L'utilité et les limites des notations en cybersécurité en débat

Le 6 juillet 2023, l'Isaca-Afai (branche française de l'Isaca, association internationale qui oeuvre pour améliorer la gouvernance des systèmes d'information) a réuni plusieurs RSSI d'entreprises françaises et un courtier en cyberassurances pour aborder la problématique des cyberscores. Dans ce débat animé par Olivier Patole, CEO de la start-up Trustable, les différents intervenants ont évoqué leurs cas d'usage, mais aussi leur vision, parfois assez tranchée, sur la valeur et les limites de tels outils.

En introduction, Olivier Patole a rappelé le fonctionnement des agences de notation de cybersécurité, un marché apparu vers 2015 et qui s'est depuis fortement développé. Ces acteurs évaluent la posture de cybersécurité des entreprises « en se basant uniquement sur des données accessibles publiquement et des sources ouvertes ». Scans sur les différents services exposés, analyses de réputation sur les IP et domaines publics, voire recherche d'informations sur le dark web pour identifier de potentielles fuites d'information... De nombreuses informations peuvent ainsi être collectées et analysées sans même solliciter l'entreprise.

Cependant, selon Olivier Patole, « certaines agences donnent l'opportunité aux sociétés notées de venir compléter les éléments recueillis sur leur environnement, de préciser leur organisation, les processus et mesures de sécurité mises en oeuvre, pour éventuellement réajuster l'évaluation initiale. » Citant ensuite la récente enquête du Cesin sur le sujet, Olivier Patole a souligné la diversité des cas d'usage parmi les entreprises qui utilisent ces notations en cybersécurité, soit 55 % des 179 répondants. Pour 39 %, ces notes sont vues comme un moyen parmi d'autres de surveiller leur exposition publique et de détecter des défauts afin d'y remédier. 34 % s'en servent pour des questions d'image et de réputation de l'entreprise et 23 % pour négocier une police de cyberassurance. 17 % utilisent les notes pour faire réagir les dirigeants de leur entreprise et, enfin, 16 % s'appuient sur ces évaluations pour challenger des tiers (fournisseurs et partenaires).

Évaluer sa propre posture, mais aussi celle des fournisseurs

Cette diversité d'applications se retrouve parmi les témoignages des invités. Ainsi, Nicolas Andreu, RSSI groupe de Coface, se sert de ces notes pour vérifier comment sa posture de cybersécurité apparaît auprès de tiers, notamment de partenaires potentiels ou existants. « Nous-même, nous sommes observés », souligne-t-il. Mais il s'en sert aussi pour sa gestion du risque fournisseur, un impératif dans le cadre de la réglementation Dora (Digital Operational Resiliency Act) à laquelle tous les acteurs du secteur financier sont soumis. « Nous cherchons à utiliser les agences cyber pour récupérer le score et intégrer cet élément dans notre gestion du risque fournisseur, c'est vraiment l'axe le plus fort pour nous », confie Nicolas Andreu. De façon pragmatique, les scores viennent ainsi enrichir les processus d'évaluation des fournisseurs de Coface. L'entreprise intègre également ces outils dans ses méthodologies, en priorisant les acteurs les plus importants pour elle afin d'avoir un niveau de supervision plus approfondi. Franck Mahe, RSSI de la Bred, est lui aussi soumis à Dora. Il dispose d'un outil de notation fourni par les services de cybersécurité du groupe BPCE et, comme Nicolas Andreu, il s'en sert pour avoir « une vision indépendante du niveau et de la posture » des tiers avec lesquels la banque travaille. La solution lui sert également pour pouvoir gérer sa propre note et « ne pas être aveugle par rapport à certaines demandes de grands clients ». Enfin, il s'appuie également sur cet indicateur pour identifier la présence de shadow IT.

En raison de son activité, Nhat Truong, practice leader cyber-risques chez Marsh France, a quant à lui une approche un peu différente. Le courtier en assurances utilise trois services de notation différents, dans le but de préparer ses clients pour la souscription ou le renouvellement d'une cyberassurance. « Les cyberassureurs reçoivent des questionnaires déclaratifs remplis par les clients. La loi leur interdit de faire des audits de ceux-ci. Ils se servent donc de l'open source intelligence (Osint), à travers ces agences de ratings, pour disposer d'une évaluation un peu technique et pragmatique des sociétés », explique Nhat Truong. Selon lui, les assureurs ne se contentent pas de regarder les notes, ils examinent aussi les détails techniques associés. Si les éléments fournis révèlent des incohérences par rapport aux réponses du questionnaire - par exemple, un serveur VPN qui n'est pas patché, alors que le client a indiqué corriger les failles dans un délai de 72 h maximum -, cela permet alors « d'ouvrir la discussion » avec les entreprises. Si certains éléments peuvent représenter de véritables signaux d'alerte pour les assureurs, comme des ports RDP ouverts, Nhat Truong ajoute tout de même une précision importante : « l'essentiel de la cotation se base sur d'autres éléments que ces notes. Celles-ci contribuent à la perception de l'assureur, mais n'influencent la cotation finale que d'environ 5%. »

Pouvoir pondérer et contextualiser les notes

Pour Didier Fournier, DSSI indépendant, ces notations présentent un intérêt, mais il observe néanmoins plusieurs limites. L'une d'elles, non des moindres, réside dans le manque de transparence des algorithmes utilisés pour noter les entreprises. « Nous avons constaté des travers en évaluant certains outils, tels de faux positifs ou une évaluation qui ne porte que sur les sites Web institutionnels. Or, ceux-ci ne portent pas vraiment le risque majeur pour l'entreprise, témoigne-t-il. Si un site institutionnel est vulnérable, il y aura peut-être un impact sur l'image, mais pas forcément d'arrêt de production en cas d'attaque ». Pour lui, ce qui manque avant tout, c'est la capacité d'approfondir, de pondérer et de contextualiser les analyses, car en l'état, « une simple erreur d'interprétation peut remettre en cause le travail des RSSI ». Ce défaut freine selon lui des usages plus opérationnels, et nécessite d'envisager ces outils en complément d'autres approches. Ce constat est partagé par Franck Mahe, pour qui « les algorithmes se basent sur le nombre d'assets vulnérables, sans tenir compte de leur importance métier, ni des domaines de responsabilité dans une organisation, qui peuvent être complexes ».

