C’est un véritable réquisitoire que le Cesin a publié le 19 juin contre les agences de notation cyber. Dans un communiqué de presse au vitriol, le club des experts de la cybersécurité a pointé « les limites » mais surtout « les dérives » de la notation cyber. « N’importe quel acteur se réclamant du cyber rating peut à tout moment évaluer la cybersécurité d’une organisation sans la prévenir et sur un périmètre non vérifié », s’est offusquée l’association.
« Il existe un sentiment d’exaspération des RSSI des grands groupes, parce que la notation cyber est présentée comme l’alpha et l’oméga de la cybersécurité par les boards », analyse Luc Declerck, directeur général de l’agence de notation Board of Cyber. Une tendance dopée par la mise en place du cyberscore. Or, la notation cyber est « une solution nécessaire mais pas suffisante pour la cyberprotection d’une entreprise », estime l’expert. D’autant que certaines agences usent de pratiques contestables, comme la comparaison des notes de plusieurs entreprises qui n’ont pas du tout les mêmes stratégies de cybersécurité.
La notation cyber au service de la déstabilisation des entreprises européennes
Ce n’est pourtant pas là que réside le principal écueil. La saillie du Cesin est expliquée de façon beaucoup plus détaillée dans le position paper qu’il a publié le même jour. La pierre d’achoppement ? Le manque de souveraineté européenne dans le secteur de la notation cyber, au bénéfice d’agences américaines. Dans sa prise de position publique, le Cesin compare le secteur à celui de la notation financière. Et rappelle que le Sénat a mis en évidence plusieurs « problèmes » liés à cette dernière qui s’appliquent aussi en matière de cybersécurité : « la transparence, la délocalisation du droit, la pertinence des analyses produites, la distorsion de notation, un modèle économique émetteur payeur qui induit un doute sur le conflit d’intérêts ». Et de prévenir que « ces problèmes peuvent être exploités dans le cadre d’actions de déstabilisation à l’encontre d’organismes et/ou de dévalorisation de leurs actifs économiques (prédation) ».
Le club des experts en cybersécurité craint ainsi de voir les méthodes litigieuses de certaines agences américaines « devenir un standard de fait qui finirait par s’imposer à tous ». Et s’alarme de « l’absence d’offre de notation européenne, avec en parallèle l’émergence de critères américains dans les contrats nationaux ou européens » qui constituent « une vulnérabilité supplémentaire en matière d’extraterritorialité ».
Labelliser ou normaliser la notation cyber ?
Une prise de position saluée par les acteurs européens du secteur, à l’image de Board of Cyber. « Ce papier va clarifier le besoin du marché pour des offres transparentes et des règles du jeu simples pour tout le monde », se réjouit Luc Declerck. Qui rappelle que « l’enjeu, c’est de ne pas être naïf : il s’agit de l’indépendance stratégique de l’Europe ». Mais pas seulement. Pour les agences européennes, c’est aussi une question de business. Selon un sondage réalisé par le Cesin, seulement 55% des entreprises utilisent la notation cyber pour évaluer leur propre sécurité ou celle de leurs partenaires. Davantage de transparence contribuerait à élargir le marché ciblé.
Le Cesin esquisse 2 pistes pour rétablir un certain équilibre. D’abord « l’établissement d’un référentiel partagé au sein de la filière », sorte de code de bonne conduite qui garantirait une certaine cohérence des offres et la compétence des analystes qui réalisent les notations. « Obtenir une labellisation au niveau européen permettrait de gagner en crédibilité », acquiesce Luc Declerck. Qui s’interroge sur l’institution la plus à même de valider ce référentiel.
Autre solution : « l’établissement d’une norme de mesure et de présentation » afin de « normaliser la communication sur le marché mais aussi auprès de Comités Exécutifs et de Conseils d’Administration », propose le Cesin. Une idée qui suscite davantage de méfiance du côté des agences de notation. « Normaliser les tests ? Cela prend du temps et risque de bloquer le développement d’agences européennes », craint Luc Declerck.