igor - Fotolia

Notation de la posture de sécurité : Moody’s se tourne vers BitSight

L’agence de notation met un terme avec son aventure avec Team8, entamée en 2019. Mais ses fruits ne seront pas abandonnés : BitSight va faire l’acquisition de la jeune pousse née du partenariat.

Moody’s a annoncé, mi-septembre, un partenariat avec BitSight. Ce dernier fait partie des entreprises cherchant à quantifier le risque cyber, à l’instar de CynetCyrating, mais aussi Provadys et Weakspot, ou encore Cyence, Cytegic, Cyquant et SecurityScorecard

Dans le cadre de ce partenariat, Moody’s doit investir 250 millions de dollars dans BitSight. Dans un communiqué de presse, Rob Fauber, président et CEO de Moody’s, explique que « créer de la transparence et de la confiance est au cœur de la mission de Moody’s : aider les organisations à évaluer des risques complexes et interconnectés afin de prendre des décisions plus éclairées. BitSight est le chef de file des notations de cybersécurité. Ensemble, nous aiderons les acteurs de tous horizons à mieux comprendre, mesurer et gérer les cybermenaces et à les traduire en risques de perte financière ».

Reste qu’avec ce chèque, BitSight va devoir racheter VisibleRisk, la co-entreprise que Moody’s avait créée avec le fonds d’investissement Team8 en 2019, avec l’ambition d’établir une norme internationale d’évaluation et de quantification du risque informatique. Moody’s et Team8 avaient annoncé, mi-mai 2021, avoir finalisé l’investissement de 25 millions de dollars dans VisibleRisk.

L’agence de notation s’intéresse depuis plusieurs années à celle du risque informatique. Fin 2015, Jim Hempstead, son directeur général adjoint, expliquait que « nous n’intégrons pas explicitement le risque cyber comme un facteur de crédit principal aujourd’hui, mais notre analyse de solvabilité fondamentale intègre de nombreux scénarios de stress-test et un événement cyber pourrait être le déclencheur de l’un de ces scénarios ».

Pour Moody’s, c’était donc déjà clair : le risque informatique devait être appréhendé à la manière d’autres risques exceptionnels, comme les catastrophes naturelles, « avec tout impact de crédit consécutif en fonction de la durée et de la sévérité de l’événement ».

Le communiqué de presse de Moody’s précise que, « une fois la transaction finalisée, Moody’s deviendra le principal actionnaire de BitSight, avec une participation minoritaire dans la société ». Mais il ne dit rien de ce qu’il adviendra de VisibleRisk. Son patron, Derek Vadala, qui a notamment été RSSI de l’agence de notation, n’y est pas cité. Mais son profil LinkedIn ne fait pas mention d’un changement de carrière.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close