Comment SecurityScorecard note la posture de cybersécurité

La notation de la posture de cybersécurité est loin de faire l’unanimité. Quelques acteurs s’y essaient tout de même, ne serait-ce que pour répondre au besoin d’assurances, entre autres. Il faut compter là avec Bitsight, Cynet, Cyrating, mais aussi Provadys et Weakspot, ou encore Cyence, Cytegic et Cyquant. Et l’on attend de voir ce que préparent Moody’s et Team8.

SecurityScorecard fait partie des jeunes pousses du domaine. Yves Mimeran est chargé de la commercialisation du service hors des frontières des Etats-Unis. Rencontré fin janvier à Lille, lors du Forum International de la Cybersécurité (FIC), il explique sur quoi est basée la notation : « nous collections des données indicatrices de la posture de manière transparente, sans chercher à interroger outils, services ou applications cachés derrière les pare-feu, mais en s’appuyant sur tout ce qui est visible sur Internet ». Car l’idée est bien de pouvoir établir une note sans avoir à demander d’autorisation.

Mais il y a en prime de petites astuces, comme « l’achat de milliards de cookies dans des places de marché. Là, vous avez le navigateur Web et l’adresse IP. Cela permet de connaître les versions déployées et de se faire une idée des pratiques de gestion des vulnérabilités et des correctifs en œuvre pour l’hygiène sécuritaire du poste de travail ».

Bien sûr, on retrouve aussi quelque chose comme ce que peut proposer le moteur de recherche spécialisé Shodan, à savoir l’identification des vulnérabilités affectant les services exposés sur Internet.

« Nous sommes capables de donner des informations tactiques sur les éléments collectés, sur ce qui est susceptible d'être exploité par les attaquants, en termes de vulnérabilités ».

Cela ne s’arrête évidemment pas là. Les informations révélées par les enregistrements DNS sont également utilisées. Au total, SecurityScorecard note dix sous-catégories. Et « chaque élément de notation est appuyé par des indications techniques suivies dans le temps ». Le but est là d’éviter la notation en mode « boîte noire » et d’en assurer la compréhension : « nous sommes capables de donner des informations tactiques sur les éléments collectés, sur ce qui est susceptible d'être exploité par les attaquants, en termes de vulnérabilités ».

Pour ce travail de collecte et d’analyse, Yves Mimeran revendique « une indépendance totale. Nous sommes pleinement propriétaires de données et nous les générons nous-mêmes avec nos propres sondes ». Au final, c’est 1,2 million d’entreprises qui sont notées par SecurityScorecard – « et ces entreprises n’en ont aucune idée », « comme pour une notation de crédit ».

Mais les clients peuvent indiquer qu’une adresse IP leur est attribuée de manière erronée ou qu’une faiblesse observée a été corrigée. Leurs partenaires, à conditions qu’ils soient invités par le client, peuvent également procéder à ces ajustements. Et là, « le client invite son sous-traitant, par exemple, qui n’a absolument pas à payer pour intervenir sur sa scorecard ».

En outre, souligne Yves Mimeran, « tout le monde peut demander à voir sa fiche de notation », et les informations tactiques associées. Mais pas question d’aller plus loin : « nous ne sommes pas un Cert ; nous n’avons pas vocation à alerter des entreprises. Avec le volume, il nous faudrait une armée pour faire ça ».

Et toutes les entreprises n’ont pas nécessairement les moyens, en propre, de corriger elles-mêmes leur exposition. SecurityScorecard travaille ainsi avec Atos et Devoteam en France, et s'adresse surtout aux grandes entreprises. L’assureur Axa l’a également retenu : « nous sommes capables de leur fournir une note en moins d’une heure ».