Vers un cyber rating à l’instar d’un nutriscore ? En marge de la directive NIS2, Fabrice Hecquet avance l’idée d’une évaluation permanente pour toutes les entreprises. 

« Pourquoi ne pas s’inspirer de NIS2 pour généraliser la notion de cyber rating à toutes les entreprises ? Ce faisant, je pense que nos autorités enverraient un signal fort au monde économique. Dans un environnement de plus en plus concurrentiel, nous pourrions ainsi marquer notre différence à travers un éco-système de confiance… »

Pour Fabrice Hecquet, Founder, CyberXpert, il existe aujourd’hui deux sortes d’entreprises : celles qui anticipent le risque cyber et celles qui le subissent. Anticiper c’est gérer. Et de proposer de s’inspirer de des notations financières, portées par des agences historiques comme Moody’s ou Standard & Poor’s et extra-financières. L’idée ? La note est une chose ; nourrir la confiance entre les acteurs publics ou privés, économiques et financiers, en est une autre.

« Le principe doit être le même pour le cyber rating, cette notation de la cybersécurité des entreprises et de leurs écosystèmes. Dans notre monde ultra-connecté, le cyber rating est comme une image en haute définition de la performance et de la maturité d’une entreprise sur la cybersécurité. Cette proposition s’inscrit dans l’esprit du cyberscore européen qui sera introduit en octobre prochain : permettre de mieux informer les utilisateurs sur la protection de leurs données en ligne… »

Un différenciateur pour nos PME et TPE

De toute évidence, le cyber rating va s’imposer. Grâce à cette note, qui combine tous les éléments associés aux actifs publics d’une entreprise, mais aussi à des critères plus comportementaux qui ont trait à « l’hygiène cyber » des équipes, l’entreprise peut partager une information précieuse aussi bien aux autorités de régulation qu’à ses partenaires financiers, voire à ses clients.

Plus qu’un outil de notation et donc de communication, c’est un référentiel dans la durée pour engager son équipe dans cet effort permanent. « Dans le tissu économique belge, axé sur la sous-traitance à travers une grand nombre de PME et TPE, ce pourrait être un véritable différenciateur. »

Comme le note le Ponemon Institute, le risque cyber lié aux écosystèmes des entreprises prend de l’ampleur. Les exemples des raids menés contre Solarwinds ou Kaseya ont montré, par leurs conséquences mondiales, que ces attaques indirectes par rebond via un prestataire sont à prendre très au sérieux. Les cyberattaques indirectes ont le vent en poupe. Les attaquants exploitent de plus en plus les relations de confiance établies entre les entreprises et leurs fournisseurs pour accéder aux données confidentielles qu’ils convoitent. « Si mon serrurier donne par mégarde les clés de mon appartement à tout le quartier, il y a péril en la demeure ! »

Plus loin que les formulaires déclaratifs

Fabrice Hecquet illustre son propos en considérant l’exemple des sous-traitants industriels. Ceux-ci interviennent quand le donneur d’ordre n’a pas les compétences ou la capacité d’intervenir en propre. « Intégrateurs et autres sociétés de maintenance en sont les acteurs classiques ; ils sont encore aujourd’hui perçus comme des maillons faibles de la chaîne de sécurité de l’écosystème. Mais dans les faits, d’autres acteurs de sous-traitance peuvent également être une menace, comme les bureaux d’étude et les fournisseurs de composants ou de sous-systèmes par exemple. En contact avec les entreprises industrielles, ils font partie de la chaîne de sous-traitance et sont donc par analogie une cible pour les cyber-criminels. Parce qu’ils interviennent pour des actions de spécifications du système, de conception, de développement, d’intégration, de mise en service, de validation d’un système ou de maintenance, ils sont amenés à partager des documents confidentiels quand les fournisseurs sont connectés au système d’informations de l’entreprise ciblée. »

Si de nombreuses organisations lancent leurs programmes de TPRM (Third Party Risk Management), souvent basés sur des questionnaires d’auto-évaluation, ces derniers ne mènent pas loin tant ils sont chronophages et déclaratifs. Par son approche non intrusive, la solution européenne de Board of Cyber, proposée par CyberXpert, entre dans la gamme des outils les plus efficients.

NIS2, entités essentielles et entités importantes

Cette vision s’inscrit dans la philosophie de la directive NIS2. La particularité de ce texte est de ne plus se limiter à quelques opérateurs d’importance vitale comme le prévoyait la directive NIS1. Il étend le nombre de secteurs soumis à des obligations -de sept à onze- en les appliquant à l’ensemble de la chaine de sous-traitance. Pour limiter l’impact de l’application de NIS 2, un seuil de 50 salariés a été prévu, mais les Etats peuvent y déroger pour des raisons de criticité de certains « petits » acteurs. Qui plus est, la directive distingue les entités « essentielles » des entités « importantes ». 

Ces entités essentielles et importantes devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information ». Cela devrait passer, par exemple, par l’analyse des risques encourus, des mesures garantissant la continuité de leurs activités (comme la gestion des sauvegardes), la sécurisation de leurs réseaux, des procédures d’audit des mesures mises en place, de la formation à une bonne hygiène cyber, l’utilisation de techniques de cryptographie, un bon contrôle des accès ou encore l’utilisation de solutions d’authentification à plusieurs facteurs.

S’inspirer de la directive… pour aller plus loin

Avec un élargissement des secteurs et des organisations concernées et une augmentation des exigences de sécurité des systèmes d’information, une harmonisation du niveau de cybersécurité globale devrait mécaniquement voir le jour. Et c’est tant mieux, se félicite Fabrice Hecquet. « Si aujourd’hui on attend la transcription de la directive NIS2 dans le droit belge, je pense qu’on pourrait s’en inspirer pour aller plus loin. Pourquoi, en effet, ne pas encourager nos autorités à considérer la notion de cyber rating à plus grande échelle ? »

Tout le monde aurait à y gagner. Par essence, la démarche est vertueuse. Ce « scoring »représente un indicateur percutant, compréhensible et permanent pour le top management -concept déjà maîtrisé dans le domaine de la finance, mais qui fait encore défaut en cybersécurité. L’évolution de la note permettrait également de justifier et quantifier l’efficacité d’un plan d’actions correctrices menées sur les services périphériques du système d’information de l’entreprise. C’est aussi la possibilité de s’étalonner vis-à-vis de ses concurrents sur une base commune et potentiellement de faire de la cybersécurité un atout marketing ; d’évaluer le niveau de maturité cybersécurité de ses partenaires sur une base plus objective que les questionnaires déclaratifs.

A suivre…