Notation cyber : le Clusif rallie à sa charte de bonne conduite 4 premiers acteurs

Ce n’est probablement pas une petite victoire pour le Club de la sécurité de l’information français (Clusif) : dans un communiqué de presse, il assnonce que quatre acteurs de la notation de la posture de cybersécurité – ou notation cyber – ont signé sa charte de bonne conduite en la matière.

Pour mémoire, cette charte a été publiée fin avril dernier. Elle vise à « vise à maîtriser les activités des agences de notation cyber » et, surtout, « promouvoir un cercle vertueux autour de plusieurs principes : confiance entre les acteurs de la notation, dynamique d’amélioration des pratiques, recherche d’une méthodologie transparente et explicable, capacité des RSSI à s’approprier les résultats de la notation ».

Car le développement de la notation cyber ne s’est pas fait sans controverse. Déjà en 2017, Gérôme Billois, alors senior manager au sein de la practice Risk Management et Sécurité de l’information de Wavestone, soulignait que « la réalité de la posture est complexe à prendre en compte ». 

Plus récemment, dans un communiqué de presse du 19 juin 2023, le Club des Experts de la Sécurité de l’Information et du Numérique (Cesin) lançait un appel à une « transparence totale des méthodes et algorithmes des agences de notation cyber » ainsi que « le développement de leaders européens » du secteur. 

Le Cesin s’alarmait notamment d’un problème d’absence « de méthode et de référentiel partagés et acceptés », sans compter des « risques induits élevés pour l’avenir ». 

En juillet 2020, SecurityScorecard avait expliqué, dans les grandes lignes, sa méthode de notation de la posture de sécurité des entreprises. Il figure aujourd’hui parmi les 4 premiers signataires de la charte du Clusif, aux côtés de Board of cyber, Red Sift, et Scovery.