Cyber-rating : pourquoi ça grince ?
En juin dernier, les membres du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) ont publié un position paper dans lequel ils confiaient leur inquiétude sur les agences de notation, des entreprises privées qui attribuent des notes liées au niveau de cybersécurité des sociétés. En cause notamment, une domination du secteur par des acteurs étrangers.
La domination des agences américaines
Le secteur du cyber-rating est très jeune, les deux entreprises dominantes du secteur, BitSight et SecurityScorecard, toutes deux américaines, ont été créées respectivement en 2011 et 2014. Mais elles ont rapidement su s'imposer et dominer le marché. Alain Bouillé, délégué général du CESIN, nous explique : "A l'origine, le cyber-rating a été créé dans le but d'aider les entreprises à mieux comprendre leurs failles possibles via les informations qu'elles partageaient publiquement. Puis les assureurs sont arrivés et ont commencé à utiliser le cyber-rating pour noter leurs clients, et les agences de cyber-rating sont passées de l'évaluation à la notation. A partir de ce moment, elles ont pu imposer leur diktat au monde entier avec la bénédiction des assureurs." Un soft power américain dont s'accommodent mal les acteurs européens, qui craignent de ne pas être jugées comme leurs homologues outre-Atlantique.
Or ces notes revêtent désormais une importance cruciale. Le système s'articule comme suit : quand un futur client souhaite souscrire une prime de cyber-assurance, l'assureur demande à une agence de notation la note déjà fixée ou bien de noter son futur client. Résultat, la prime d'assurance est indexée sur cette note. Plus elle est basse, plus la prime est élevée et inversement.
Une notation opaque
Au final, le secteur du cyber-rating n'est pas sans rappeler celui des agences de notation financière, incapables de voir venir la crise financière de 2008, malgré des produits financiers pourris jusqu'à l'os. Les notations cyber ne sont pas clairement expliquées et cela peut créer des problèmes aux sociétés notées, comme nous l'explique Vincent Nguyen, head of cyber chez Stoïk : "Ce type d'organisation établit une notation en très peu de temps. En comparaison une équipe humaine n'utilisant pas de process d'automatisation mettrait plusieurs jours pour produire ce résultat. On a donc un énorme delta entre ce qui est réellement analysé et ce qui devrait l'être. Par exemple, ces agences scannent les sites internet des sociétés, mais souvent le management de ces sites est externalisé auprès de professionnels donc ne présente pas de faille. De plus, l'agence de notation ne va pas pouvoir examiner le système interne de la société, donc il ne sera pas pris en compte dans la notation alors qu'il peut être rempli de failles." Autre exemple dans le secteur du luxe, un grand nombre d'entreprises de ce domaine sont victimes de sites de contrefaçon. Or ces sites vont être intégrés dans la note de la vraie entreprise du luxe qui va devoir batailler pour changer sa note.
Il faut ajouter qu'on ne connaît pas les algorithmes utilisés par ces agences de notation. Par ailleurs pour connaître sa note, ce qui lui permettra de l'améliorer, l'entreprise devra devenir cliente de l'agence de notation. Donc cette notation peut se faire à l'insu de la société, qui ne découvrira la chose que lorsqu'elle souhaitera souscrire à un contrat de cyber assurance. Car les assureurs, de leur côté, possèdent des contrats cadres pour avoir accès à la base de données des agences de notation et possèdent donc un coup d'avance sur leurs clients.
Cette opacité est doublée d'un possible traitement préférentiel, certaines agences pouvant être tentées de gonfler la note de leurs clients en échange d'un contrat renouvelé. Cette situation pourrait créer un scénario à la grecque comme ce fut le cas avec les agences de notation financière lors de la crise de 2008. Tous ces faits rapprochent un peu plus les agences de cyber-rating de leurs consœurs travaillant dans la finance. Ce lien a même été physiquement créé à travers un partenariat unissant Bitsight à Moody's.
Pour finir, cette notation opaque et rigide risque de mettre en difficulté les acteurs les plus faibles, les ETI et les PME qui ne possèdent pas autant de ressources que les grands groupes. A cause de leurs faibles moyens dédiés à la cybersécurité, elles pourraient se retrouver à payer des primes d'assurance très élevées, cela serait alors pour elles la double sanction.
Les solutions
Quelles seraient les solutions ? Pour commencer, le CESIN propose d'aider les agences de notation françaises et européennes à se développer. Pour qu'elles fassent contrepoids, comme nous l'explique Luc Declerck, managing director chez Board of Cyber : "Ces agences de notation sont une forme de soft power pour les Américains. Néanmoins, la notation reste pertinente pour mesurer le niveau de cybersécurité d'une compagnie, mais en aucun cas cela ne crée une règle. Une entreprise ayant une faible note a plus de chance de se faire attaquer qu'une entreprise bien notée, la notation est une évaluation de la maturité cyber d'une entreprise. Du point de vue de l'opacité, nous, en tant qu'entreprise de notation, avons déjà dit au CESIN, à l'ANSSI et l'ENISA au niveau européen, qu'on est prêt à lever le capot. Pas publiquement, mais au moins aux acteurs et agences de cybersécurité."
La cybersécurité européenne ne pourra pas se passer d'agences de notation. Reste le problème que le cyber-rating risque de sanctionner. Des acteurs de la cybersécurité proposent la solution suivante, comme nous l'explique Farid Lahlou, CEO de BonjourCyber : "Il faut faire un parallèle avec le nutri-score alimentaire, par exemple une huile ne pourra jamais être notée A car c'est de l'huile. Pour l'instant, on n'a pas une petite ligne qui justifie ce choix, en expliquant que certains aliments ne pourront jamais être A au vu de leur nature. Et dans le cas du cyber-rating, on va avoir besoin de cette ligne explicative pour éviter que la notation sanctionne les acteurs les plus faibles en termes de cybersécurité".