Didier Fournier soulève également d'autres limites. Il note ainsi l'absence quasi-totale aujourd'hui de solutions centrées sur les réseaux industriels, ou OT. Il pointe également la difficulté des outils existants à prendre en compte les systèmes d'information hybrides. « Ne regarder que le frontal public exposé est insuffisant », souligne-t-il, notant tout de même que sur ce qui est exposé, ces outils qui vont directement chercher les failles font gagner du temps et « débroussaillent » le terrain. En outre, les agences de notation cyber fournissent des aperçus à un instant T : la note peut changer le lendemain, à la hausse parce qu'un patch a été appliqué, ou à la baisse, car une nouvelle faille zero day vient d'arriver. « Ces outils ne tracent pas ce qui a été fait, ils ne tiennent pas compte de nos actions », déplore Didier Fournier.

Davantage de transparence sur les algorithmes

Ces limites sont révélatrices d'un marché encore jeune, qui continue d'évoluer. Didier Fournier comme Frank Mahe identifient ainsi certains axes d'amélioration pour les offres actuelles. Pour Didier Fournier, en attendant un éventuel changement de philosophie des outils, pour mieux tenir compte des actions concrètes prises par les RSSI, les différents éditeurs gagneraient notamment à s'aligner sur un modèle cohérent. Franck Mahe souhaite lui aussi davantage de transparence, afin de savoir exactement quels critères entrent dans la note et quel est le périmètre évalué, ainsi que davantage d'intelligence humaine, pour dépasser les évaluations faites par des robots. « Les entreprises ne connaissent pas le pourquoi de la perte ou du gain de points. Cela peut faire peur à une direction générale de voir la note chuter de 30 points d'un coup, sans que les équipes aient été prévenues en amont pour pouvoir y remédier ». Il pointe également l'un des paradoxes de ces outils, qui peinent à appréhender la complexité réelle des entreprises : « Plus un système d'information est simple, plus la note est bonne, et inversement. »

De son côté, Nhat Truong constate que les agences commencent à développer des outils de quantification, pour évaluer l'impact financier en cas d'attaque ou la probabilité qu'une entreprise se fasse pirater plutôt qu'une autre. « Des analyses big data ont montré des corrélations entre les notes et cette probabilité », indique-t-il. Celui-ci observe des évolutions au sein des entreprises, notant que certains RSSI se servent de ces solutions de notation comme d'outils plus abordables que les plateformes de CTI (cyber threat intelligence) pour analyser les menaces. Il constate également une tendance accrue des directions générales à s'intéresser au sujet et à demander leurs notes, une raison de plus pour que les RSSI se penchent sur le sujet. « Vous êtes observés. Aujourd'hui ces acteurs font partie du paysage de la cybersécurité. Un RSSI doit le prendre en compte, demander le budget pour connaître sa note et pour corriger les problèmes quand les informations sont pertinentes. »

Suivre la note dans le temps

Tous les RSSI interrogés ont reconnu l'utilité de ces cyberscores, malgré les différentes problématiques évoquées. « Nous avons besoin d'être observés pour progresser. Même si ce n'est pas parfait, ces solutions nous permettent de traiter des points importants », estime ainsi Nicolas Andreu.

Pour Frank Mahe, ces solutions sont « un mal nécessaire ». Les RSSI n'ont pas vraiment le choix, mais les notes participent à améliorer l'hygiène cybersécurité d'une société. Pour le RSSI de la Bred, ces solutions ont le mérite d'aider à se poser des questions d'un point de vue opérationnel, pour réorganiser par exemple la manière dont sont gérés les domaines ou redéfinir les responsabilités en matière de remédiation. « Cela peut prendre de 6 à 18 mois avant d'avoir une note représentant vraiment la réalité des choses », indique Frank Mahe, qui rappelle aussi que ces scores nécessitent un suivi permanent, même une fois la meilleure note atteinte. Les notations cyber peuvent également aider à obtenir les ressources nécessaires afin de remédier aux problématiques identifiées. Le RSSI de la Bred s'est, par exemple, servi de celles-ci pour justifier le recrutement d'une personne supplémentaire dans son équipe.

Enfin, pour Didier Fournier, malgré les limites des solutions actuelles sur le plan opérationnel, « les cyberscores sont devenus un enjeu crucial dans la gouvernance cyber ». Il se dit convaincu de la nécessité d'outils permettant d'évaluer sa posture de cybersécurité, afin de « prendre sa température et se positionner par rapport à soi-même ». À condition d'avoir les moyens de répondre. Mais les notes peuvent aussi, lorsqu'elles sont bien utilisées, aider à faire passer des messages, à aller chercher des moyens et à communiquer sur la cybersécurité, « un enjeu primordial » comme le rappelle Frank Mahe.