À l’heure où certains se demandent s’il est moins coûteux de se faire pirater que d’investir dans la sécurité, il est important de reconnaître que la cybersécurité est complexe à bien des égards. Le milieu de la cybersécurité a tendance à multiplier les niveaux de complexité, ce qui pourrait être comparé aux mondes parallèles du film "Inception".

Alors, qu’une posture efficace en cybersécurité devrait être la plus simple et la plus rationnelle possible, il faut reconnaître qu’elle est, la plupart du temps, tout sauf simple.

• La cybersécurité est complexe en raison du vocabulaire technique utilisé : lorsque l’on considère la cybersécurité d’un point de vue extérieur, des mots ou des acronymes comme "APT", "Fileless attack", "Sandbox", "ROP" n’ont aucun sens, surtout lorsque les experts ont tendance à en abuser. De plus, un langage à la mode comme " new generation firewalls ", " deception endpoint response and detection (EDR)", " cloud access security brokers " ou " user and entity behaviour analytics" ajoute une couche d’opacité, du fait que ce jargon n’est pas accessible à tous. Au-delà du vocabulaire utilisé, le fait est qu’il est très difficile pour divers experts en cybersécurité de convaincre les non-initiés que, par exemple, certains risques de cyberattaque sont limités et pourraient être acceptés ;

• La cybersécurité est complexe en raison de la complexité même des systèmes d’information : généralement, un système d’information d’une entreprise peut contenir des dizaines voire des milliers d’ordinateurs, de serveurs, de périphériques, de réseaux, de cloud et de virtualisation. Indéniablement, pour apporter toujours plus de valeur au business, les systèmes d’Information se complexifient de plus en plus. Malgré cela, peu d’organisations détiennent une cartographie globale de leurs Systèmes d’Information ce qui les rend d’autant plus difficile à appréhender. Et tel un univers en perpétuelle mutation, au plus notre écosystème professionnel s’élargit, au plus nos systèmes d’information continuent à s’étendre et à se développer : nos fournisseurs, nos partenaires, nos clients, nos autorités de régulations, etc. Tout cela mène irrémédiablement à une plus grande surface d’attaque pour les hackers ;

• La cybersécurité est complexe par manque de comparables : Il est aujourd’hui difficile de se comparer avec ses pairs en matière de cybersécurité. Pourtant toutes les sociétés évaluent leur cybersécurité au travers d’audits, de tests d’intrusion, de tests de vulnérabilités. Toutefois toutes ces évaluations se font à partir de référentiels différents et sur des périmètres hétérogènes. En effet, il est plus simple d’évaluer un périmètre restreint sur un standard particulier plutôt que de réaliser une évaluation globale.

• La cybersécurité est également complexe en raison d’une perpétuelle utilisation d’un langage négatif : si nous analysons les éléments de langage véhiculés en matière de cybersécurité, il s’agit pour la quasi-unanimité de vulnérabilités, de non-conformité, d’incidents, de problèmes, de cyberattaque, de perte de données, etc. L’écosystème de la cybersécurité joue la carte de la peur où les points négatifs sont toujours à l’ordre du jour contrairement aux points positifs qui auraient le mérite d’apprécier le travail accompli. Il suffit de regarder les articles de presse et les influenceurs, qui ne manquent jamais de communiquer massivement sur les entreprises qui ont été victimes de cyberattaques ou sur les fuites de données personnelles.

Le benchmark en cybersécurité, un must-have

Face aux enjeux évoqués précédemment, le positionnement, les comparatifs et l’élaboration de plans d’action efficaces et performants forment l’enjeu majeur de la cybersécurité pour les prochaines années. La mission principale des agences de notation en cybersécurité est d’apporter des solutions à ces défis. En s’appuyant sur une approche innovante et en simplifiant la compréhension, les agences de notation en cybersécurité doivent créer de la valeur en fournissant une vision claire, transparente et objective de la cybersécurité, tout en véhiculant un langage positif.

