Le cyber rating, un procédé particulièrement sujet à caution

Un petit nouveau a fait son apparition ces dernières années dans le monde de la cybersécurité. Le cyber rating (ou scoring cyber) consiste à établir la notation cybersécurité des organisations. Le procédé, opéré par des acteurs privés externes, s'appuie sur la collecte d'informations de toute nature, de manière automatique, sans autorisation préalable de l'entreprise notée et ne concerne que la partie externe du système d'information. Les résultats sont accessibles sur paiement, sans toutefois que les entreprises aient connaissance de la méthodologie appliquée.

Les résultats intéressent particulièrement les sociétés d'assurance au modèle actuariel peu adapté à la cybersécurité mais également les structures cherchant à se faire une idée de la maturité cybersécurité de leurs sous-traitants et prestataires. Dans le cadre de l'application de NIS 2, ce type de notation peut sembler, à première vue, opportun. Au point d'ailleurs qu'un équivalent sur le périmètre interne des systèmes d'information est récemment apparu. S'il requiert une action de l'entreprise, il n'en demeure pas moins que cette dernière n'est pas toujours à l'origine d'un tel contrôle.

Le cyber rating regorge toutefois de biais et peut conduire à se faire une idée fausse du niveau de maturité de l'entreprise notée. Au-delà de l'inconvénient d'une tarification assurantielle erronée, le cyber rating présente le risque d'un affaiblissement de l'effort de cybersécurité et ajoute à la confusion.

Imprécis, voire faux, indigeste, le cyber rating n'est pas exploitable

Trois principaux reproches sont à adresser au cyber rating.

Le premier, particulièrement souligné par les organisations représentatives des experts français de la cybersécurité, concerne l'absence de transparence des méthodes aboutissant à l'évaluation. Ainsi, à défaut de scan des périmètres externes, les acteurs ont tendance à recourir à l'achat d'importants flux de données dont l'origine n'est pas certifiée d'une part et dont la qualité n'est pas garantie d'autre part. Mais la principale récrimination porte sur l'absence d'actualisation de cette donnée qui ne donne une vue qu'à un instant donné, vue généralement non représentative de la réalité. L'absence d'actualisation en continu de l'information est un biais manifeste du cyber rating.

Le périmètre étudié peut également ne pas correspondre au périmètre réellement exposé par l'entreprise. De multiples actifs, remontés par ces rapports de scoring, n'ont strictement aucun lien avec l'entreprise ainsi évaluée. Il est impossible de déterminer le taux de faux positifs liés à ces erreurs de périmètre réel mais il est probable qu'il contribue de beaucoup à la baisse de la notation.
Aux organisations ayant accepté de payer pour accéder à ce type de résultats, c'est autant de temps que d'argent perdu.

Reste la plus grande problématique, celle des faux positifs en matière de vulnérabilités. Le cyber rating n'a pas vocation à qualifier la menace. Dans le meilleur des cas, ces analyses au rabais font émerger un risque potentiel, dans les cas les plus courants, elles ne remontent principalement que des erreurs, des sujets d'hygiène cybersécurité et de durcissement, par milliers, que les équipes doivent encore éliminer, au détriment de leurs missions quotidiennes.
Il est pourtant évident que les équipes techniques ne peuvent pas perdre le peu de temps qu'elles ont à régler des problèmes qui n'en sont pas. Sans compter le risque de démotivation qu'aucune structure ne peut se permettre.

Quis custodiet ipsos custodes ?

Deux organismes français ont fait part dès 2023 de leurs préoccupations. Le CESIN, le club des experts de la sécurité de l'information et du numérique, a pris position pour la création de standards partagés et la transparence des algorithmes utilisés. Le CLUSIF, l'association de référence de la cybersécurité en France, est allé plus loin en établissant une charte (non contraignante) de bonne conduite à destination des acteurs de la notation cyber en avril 2024. À ce jour, sauf erreur, seuls quatre de ces acteurs, dont deux Français, ont accepté de la signer.

C'est tout à fait regrettable. Le cyber rating pourrait représenter une forme de mesure du fait opérationnel qui manque généralement à l'approche cybersécurité vue par le prisme de la conformité (ISO 27 001 ou SOC 2 par exemple), aussi formelle que manifestement insuffisante face aux menaces.
Malheureusement, pour l'heure, le cyber rating équivaut au mieux à un scan sauvage, dont l'accès aux résultats est conditionné à l'établissement d'une relation commerciale. Il ne contribue ni à l'amélioration des mesures de sécurité de l'entreprise ni à l'effort commun. Il peut en revanche être à l'origine de la perte d'un appel d'offres ou de l'augmentation d'une prime d'assurance.

Tant que les procédés de cyber rating n'auront pas atteint le niveau qualitatif que les enjeux de la cybersécurité exigent, les entreprises resteront les otages de méthodes bien peu recommandables. À défaut d'une réglementation à venir, propre à ces acteurs de la notation, il demeure indispensable de continuer de se former en cybersécurité, à tous les niveaux hiérarchiques. Et ceci vaut tout particulièrement pour les dirigeants d'entreprises et les acheteurs publics.

Après avoir obtenu son diplôme de l'école d'ingénieurs ESIEA, Vladimir Kolla a travaillé pendant quelques années dans le développement d'outils de sécurité, puis a réorienté sa carrière vers la sécurité des infrastructures pour une société d'hébergement. Il a ensuite rejoint une société de conseil pendant 12 ans, où il a créé la pratique des services gérés, puis la pratique de la cybersécurité, et a augmenté l'équipe de 10 à 50 experts. Il a ensuite créé Patrowl avec Nicolas et Florent pour résoudre des problèmes identifiés au cours de ses années de conseil. Vladimir est également actif dans la communauté de la cybersécurité avec le podcast NoLimitSecu et l'organisation à but non lucratif OSSIR.