devait être appréhendé à la manière d’autres risques exceptionnels, comme les catastrophes naturelles, « avec tout impact de crédit consécutif en fonction de la durée et de la sévérité de l’événement ».

Le communiqué de presse de Moody’s précise que, « une fois la transaction finalisée, Moody’s deviendra le principal actionnaire de BitSight, avec une participation minoritaire dans la société ». Mais il ne dit rien de ce qu’il adviendra de VisibleRisk. Son patron, Derek Vadala, qui a notamment été RSSI de l’agence de notation, n’y est pas cité. Mais son profil LinkedIn ne fait pas mention d’un changement de carrière.