De la finance à la cybersécurité
Les grandes agences de notation telles que Moody’s ou Standard&Poor’s sont bien connues du grand public, notamment depuis la crise financière de 2008. Elles structurent désormais les marchés financiers en imposant de facto des grilles de comparaison utilisées à l’échelle mondiale pour caractériser le risque de solvabilité d’une entreprise.
Nous observons aujourd’hui que ce concept de notation d’entreprises par des organismes externes ne se cantonne plus uniquement au domaine financier et s’étend progressivement à la sphère de la cybersécurité.
Ainsi, des agences de cyber-rating attribuent désormais une « cyber-note » aux entreprises dans l’objectif de quantifier le risque cyber auquel elles sont exposées. Parmi elles, on retrouve principalement des acteurs américains (BitSight, Security ScoreCard, Panorays ou UpGuard), mais aussi une start-up européenne (Cyrating), qui collectent et analysent des informations accessibles publiquement :
- Les vulnérabilités présentes sur les sites web publiés par l’entreprise et la robustesse du chiffrement TLS mis en œuvre ;
- La réputation des adresses IP publiques de l’entreprise, calculée elle-même à partir de divers éléments tels que le nombre de plaintes pour spam, apparition dans des listes noires de fournisseurs d’accès à Internet et services de messagerie, le taux de rebond, … ;
- L’activation de la protection des adresses mails de l’entreprises (DMARC, DKIM, SPF) ;
- L’analyse des DNS (whois, serveurs racine et NS, vérification des Start Of Authority, des Mails eXchanger, …) ;
- La présence de données de l’entreprise sur le Dark Web.
En dehors de ces données accessibles par tout à chacun, les plateformes de cyber-rating captent un grand nombre de données échangées, et les analysent pour déterminer par exemple la répartition des OS par entreprise, ou encore la version des navigateurs utilisés.
L’algorithme utilisé pour corréler ces données est propre à chaque plateforme de cyber-rating, qui monétisent ensuite l’accès à leurs résultats via la souscription d’un service.
Ainsi, les entreprises ne peuvent le plus souvent connaître leur notation qu’en souscrivant à l’offre d’une plateforme de cyber-rating !
Cela va même plus loin puisque cette note sera accessible aux entités s’abonnant à cette plateforme. Les concurrents peuvent dès lors se comparer et l’utiliser comme argument commercial. Les cyber-assureurs commencent également à la prendre en compte dans le calcul du prix des contrats cyber proposés. Plus inquiétant, on pourrait imaginer que cela facilite le travail de reconnaissance des attaquants afin de cibler les entreprises les moins bien notées en supposant qu’elles soient plus faiblement défendues…
Au regard de ces enjeux, il semble indispensable que les entreprises intègrent la problématique du cyber-rating à leur gouvernance cybersécurité.
Des limites évidentes au modèle actuel du cyber-rating
Pour le dire franchement, une large part de la communauté cyber se montre réservée vis-à-vis du cyber-rating, cette défiance pouvant se résumer ainsi :
« Quelle confiance accorder à une évaluation du niveau de sécurité réalisée par un algorithme tiers ne disposant que d’un échantillon d’éléments et sans boucle de contrôle quant à la qualité des informations collectées ? »
En effet, le modèle est encore perfectible et présente plusieurs biais, qu’il convient d’éviter au risque de remettre en cause la pertinence de la notation :
- Se limiter à une vision périmétrique ne permet pas de refléter le niveau global de sécurité d’une entreprise. De nombreux facteurs ne sont pas pris en compte : segmentation du réseau interne, mesure de protection des systèmes et des données, capacité de détection, etc. ;
- La note peut être « polluée » par des faux-positifs : adresses IP ou noms de domaine n’appartenant pas à l’entreprise (erreurs d’enregistrement), trafic provenant d’une sandbox considéré comme malveillant… Cela demande donc un travail de fond avec l’éditeur (tri des IP, exclusion de certaines données) afin d’obtenir un résultat le plus fidèle possible ;
- Le manque de transparence des algorithmes de notation rend difficile l’évaluation des éléments justifiant une note donnée et l’identification des paramètres sur lesquels des corrections sont nécessaires.
Il serait donc illusoire de réduire le niveau de sécurité d’une entreprise à cette seule note. D’ailleurs, il ne serait pas étonnant de voir des acteurs comme Qualys proposer à l’avenir de prendre également en compte le résultat des tests menés à l’intérieur même du SI de l’entreprise pour affiner ce système de notation.
Un large panel de cas d’usage
Cependant, ces limites ne doivent pas faire perdre de vue les opportunités que crée la souscription à une offre de cyber-rating.
Argument principal avancé par les acteurs du cyber-rating, ce score représente un indicateur percutant et compréhensible pour le top management, concept déjà maîtrisé dans le domaine de la finance, mais qui fait encore défaut en cybersécurité. L’évolution de la note permettrait également de justifier et quantifier l’efficacité d’un plan d’actions correctrices menées sur les services périphériques du SI de l’entreprise.
Par ailleurs, les plateformes de cyber-rating offrent la possibilité d’accéder à la note de l’ensemble des entreprises inventoriées, permettant ainsi :
- De s’étalonner vis-à-vis de ses concurrents sur une base commune, et potentiellement de faire de la cybersécurité un atout marketing ;
- D’évaluer le niveau de maturité cybersécurité de ses fournisseurs sur une base plus objective que les questionnaires remplis dans le cadre des Plans d’Assurance Sécurité.
Le cyber-rating, un enjeu incontournable pour les entreprises
Au vu des opportunités offertes et des enjeux, l’essor du cyber-rating semble inéluctable comme le note d’ailleurs l’ANSSI dans sa revue stratégique de cyberdéfense : « Les acteurs majeurs du domaine [du cyber-rating] deviendront donc des références de fait qu’il sera difficile de déloger ».
Malgré ses limites actuelles, il est donc crucial pour les entreprises – certains évoquent même la notation cyber des Etats à l’instar de la notation financière – d’identifier comment le cyber-rating pourrait devenir un atout pour faire progresser la prise de conscience de l’importance de la cybersécurité jusqu’au top management, sans pour autant stigmatiser les « moins bons élèves ».