alphaspirit - Fotolia
Comment Cyrating veut aider à produire un indicateur de la posture de sécurité des entreprises
La jeune pousse entend fournir une mesure simple, aisément utilisable pour sa communication, produite selon un processus industriel, reproductible, et suivant un référentiel permettant d’établir des comparaisons. Mais l’exercice n’est pas sans présenter des risques d’écueils.
C’est début 2017 que Christophe Ternat, Charles d’Aumale, et François Gratiolet ont fondé Cyrating. Le premier, Pdg de la jeune pousse et ancien de Thales et de KPMG, explique qu’ils sont alors partis d’un constat simple : « il manquait une agence de notation de la cybersécurité pour communiquer de manière positive sur le sujet. Car le domaine manque de vocabulaire commun susceptible de le rendre accessible au non-initié ». Et le besoin apparaissait alors d’autant plus important qu’en l’absence de référentiel partagé, « il est difficile de se comparer les uns avec les autres ». Un sujet qui ne manque pourtant pas d’être de plus en plus crucial alors que les systèmes d’informations sont de plus en plus interconnectés : « il est important d’avoir une vision de la posture de ses partenaires pour pouvoir gérer ses risques », relève Christophe Ternat.
Alors certes, il y a les audits, les enquêtes plus ou moins approfondies et conduites sur la base de questionnaires. Mais tout cela peut s’avérer coûteux et chronophage. D’où l’idée de proposer d’établir des notes, basées sur un référentiel indépendant, partagé. Un point clé qui « permet de se positionner dans un secteur d’activité », par rapport notamment à ses pairs – et concurrents. Accessoirement, la notation est établie en continu, quand un audit et un questionnaire ne fournissent qu’une photographie fortement marquée par sa temporalité : « quand l’entreprise améliore sa posture, sa note progresse ». De quoi disposer d’un indicateur permettant, notamment, de communiquer aisément sur les efforts concédés.
D’abord un outil de communication
Car l’un des premiers usages de la note délivrée est justement la communication, en interne, mais également auprès de ses clients, de ses partenaires, voire de régulateurs ou même encore d’assureurs. Christophe Ternat relève là que certaines entreprises françaises se sont déjà retrouvées confrontées au besoin de produire un tel indicateur auprès de partenaires commerciaux américains. Car outre-Atlantique, la pratique apparaît bien plus développée. Au point que des travaux seraient déjà amorcés pour essayer d’apporter une certaine forme de standardisation des méthodologies.
De leur côté, les assureurs ne semblent pas encore particulièrement intéressés par le sujet. Selon Christophe Ternat, ceux-ci « ne s’appuient pas forcément encore sur des données liées à la cybersécurité » pour calculer les primes des clients de leurs offres couvrant le domaine.
Mais le Pdg de Cyrating entrevoit également un autre marché : les consultants, pour définir leurs cibles commerciales, ou encore une fois, aider leurs clients à communiquer.
Une approche basée sur des données accessibles à tous
Pour établir ses notes, Cyrating s’appuie sur des informations librement accessibles, réparties en deux catégories : les faits et les événements. Les premiers relèvent d’éléments de conformité aux bonnes pratiques, explique Christophe Ternat, relevés à l’occasion d’entretiens avec les équipes chargées de la sécurité informatique ou d’examens de leurs ressources exposées en ligne, comme les noms de domaine et leur protection.
Les seconds touchent à la réputation de l’informatique de l’entreprise, telle que peuvent en donner une représentation les flux de renseignement sur les menaces. Par exemple, la question peut être là de savoir si les systèmes de l’entreprise sont connus pour l’envoi de pourriels ou pour héberger des codes malveillants.
Pas question, toutefois, d’aller jusqu’à examiner la posture de sécurité de systèmes exposés en ligne à l’aide d’un Shodan ou d’outils tels que ceux proposés à tous par Sucuri ou Qualys.
Certes, reconnait Christophe Ternat, la présence de vulnérabilités connues sur de tels systèmes, ou celle de systèmes indûment accessibles sur Internet, peuvent constituer des indicateurs. Mais « ce ne sont pas les seuls », répond-il, soulignant au passage que « les processus de gestion de correctifs ne sont de toute façon pas très matures ». Une situation générale qui ne ferait, en définitive, que tirer tout le monde vers le bas.
Des limites assumées
Sans illusion, Christophe Ternat reconnaît que l’exercice de notation présente des limites, mais « comme toutes les autres pratiques » d’évaluation pratiquées. Surtout, il souligne que les processus de Cyrating sont totalement automatisés, de quoi garantir l’indépendance de la notation et sa comparabilité, ainsi que des coûts accessibles.
Selon lui, l’accueil apparaît toutefois déjà bon : « c’est plus positif et cela produit plus d’effet en interne qu’un tableau avec plusieurs dizaines de milliers de vulnérabilités listées sans plan d’action »… Ce qui ne manque pas de souligner le rôle de la notation dans les efforts de communication.
Mais la relativité de l’exercice n’en ressort pas diminuée pour autant : forte d’une bonne note, une entreprise peut se dire que l’image de sa posture de sécurité est meilleure que celle d’autres… sans que cela signifie qu'elle est véritablement bonne. Et c’est d’ailleurs un point sur lequel il conviendra de rester prudent à mesure que se développera le concept de notation de cybersécurité : ne pas céder aux illusions faciles.