Peut-on se fier aux méthodes d’évaluation de la maturité cyber des entreprises ?
Le Club des experts de la sécurité de l’information et du numérique (CESIN) s’interroge.
L’association française qui regroupe plus de 900 entreprises et administrations membres pointe « l’absence de méthode et de référentiel partagés et acceptés ».
« Mues par l’effervescence des crises cyber, les offres de cyber rating font florès. Le recours à ces services se développe dans le cadre de contrats d’assurance, de contrats de sous-traitance, ou pour mesurer l’exposition publique des organisations. A ce jour, n’importe quel acteur se réclamant du cyber rating, peut à tout moment évaluer la cybersécurité d’une organisation sans la prévenir et sur un périmètre non vérifié », déclare l’organisation.
De surcroît, cette notation est ensuite vendue et partagée avec des tiers.
Autant de manquements qui, selon le CESIN, augmentent les risques de dérives.
Il est possible de mieux faire pour éviter les abus, selon la prise de position [PDF] du CESIN.
« Un processus de notation doit être vertueux et source de progrès », explique Mylène Jarossay, présidente du CESIN. « Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur, pour connaître le niveau réel de sécurité des organisations ».
Autrement dit, « leur capacité globale à répondre aux cyber risques. »
Le CESIN recommande donc la mise en oeuvre d’un référentiel et de mesures standardisées.
L’ambition est triple. Il s’agit, d’une part, de soutenir l’émergence de notations « claires » par des analystes compétents et, d’autre part, de soutenir l’application du principe d’amélioration continue de la cybersécurité. Il est question, par ailleurs, de rationaliser le message porté auprès des comités exécutifs et des conseils d’administration, précise le collectif.
En parallèle, le CESIN entend favoriser « le développement de sociétés de cyber rating en Europe. » C’est une question d’autonomie stratégique, si l’on en croit deux administrateurs du CESIN, Arnaud Martin (RSSI, Caisse des dépots) et Didier Gras (RSSI, Groupe BNP Paribas).
Dans une publication* [PDF] parue au printemps 2022, ils déclaraient :
« Il n’existe aucune garantie d’indépendance, aucun consensus sur la véritable valeur des notations de risque cyber publiées par l’oligopole des agences américaines ».
*(source : Digital New Deal | « Cybersécurité – Vigile de notre autonomie stratégique », juin 2022).
(crédit photo © Shutterstock)
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…