Des entreprises méfiantes, des solutions inégales

Si un nombre croissant d’entreprises de toutes tailles a compris l’importance d’une notation cyber maîtrisée, certaines la perçoivent encore comme une intrusion.. Julien Steunou, Directeur associé - SOC CERT CWATCH d’Almond, un partenaire de Board Of Cyber, rappelle que « tout le business des agences de notation cyber consiste à vendre la notation à qui souhaite l’acheter ». Les activités de ces agences ne représentent pourtant pas l’ensemble du monde du cyber rating.

Que ce soit pour établir le montant d’une prime d’assurance, pour l’attribution d’un marché public ou la valorisation d’une entreprise avant son acquisition, le cyber rating, s’il n’est pas pris en compte, peut devenir un vrai handicap. Une entreprise qui néglige aujourd’hui sa posture cyber peut en subir les conséquences, certains clients ou partenaires potentiels pouvant juger trop risqué de travailler avec elle.

"Une entreprise qui néglige aujourd’hui sa posture cyber peut en subir les conséquences, certains clients ou partenaires potentiels pouvant juger trop risqué de travailler avec elle."

Il est donc temps de lever certains freins et de montrer aux organisations qu’une connaissance objective de leurs propres performances cyber est une opportunité qui se prépare.

Les origines d’une défiance

La notation cyber se fonde sur la combinaison de trois activités :

Une cartographie des actifs techniques de l’entreprise accessibles en sources ouvertes (noms de domaines, ensemble d’IP publiques, sites web…) ;

La collecte de données publiques, sur ces actifs techniques pour relever des traces d’éventuelles activités malveillantes (ex : un site web qui diffuse des malware) et la réalisation de de tests simples pour évaluer la rigueur des configurations (SSL/TLS, SPF…) ;

Une analyse globale, par un algorithme, qui produit une note cyber combinant les éléments négatifs et positifs associés aux actifs techniques d’une organisation ou à des critères plus comportementaux, comme la réactivité face à un incident cyber.

L’enjeu principal est de s’assurer que la cartographie permette de noter le bon périmètre. La cartographie complètement automatisée des actifs peut entraîner des situations ubuesques, à l’image d’une entreprise qui découvre que sa notation cyber est mauvaise, ayant été confondue avec une société homonyme. Ces erreurs, même si elles restent anecdotiques, nuisent depuis plusieurs années à l’image du cyber rating, trop souvent perçu comme une simple notation, quand il devrait être une voie vers la cyber-résilience des organisations, un nouveau moyen de créer des écosystèmes de confiance.

Enfin, le périmètre des tests réalisés porte uniquement sur les données publiques et ne permettent pas de découvrir tous les types de risque de l’entreprise ou les mesures prises par l’entreprise pour renforcer sa défense : mise en place d’authentification forte, configuration d’un backup, déploiement d’EDR, …

Il faut néanmoins noter que cette vision « externe » de la posture cyber est la vision de votre écosystème …et celle des attaquants pour cibler les entreprises ou organisations à cibler en priorité.