Le Cesin s’inquiète de la notation de la posture de cybersécurité

Dans un communiqué de presse publié ce 19 juin 2023, le Club des Experts de la Sécurité de l’Information et du Numérique (Cesin) lance un appel à une « transparence totale des méthodes et algorithmes des agences de notation cyber » ainsi que « le développement de leaders européens » du secteur. 

Car pour le Cesin, il y a un problème d’absence « de méthode et de référentiel partagés et acceptés », sans compter des « risques induits élevés pour l’avenir ». 

Selon le club, les offres de « cyber rating » font « florès », sous l’effet notamment de « l’effervescence des crises cyber ». Celles-ci sont de plus en plus utilisées « dans le cadre de contrats d’assurance, de contrats de sous-traitance, ou pour mesurer l’exposition publique des organisations ». 

Las, « n’importe quel acteur se réclamant du cyber rating, peut à tout moment évaluer la cybersécurité d’une organisation sans la prévenir et sur un périmètre non vérifié ».

Cette réflexion tombe à point nommé : la semaine dernière, Forbes publiait la liste des 200 entreprises américaines les plus « cybersecure » selon SecurityScorecard. La publication n’a pas manqué de faire grincer des dents, chez les experts en cybersécurité, lesquels demandaient notamment si les entreprises de la liste avaient donné leur accord pour être ainsi exposées – potentiellement à l’hubris de quelque cybercriminel. Keysight Technologies semble toutefois s’en satisfaire, comme le suggère un communiqué de presse publié le 13 juin. Mais cette communication publique apparaît, à ce stade, pour le moins isolée.

En juillet 2020, SecurityScorecard avait expliqué, dans les grandes lignes, sa méthode de notation de la posture de sécurité des entreprises. 

Dans le communiqué du Cesin, ses administrateurs Arnaud Martin et Didier Gras déplorent qu’il « n’existe aucune garantie d’indépendance, aucun consensus sur la véritable valeur des notations de risque cyber publiées par l’oligopole des agences américaines ».

Pour Mylène Jarossay, présidente du club, « un processus de notation doit être vertueux et source de progrès. Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur, pour connaître le niveau réel de sécurité des organisations, c’est-à-dire leur capacité globale à répondre aux cyber risques ».

Déjà fin 2017, Gérôme Billois, associé chez Wavestone, alertait sur les risques de « (dés)illusions » associés à la notation cyber. Il pointait notamment une production d’indicateurs simples mais potentiellement trompeurs « car trop en surface ».

Un an et demi plus tard, le constat s’imposait : bien que controversée, la notation cyber continuait de se développer. Mais pour certains – comme l’expert Hash Miser – pas question d’applaudir : « la notation de sécurité est la meilleure arnaque de tous les temps ! Vous pourriez avoir un vrai bunker en interne, qu’ils ne chercheraient que les défauts dans la peinture. Et si votre environnement est assez complexe, la plupart du temps, les problèmes détectés concernent la maison de votre voisin ».