Source : Guillaume Tissier, Directeur Général, CEIS

L’affaire Equifax, du nom de la société de risque crédit américaine qui a récemment été l’objet d’une fuite de données massive, est un cas d’école. Par son ampleur, tout d’abord : 140 millions de clients potentiellement concernés, -20,7 de valeur en bourse en 2 séances, plus de 30 procédures judiciaires etc. Par ses causes, très basiques : une application web non « patchée » plus de 2 mois après la sortie de la mise à jour. Par la gestion de crise catastrophique de l’entreprise : 6 semaines pour notifier la fuite, un site permettant aux utilisateurs de vérifier si leurs données étaient concernées lui-même vulnérable, une tentative d’acheter le silence des consommateurs en échange d’un produit gratuit. Mais aussi, parce qu’elle éclaire d’un jour nouveau le principe de la notation en matière de cybersécurité. L’agence de notation BitSight, l’un des leaders américains, avait en effet récemment attribué à Equifax un F pour sa sécurité applicative et un D pour sa réactivité en matière de « patching »[1]…  La fuite du rapport de notation, qui offre à BitSight un joli coup de pub, confirme donc post-mortem l’utilité et l’efficacité de la notation de cybersécurité.

Le boom de la notation

D’abord utilisée en matière financière, la notation touche progressivement tous les domaines : responsabilité sociale et environnementale, gestion des ressources humaines, conformité éthique et financière et aujourd’hui la cybersécurité. Comme la « conformité », elle est le fruit de la mondialisation et de la dérégulation. Pour compenser la moindre effectivité des règles nationales et l’absence de réelle régulation supranationale, il s’agit en effet de recréer de la confiance entre les acteurs du marché grâce à des standards de fait, dont l’autorité découle principalement de la reconnaissance du marché. Quand on ajoute à cela l’explosion des risques « cyber »[2], par définition transnationaux, il était logique que la notation ne finisse par toucher la sphère de la cybersécurité, d’abord aux Etats-Unis, puis maintenant en Europe. Le domaine suscite même l’engouement du marché et des fonds d’investissement américains si l’on en croit l’importance des levées de fonds réalisées (49 millions de dollars pour BitSight en 2016, 29 millions de dollars pour CyberGRX en 2016) et la croissance rapide des entreprises. Quelques entreprises américaines se partagent aujourd’hui le marché : BitSight, CyberGRX, SecurityScorecard, FICO (société de risque crédit qui a racheté QuadMetrics en 2016), RiskRecon, UpGuard et iTrust (l’entreprise américaine et non la société française du même nom).

Comment cela fonctionne ?

Le principe de la notation en cybersécurité est simple : offrir une solution de notation externe, automatique, indépendante, basée sur un standard de mesure n’utilisant que des informations librement accessibles de l’extérieur de l’entreprise, et donc captables sans que son consentement ne soit nécessaire. Il s’agit par exemple d’examiner les vulnérabilités des applications web, la réputation des adresses IP de l’entreprise, les configurations DNS, la qualité des certificats SSL et leur configuration, la cadence de mise à jour des serveurs web, les fuites d’information concernant l’entreprise dans le darkweb. Autant de données qui permettent d’élaborer et de suivre dans la durée une note représentative du niveau de sécurité de l’organisation. BitSight donne ainsi une note globale allant de 250 à 900 et de A à F pour chacun des points examinés, les indicateurs étant regroupés autour des 5 fonctions de sécurité du référentiel NIST (identifier, protéger, détecter, répondre, remédier).

Quels cas d’usage pour quels bénéfices ?

• L’amélioration et le suivi de ses performances. Si la notation ne remplace pas une approche « par les risques » couplant audit interne et externe, elle peut constituer un réel apport au plan opérationnel pour suivre et améliorer ses performances dans la durée. Mais il faut pour cela que la note soit détaillée et explicable. A un niveau plus stratégique, la notation permettra également au responsable sécurité des systèmes d’information de disposer d’indicateurs utiles pour son COMEX. Quel RSSI n’a pas rêvé un jour de disposer d’éléments de comparaison simples et objectifs avec ses concurrents pour justifier une demande de budget mais aussi valoriser son action ?
• La maitrise du risque fournisseur. Avec l’avènement de l’entreprise étendue et le développement du cloud computing, la chaine de valeur est de plus en plus fragmentée avec tous les risques que cela comporte. Des sous-traitants seraient ainsi impliqués dans 63% des fuites d’information[3]. En témoignent l’affaire Target et le rôle du prestataire de climatisation. Avec le Règlement européen sur la protection des données personnelles et le principe d’accountability, ce cas d’usage a de beaux jours devant lui et devrait durablement tirer le marché de la notation.
• L’évaluation des risques en amont de la souscription d’une assurance cyber. Parce qu’il est difficilement modélisable, géographiquement dispersé, qu’il engendre un risque de cumul non linéaire, que les données existantes sont dispersées et surtout non partagées, le cyber risque est difficile à assurer. Disposer d’une note avant toute souscription permettrait ainsi de booster le marché l’assurance cyber[4].
• L’évaluation d’une cible dans un processus de fusion-acquisition.
• L’évaluation du niveau de maturité d’un secteur d’activité.
• L’évaluation du niveau de sécurité d’un pays. BitSight propose ainsi depuis quelques mois une « note souveraine » élaborée à partir des notes des principales entreprises et agences publiques du pays.

