Les acteurs du cyber rating suscitent la controverse au sein du Cesin
Le Club des Experts de la Sécurité de l’Information et du Numérique (Cesin) demande une transparence totale des méthodes et algorithmes des agences de notation cyber, et le développement de leaders européens.
L’association met en lumière les limites des agences de notation quant à une évaluation fiable de la maturité des entreprises en matière de cybersécurité. Elle souligne l’absence de méthode et de référentiel partagés et acceptés, et identifie des risques induits élevés pour l’avenir.
Les acteurs privés de la notation se généralisent, à l’instar des agences de notation financière, pour évaluer le niveau de maturité cyber des organisations. Or, si le marché est en demande de visibilité, ces acteurs sont-ils en capacité de créditer les entreprises de manière impartiale ? Quelle fiabilité des méthodes d’évaluation, pour quels impacts sur les entreprises ?
Mues par l’effervescence des crises cyber les offres de cyber rating font florès. Le recours à ces services se développe dans le cadre de contrats d’assurances, de contrats de sous-traitance, ou pour mesurer l’exposition publique des organisations. A ce jour, n’importe quel acteur se réclamant du cyber rating, peut à tout moment évaluer la cybersécurité d’une organisation sans la prévenir et sur un périmètre non vérifié.
Cette notation est ensuite vendue, partagée avec des tiers (concurrents, autorités…) et peut même être rendue publique. Par ailleurs, une entreprise pourra présenter une façade de sécurité trompeuse avec une note satisfaisante quand bien même ses fondamentaux de sécurité ne sont pas respectés.
« Il n’existe aucune garantie d’indépendance, aucun consensus sur la véritable valeur des notations de risque cyber publiées par l’oligopole des agences américaines. »
Arnaud Martin et Didier Gras, administrateurs du Cesin.
Source : Vigile de notre autonomie stratégique – Juin 2022
« Un processus de notation doit être vertueux et source de progrès. Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur, pour connaître le niveau réel de sécurité des organisations, c’est-à-dire leur capacité globale à répondre aux cyber risques. Ceci afin que ces systèmes de notation ne détournent pas les organisations de la mise en place mesures moins visibles, donc moins payantes en terme de note, et pourtant essentielles en terme de défense. »
Mylène Jarossay, présidente du Cesin.
« Il est important d’avoir une approche du risque entre les vulnérabilités exploitables et les remontées des solutions de rating. Les solutions de rating permettent de suivre les tendances et la réactivité des sociétés par rapport à leur posture. »
Frank Van Caenegem, administrateur du Cesin.
Le Cesin suggère, afin d’éviter un certain nombre de dérives, la mise en œuvre d’un référentiel pour soutenir l’émergence de notations claires et transparentes, sur la base de méthodes et critères reflétant fidèlement et de façon reproductible le niveau de maturité des organisations. De sorte à garantir la compétence des analystes et l’application du principe d’amélioration de la cybersécurité en continu.
Enfin, il suggère la mise en œuvre de normes et mesures standardisées, de manière à rationaliser la communication auprès des Comités Exécutifs et Conseils d’Administration, et en vue de favoriser le développement de sociétés de cyber rating en Europe.
Le Cesin, Club des experts de la sécurité de l’information et du numérique, est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la cybersécurité.
Les plus lus…
Axima Sécurité Incendie, entité d’Equans France, renforce son offre de services et couvre désormais l’ensemble des solutions de protection incendie…
-
L’arrêté du 13 mai 2025, modifiant l'arrêté du 25 juillet 2022 fixant les règles de sécurité et les dispositions…
-
Le 15 juin 1985, un violent incendie se déclare dans un stockage de produits chimiques sur le site de Rhône-Poulenc…
-
Le salon Préventica Paris 2025 se tenait au Parc des Expositions de Paris entre le mardi 10 et le…
-
Le salon Préventica Paris 2025 avait lieu au Parc des Expositions de Paris entre le mardi 10 et le…
-
Le décret n°2025-482 du 27 mai 2025 relatif à la protection des travailleurs contre les risques liés à la…
