Après avoir émergé aux Etats-Unis, la pratique de cyber-notation fait son apparition en France pour répondre à l’intérêt des dirigeants sur les enjeux de cybersécurité. François Gratiolet, co-fondateur de Cyrating, la première agence créée en Europe précise l’intérêt de la démarche.

> Cet article est extrait du hors-série « Le Numérique en Pratique », la sécurité téléchargez-le !

Alliancy. Quelle est le principe d’une agence de notation cyber ?

François Gratiolet. Nous évaluons les entreprises sur de nombreux critères observables, objectifs, quantitatifs, pour fournir une note globale sur 100 qui donne en un coup d’œil une idée de la sensibilité aux risques cyber. En rentrant dans le détail de la note, il est possible de comprendre si c’est un aspect particulier qu’il est nécessaire d’améliorer. Une telle notation est utile en complément d’approche plus qualitative comme les audits ou tests d’intrusions, qui concernent des périmètres beaucoup plus resserrés. Surtout, la philosophie de la notation est de s’adresser aux dirigeants, de les aider à faire de la cybersécurité une discipline de gestion comme les autres.

Les entreprises n’ont-elles pas déjà des indicateurs en interne ?

François Gratiolet. Un dirigeant recherche des indicateurs qui permettent de répondre à des questions stratégiques : est-ce que ma société est à risque ? Est-ce que ce que j’ai mis en place est efficace ou non ? Est-ce que j’investi trop par rapport aux risques encouru, ou au contraire pas assez ? Il va parler business model, Ebit, Ebitda, là où le RSSI va invoquer les alertes du SoC ou des évènements au niveau du firewall… Il faut des métriques factuel et économique, pour éviter le clash entre ces deux mondes, et faciliter un peu le dialogue. L’idée n’est pas d’avoir 2000 indicateurs techniques complètement exhaustifs mais d’être représentatif d’une certaine exposition aux risques, intelligible rapidement.

De quoi est constituée une note exactement ?

François Gratiolet. La note est composée d’une partie factuelle, relative aux dispositions de l’entreprise. Un exemple parmi d’autres : nous pouvons vérifier que tous les sites d’une entreprise rendent bien le https obligatoire, ce qui est une bonne pratique de base importante. L’autre partie de la note globale est évènementielle et s’intéresse aux résultats des pratiques de sécurité de l’entreprise. Au-delà des attaques relayées dans la presse, il est possible de détecter des faisceaux d’indices qui laissent présager un état de sensibilité. Il s’agit par exemple du nombre de machines du système d’information qui communiquent avec des serveurs de Command & Control (utilisés pour agir sur un système à distance et contrôler des ordinateurs infectés, ndr), le nombre d’entre elles qui participent à la propagation de spam ou encore qui hébergent des malwares…

S’agit-il des preuves que l’entreprise a subi une attaque ?

François Gratiolet. Ces signaux ne sont pas toujours synonymes d’une brèche majeure, mais le simple fait que nous puissions les détecter de l’extérieur montre qu’une entreprise est exposée. En clair, nous différencions la stratégie de sa finalité. De nombreuses entreprises ont mises en place ces derniers mois des choses très concrètes comme former leur développeurs à créer des applications sécurisée. Des processus sont en place, des référentiels ont été créés. Maintenant ce qu’il faut regarder, c’est sur les sites web est-ce que les meilleures pratiques qui ont été vraiment mise en place. Le nombre d’atelier réalisé et le nombre de développeur formé est un indicateur de progression d’un projet. Pas un indicateur de sécurité.

Quelles sont les entreprises qui profitent le plus d’une notation et pourquoi ?

François Gratiolet. L’engouement est fort chez les grands groupes mais l’on voit aussi des sollicitations de la part de start-up et de PME. Les entreprises cherchent à se renseigner sur leur propre situation, à appréhender l’impact de leurs arbitrages en matière de cybersécurité. Elles se comparent à leur secteur ou examinent les différences entre entités et filiales. Surtout, elles évaluent la sensibilité de leur écosystème. Quand on traite avec des centaines de fournisseurs, on est incapable  de les évaluer en continu… En accédant à leurs notes respectives, mises à jour en temps réel, on peut rapidement éviter de renouveler ceux qui présentent le plus de risques, et pousser à l’amélioration des autres. N’oublions pas qu’en sécurité, on est aussi fort que le maillon le plus faible de la chaîne.