Au sein de notre agence de cybersécurité, nous sommes convaincus que rendre l’information claire et accessible est essentiel. Pour ce faire, nous avons établi un système de notation basé sur le système scolaire, ou chacun peut mesurer ses efforts, connaitre son niveau, ses forces et ses points d’amélioration. Au-delà de la CyberNotation, nous fournissons des informations basées sur trois valeurs fondamentales :

• L’objectivité : Toutes les entreprises et organisations doivent être notées de la même manière avec les mêmes contrôles, le même périmètre et la même échelle. Ce sont les éléments de base pour comparer la cybersécurité des organisations. La méthodologie de notation doit être transparente sur les périmètres d’évaluation, les contrôles, les recommandations, et détailler les résultats qui sont communiqués ;

• Le positionnement : La notation n’a de sens que lorsque le contexte est défini. La notation des agences de cybersécurité doit fournir des comparatifs qui permettent d’évaluer le niveau et la position de la cybersécurité d’une organisation dans son secteur d’activité, face à ses pairs ;

• La maturité : Les agences doivent proposer des méthodes pour aller plus loin et donner des éléments pour développer une stratégie en suivant les tendances de la cybersécurité, en observant le travail accompli, et de facto, en améliorant progressivement la cybersécurité de tous les secteurs d’activité et de toutes les organisations.

La notation en cybersécurité, un langage positif

L’évaluation de cybersécurité n’est pas un sujet nouveau. De nombreuses évaluations sont réalisées au travers d’enquêtes, d’entretiens, de certifications, d’attestations, d’homologation. Toutefois, la charge de travail et les compétences nécessaires pour les réaliser ne sont pas satisfaisantes, surtout sur un marché où les compétences en cybersécurité se font rares.

De plus, il est important de souligner que ces évaluations sont davantage axées sur les processus plutôt que sur la finalité de ceux-ci. S’assurer qu’une politique de cybersécurité est bien écrite et validée par le management d’une organisation est certainement un bon contrôle, mais cela n’engage en rien sur les bonnes mesures de protection mise en place effectivement pour protéger, par exemple, la messagerie de cette organisation. Sur la base de contrôles d’efficacité, la notation en cybersécurité s’avère simple et peu onéreuse pour obtenir un niveau de confiance raisonnable. Elle permet également d’évaluer un grand nombre d’organisations, là où l’approche traditionnelle a échoué.

Cela dit, la notation en cybersécurité ne repose pas sur le résultat d’une évaluation exhaustive : il n’y a aucune innovation sur ce sujet par rapport aux pratiques actuelles.

Basée sur des contrôles d’efficacité automatiques, la notation en cybersécurité tire des conclusions sur la base de conformité aux meilleures pratiques et sur la réputation des systèmes d’information notés. Discipline naissante, la notation en cybersécurité va nécessairement évoluer et son amélioration et son appropriation passeront sans nul doute par la normalisation.

Enfin, la notation en cybersécurité permet aujourd’hui de communiquer de manière plus positive sur la cybersécurité. Il permet une communication sur ce qui est réalisé et n’est pas centré sur les vulnérabilités ou les problèmes. La notation en cybersécurité permet une évaluation rapide de tout type d’organisations et permet de rassurer notre direction, nos équipes, nos clients et autres parties prenantes. Il permet également d’évaluer des milliers de fournisseurs, par exemple, des fournisseurs de cloud, ce qui permettra donc à certaines entreprises d’accélérer leur transformation digitale.

La notation en cybersécurité, un enjeu essentiel de souveraineté

Par nature, l’homme a besoin d’être rassuré grâce à des repères. Nous avons des notations sur le crédit, la consommation d’énergie, l’environnement, les produits, les restaurants, et tant d’autres. Désormais, il existe un système de notation en cybersécurité et c’est incontournable : nous serons tous notés sur la cybersécurité.
La perception de la cybersécurité des entreprises sera donc associée à cette CyberNotation. De ce fait, notre option la plus pertinente est de participer à l’amélioration du système de notation en l’utilisant et en en faisant un indicateur clé dans les communications des entreprises.
De plus, il est essentiel de construire ensemble cette nouvelle norme, et de donner des feedbacks aux agences de notations, en leur expliquant les avantages et les limites, et en partageant une vision commune de ce à quoi le système doit ressembler.

Pour finir, il est important de soutenir ensemble une voix européenne sur le sujet de la notation en cybersécurité. Créer une norme commune permettra d’éviter l’hégémonie de certains pays.