Quelles limites ?

Si les bénéfices de la notation sont bien réels pour l’entreprise, il faut néanmoins être conscient de ses limites. Pour être actionnable, la note doit tout d’abord être élaborée grâce à un processus explicable et transparent en termes de données collectées, de pondération utilisée et d’indicateurs. Une note « boîte noire » ne servirait strictement à rien… Autre limite : la note ne porte, la plupart du temps, que sur des données observables depuis l’extérieur et sur un nombre d’indicateurs limité. Processus et comportements ne sont donc pas pris en compte. La note est par ailleurs élaborée principalement à partir de l’analyse des vulnérabilités de l’entreprise. Les menaces, c’est à dire le contexte interne ou externe, ne sont pas ou peu pris en compte. Enfin, la comparaison n’a logiquement de sens et d’utilité qu’entre organisations comparables (secteurs d’activité, surface d’exposition, taille…). La notation doit donc respecter un certain nombre de principes. C’est la raison pour laquelle une quarantaine de grandes entreprises américaines se sont accordées en juillet 2017 avec les principales agences de notation en cybersécurité sur quelques principes et bonnes pratiques[5]. Parmi ceux-ci : la transparence, la gestion des contentieux via un système de médiation, l’indépendance et la confidentialité. Après la fuite du rapport de BitSight sur Equifax dans les médias, ce dernier point suscite d’ailleurs un débat : la note d’une société doit-elle être publique ? Difficile en effet d’imaginer que la note puisse rester confidentielle longtemps compte tenu de la dimension virale du phénomène. Les entreprises bien notées pourraient même y voir un intérêt pour valoriser leur engagement en matière de sécurité, ce qui aurait un effet vertueux sur le niveau de sécurité global. Il n’en demeure pas moins un vrai risque de confidentialité, non sur les notes, mais sur les informations techniques ayant permis d’élaborer la note. Même si ces informations sont librement accessibles, leur concentration en un point unique permettrait à un pirate qui réussirait à y accéder de disposer d’une véritable cartographie des points sensibles d’une entreprise, voire d’un pays.

Quels risques ?

Ce défi technique se double d’un enjeu majeur en termes de souveraineté du fait de l’oligopole américain qui s’est constitué depuis 3 ans. « Il existe seulement deux puissances capables de détruire l’économie d’un pays : l’aviation américaine sous un tapis de bombes… et Moody’s en dégradant sa notation », disait-on dans les années 70. Certes, la crédibilité des agences financière s’est un peu émoussée avec la crise des subprimes, mais leur pouvoir normatif reste bien réel. Il en va de même en matière de cybersécurité : la notation pourrait être instrumentalisée pour des raisons politiques et financières, pour favoriser telle ou telle entreprise dans l’obtention d’un contrat, pour minorer la valeur d’une entreprise dans une opération de fusion-acquisition, pour obérer l’attractivité économique d’un pays etc. Faute d’agences européennes, la notation de cybersécurité pourrait donc devenir demain un nouvel outil au service de la domination commerciale américaine, à l’image du Foreign Corrupt Practices Act (FCPA) de 1977 qui s’est progressivement imposé comme la norme universelle en matière de conformité éthique et financière. Mieux vaut donc s’emparer rapidement du sujet pour ne pas dépendre uniquement d’agences américaines et créer un standard de notation européen. Une nouvelle agence, CyRating, vient d’ailleurs de naitre en France avec une ambition résolument européenne.

Guillaume Tissier

Directeur général, CEIS

[1] https://securityboulevard.com/2017/09/equifax-rated-f-application-security-breach/

[2] Définis au plan assurantiel comme étant les événements informatiques, qu’ils résultent d’une erreur ou d’une malveillance, générant des dommages immatériels sur les actifs de l’organisation.

[3] http://www.computerweekly.com/news/2240178104/Bad-outsourcing-decisions-cause-63-of-data-breaches

[4] Voir le livre blanc réalisé à ce sujet par l’association des Alumni de Telecom ParisTech : http://www.amrae.fr/sites/default/files/fichiers_upload/LB_Cyber_assurance_comment_d%C3%A9bloquer_le_march%C3%A9_de_l%27assurance_cyber_en_France_AMRAE_C.PDF

[5] https://www.uschamber.com/issue-brief/principles-fair-and-accurate-security-ratings