kemaltaner - Fotolia
Agence de notation cyber : un miroir aux alouettes ?
Le concept d’agence de notation cyber arrive en France, traduisant le besoin d’évaluer la posture de cybersécurité des entreprises, rapidement et simplement. Mais attention aux (dés)illusions.
Le concept d’agence de notation cyber commence à se répandre en France après un début tonitruant aux Etats-Unis. Mais que faut-il vraiment attendre de ces services et comment fonctionnent-ils ?
Le marché est tenu aujourd’hui par un pionnier américain BitSight. Fort de plus de 50 M$ de chiffre d’affaires réalisé ces dernières années, ce nouvel acteur se lance actuellement en France avec de nombreux efforts commerciaux. Aux Etats-Unis, SecurityScoreCard se positionne également sur ce créneau. En dehors de cette vision américaine, il est également intéressant de noter la création de la startup Cyrating en France. Fraîchement incubé chez TelecomParisTech, et composé de membres connus de la communauté cyber françaises, cette nouvelle structure se positionne frontalement face aux acteurs américains.
Un besoin réel de simplifier l’évaluation cybersécurité
Le besoin de pouvoir évaluer rapidement et simplement un niveau de cybersécurité est aujourd’hui une attente forte. Une attente des directions générales, toujours dans la volonté de se benchmarker par rapport à leur secteur, voir à leurs concurrents. Mais il y a aussi un besoin des RSSI de pouvoir montrer simplement et efficacement les effets des actions de sécurisation. Une attente forte aussi des assureurs, en particulier ceux qui proposent des offres cyber. Ils sont dans l’attente de pouvoir évaluer rapidement et de manière fiable le risque qu’ils prennent en assurant telle ou telle structure. Même les agences de notation financière commencent à s’intéresser au risque cyber et à sa prise en compte pour évaluer la solidité des structures qu’elles recommandent.
Des rapports simples et efficaces…
Et quoi de mieux que les rapports fournis par ces structures ? Ils vont rapidement présenter des graphiques positionnant le niveau de sécurité par rapport au marché, voir au secteur, avec une évolution de la tendance dans le temps. Très visuel, souvent similaire aux rapports financiers auxquels sont habitués les directions générales, ils font mouche auprès des donneurs d’ordre, en particulier ceux qui veulent avoir une vision simple et rapide de leur posture. Ces rapports viennent même concurrencer les benchmarks des habituels Gartner, Forrester ou IDC. Car on les obtient rapidement, à moindre coût, et le nombre d’entités dans le panel est important. On croit tenir là le « rêve » de tout RSSI !
… mais qui peuvent être trompeurs car trop en surface
Mais le « rêve » est de courte durée quand on analyse en détail les éléments utilisés pour réaliser les évaluations. Ces agences de notation d’un nouveau style se basent en effet aujourd’hui uniquement sur des éléments publics pour réaliser leurs évaluations !
Les notes sont basées sur la combinaison d’évaluations techniques comme la configuration des serveurs de noms, des serveurs de messagerie, du site web public… auxquels s’ajoute des éléments sur des fuites de données ayant été révélées ou découvertes publiquement ou des éléments de réputations issus de flux de renseignement sur les menaces (présence de malware, utilisation des serveurs comme relais de spam…).
Ces critères sont en tant que tel pertinents et peuvent révéler des éléments intéressants, mais ne sont clairement pas suffisants pour évaluer complètement la posture cyber d’une structure.
La réalité de la posture est complexe à prendre en compte
En effet, aucune information sur les budgets consacrés, le nombre de personnes composant la filière cybersécurité, la gouvernance mise en place, les projets réalisés… n’est consolidée. Ni même aucune évaluation technique sur l’état de la cybersécurité des systèmes internes.
Et pour la plupart des secteurs d’activités, ce ne sont pas les sites web « corporate » présentant la vitrine de l’entreprise qui concentrent les risques. Les systèmes métiers, internes à l’entreprise, sont souvent beaucoup plus importants pour la survie de l’entreprise. Et c’est là où une approche automatisée et externe atteint sa limite.
Sans compter la comparabilité ! Les benchmarks, même réalisés en profondeur, sont souvent difficiles à « vraiment » comparer les uns aux autres quand on s’éloigne de critères simples comme les employés dédiés ou les budgets mobilisés.
Même des « bons » chiffres à un instant donné peuvent cacher par exemple le rattrapage d’une situation historique dégradée. La décision de mise en œuvre ou non de certaines mesures de sécurité dépend aussi du niveau d’appétit au risque de l’entreprise.
On est loin d’un modèle comparable, par exemple comme celui du contrôle technique des voitures où il est facile d’évaluer des points précis de contrôle.
En cybersécurité, la comparaison n’est fiable que lorsque que le périmètre métier évalué est soumis à des règles de sécurité précises et identiques, comme par exemple pour PCI-DSS. A ce moment-là, il est possible de commencer à comparer des choses comparables.
Un outil utile… en faisant attention de ne pas tomber dans le miroir aux alouettes
Ces outils de notation sont utiles pour évaluer simplement et de manière récurrente ce qu’ils évaluent : c’est-à-dire la posture externe, publique, de l’entreprise. Heureusement les acteurs les commercialisant sont assez transparents sur ce qu’ils évaluent et la portée de leur analyse.
Il va donc encore falloir attendre avant d’avoir une vision simple et complète de l’état de sécurité d’une organisation.
Peut-être que des acteurs de l’évaluation de vulnérabilités, comme Qualys ou Rapid7, entre autres, qui eux « voient » l’intérieur de l’entreprise et ses vulnérabilités, arriveront un jour à concevoir un outillage plus large. Ou peut-être que les BitSight et Cyrating étendront demain leur champ d’investigation, en y ajoutant pourquoi pas aussi des questionnaires sur la posture cybersécurité de l’entreprise ?
Ou encore que la solution viendra des assureurs, comme le montre la direction prise par AIG avec certains outillages techniques ayant pour objectif de mieux évaluer le risque des contrats de cyberassurance.
En tous cas, il faut faire attention aujourd’hui au risque évident de « raccourci », résumant en une note toute la cybersécurité d’une entreprise alors que l’évaluation n’est basée que sur un périmètre partiel du système d’information.
Les RSSI n’ont pas fini de devoir évangéliser autour d’eux leur direction générale, leurs assureurs ou plus largement le marché, aux biais potentiels de ces notations. Notations qui devraient toutefois connaître un grand succès, car il y a une attente extrêmement forte de pouvoir se mesurer et montrer l’efficacité des actions réalisées en cybersécurité !
Gérôme Billois est senior manager au sein de la practice Risk Management et Sécurité de l’information de Wavestone. Il également est membre du conseil d’administration du CLUSIF et du comité ISO JTC1/SC27 responsable de la standardisation pour la sécurité de l’information, et l'un des membres fondateurs du Club27001, une association dédiée à la promotion du standard ISO 27001. Il est certifié CISA, CISSP et ISO 27001 PA.