Un risque omniprésent, une protection indispensable

En 2016, si vous demandiez à un RSSI de quoi sa journée était faite, il vous répondait « Cloud », « Antivirus », « General Data Protection Regulation » ou « objets connectés ». Il vous racontait ses craintes sur les cyberattaques et le manque de maturité de son entreprise, encore trop fragile face à ces menaces.

En 2022, ce même RSSI a vécu l’explosion d’attaques cyber de plus en plus sophistiquées et il écoute ces jours-ci les mises en garde de l'Agence nationale de la sécurité et des systèmes informatiques (ANSSI) sur d'éventuelles attaques liées au conflit entre l'Ukraine et la Russie. Le risque cyber est devenu omniprésent et se matérialise dans de nombreux incidents de sécurité.

Aujourd’hui, donc, le RSSI compte les vulnérabilités de son entreprise et fait tout pour prévenir d’autres failles. Or depuis quelques mois, un terme revient sans cesse : notation cyber, ou cyber rating. Car les RSSI, comme les risk managers ou les fonds de private equity, le savent : il y a désormais deux sortes d’entreprises, celles qui anticipent l’évaluation de leurs performances en cybersécurité et celles qui la subissent.

<< il y a désormais deux sortes d’entreprises,

celles qui anticipent l’évaluation de leurs performances

en cybersécurité et celles qui la subissent.<<

Un climat de confiance cyber

Les notations financières, portées par des agences historiques comme Moody’s ou Standard & Poor’s, et extra-financières (Novethic, Vigeo Eiris, etc.) ne proposent pas uniquement une note. Elles nourrissent la confiance entre les acteurs publics ou privés, économiques et financiers.

Le principe doit être le même pour le cyber rating, cette notation de la cybersécurité des entreprises et de leurs écosystèmes qui nous vient des États-Unis. Dans notre monde ultra-connecté, le cyber rating est comme une image en haute définition de la performance et de la maturité d’une entreprise sur la cybersécurité.

En France, si les assureurs, les investisseurs et les entreprises se sont saisis de ces questions, les pouvoirs publics en ont également pris la mesure. Dans un rapport publié en juin 2021 sur la « cybersécurité des entreprises », les sénateurs Sébastien Meurant et Rémi Cardon proposent par exemple de créer une agence de cybernotation européenne , en utilisant les référentiels de l'ANSSI.

Plus récemment, le Parlement a adopté le 24 février 2022 une proposition de loi visant à imposer, dès 2023, une certification de cybersécurité aux plateformes numériques. Ce « cyberscore » doit permettre de mieux informer les utilisateurs sur la protection de leurs données en ligne. À l’évidence, ces propositions ne concernent pas uniquement la cybersécurité ou la notation cyber. Elles visent à établir un climat de confiance.