Le CESIN s'inquiète du manque de transparence des agences de Cyber-Rating

Secu

Le CESIN alerte DSI et RSSI sur le cyber-rating

Par La rédaction, publié le 21 juin 2023

Le CESIN met en garde contre les risques et les dérives du « cyber-rating » tel qu’il est pratiqué actuellement. L’association demande en particulier une transparence et une homogénéisation des critères pris en compte et la mise en place d’un référentiel.

Score censé représenter l’exposition d’une entreprise aux cyberattaques, le cyber-rating remonte déjà à quelques années. Il repose sur des algorithmes chargés de recenser les failles éventuelles des DNS, les vulnérabilités des bases de données, les fréquences de mises à jour … Ces scores peuvent être calculés avec ou sans l’accord de l’organisation évaluée.

De nombreuses sociétés souvent américaines, comme SecurityScorecard par exemple, se sont positionnées sur ce marché. Sans surprise, les assureurs sont particulièrement demandeurs de ces notations.

Si le Club des Experts de la Sécurité de l’Information et du Numérique ne remet pas en cause leur intérêt, l’association insiste sur plusieurs dérives, et d’abord sur l’absence de transparence des méthodes et algorithmes utilisés par les agences spécialisées. Un service qui fait déjà l’objet d’un marché dynamique porté par l’effervescence des crises cyber.

À LIRE AUSSI :

Le CESIN pointe également le poids prépondérant des sociétés américaines sur ce marché. « Il n’existe aucune garantie d’indépendance, aucun consensus sur la véritable valeur des notations de risque cyber publiées par l’oligopole des agences américaines. », alertent Arnaud Martin et Didier Gras, administrateurs du CESIN.

Dans la même logique, le CESIN souligne qu’une note satisfaisante n’impliquera pas forcément que les fondamentaux de sécurité sont respectés. Sa présidente, Mylène Jarossay, explique : « Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur, pour connaître le niveau réel de sécurité des organisations. Ceci, afin que ces systèmes de notation ne détournent pas les organisations de la mise en place de mesures moins visibles, donc moins payantes en terme de note, et pourtant essentielles en terme de défense. »

L’association demande donc la mise en œuvre d’un référentiel de normes et mesures standardisées en vue de favoriser le développement de sociétés de cyber rating en Europe.


À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights