Secu
Le cyberscore des applications métiers vaut bien une thèse !
Par François Jeanne, publié le 29 juin 2023
Un système de notation partagé par tous dans l’entreprise pour évaluer le niveau de cyber-risque sur une application est-il possible ? Sa production est en tous cas au cœur d’un travail de recherche mené au sein de la Casden et sous le regard attentif du Clusif.
« Un vrai motif d’espoir ». C’est ainsi que Benoît Fuzeau, RSSI de la Casden et président récemment reconduit du Clusif, a accueilli la nouvelle du lancement d’une thèse visant à élaborer un « cyberscore » interne à l’entreprise qui permettrait à la DSI et/ou la SSI de remonter un « état de la maturité en cybersécurité de l’entreprise » à la direction générale.
Son autrice Émilie Peneloux ne lui est pas inconnue : depuis trois ans, d’abord en alternance dans le cadre de son master en management en sécurité des SI, puis comme thésarde depuis mars 2023, elle est devenue l’assistante de son département SSI. « Le format de la thèse permet de travailler en profondeur sur ce sujet qui touche à la gouvernance plus qu’à la technique », explique-t-elle. La soutenance est prévue pour 2026.
Émilie Peneloux,
Assistante RSSI à la Casden
« Il s’agit moins d’un nouvel outil d’évaluation que d’une solution de présentation des évaluations qui existent déjà dans les départements de cybersécurité. »
Qui dit thèse, dit recherche académique. « C’est un des points intéressants de la démarche, reprend Benoît Fuzeau. Au fur et à mesure qu’elle progressait dans la définition de son sujet, je me suis rendu compte que de nombreux travaux scientifiques allaient le nourrir. Cette ambition académique est remarquable pour notre discipline et c’est notamment ce qui intéresse mes confrères au Clusif. »
Émilie Peneloux cite ainsi les travaux de Slovic sur le clivage entre experts et profanes sur la perception du risque, ou ceux de Tversky et Kahneman sur les biais cognitifs de perception via la présentation des risques.
La promesse d’un livrable sous la forme d’un artefact, dont l’instanciation en cyberscore sera partagée par tous dans l’entreprise, est la partie émergée de l’iceberg. « Il s’agit moins d’un nouvel outil d’évaluation que d’une solution de présentation des évaluations qui existent déjà dans les départements de cybersécurité », précise la thésarde.
En clair, l’objectif est de nourrir cet artefact automatiquement par les outils de mesure des risques cyber déjà installés. Les utilisateurs et les managers pourront ainsi prendre rapidement et simplement connaissance de la situation de leur environnement informatique métier, comme ils sont habitués à le faire avec le Nutri-Score de leurs produits alimentaires dans les supermarchés. « Cela nous intéresse beaucoup », reconnaît Benoît Fuzeau. Les RSSI sont en effet à la recherche de nouveaux moyens de faire passer leurs messages, fatigués qu’ils sont de voir leurs alertes et leurs actions de sensibilisation régulièrement mises en échec par de mauvaises pratiques. « Nous tournons un peu en rond. Cette promesse d’un système de notation bien accepté, et qui permette aux managers de prendre leurs responsabilités face à une application métier mal notée, nous séduit forcément. »
Benoît Fuzeau,
RSSI de la Casden et président du Clusif
« La promesse d’un système de notation bien accepté, et qui permette aux managers de prendre leurs responsabilités face à une application métier mal notée, nous séduit forcément. »
Autres conséquences positives possibles, une hiérarchisation des applications à sécuriser en priorité et une traçabilité améliorée des alertes émises par les RSSI.
Le RSSI de la Casden y voit aussi l’occasion d’en finir avec ce qu’il appelle les « légendes urbaines » autour des cybermenaces. Celles-ci se nourrissent du manque de communication entre experts et profanes mais aussi, comme le souligne Émilie Peneloux, des murailles invisibles qui existent même entre les parties prenantes de la cybersécurité, du juridique à l’IT en passant par les responsables de sa gouvernance.
L’artefact produit sera d’autant mieux accepté comme outil de dialogue qu’il sera le résultat d’un consensus en amont entre tous ces acteurs, et des efforts de transparence des experts de la cybersécurité pour expliquer comment les notes sont obtenues. « Cette démarche participative et l’accord de tous sur la notation sont essentiels, conclut Benoît Fuzeau. Si elle est remise en cause, nous retravaillerons à un nouveau consensus. »
Comme on le devine cependant, l’artefact universel n’est pas un objectif prioritaire de la thèse, tant sa production dépendra de chaque contexte d’entreprise, de son organisation, de ses acteurs, de ses choix technologiques. Rendezvous dans trois ans pour de premiers résultats !
À LIRE AUSSI :