Avec Security Rating de Board of Cyber, Approach propose aux entreprises belges et suisses d’accéder au cyber-rating en continu.

Noter est la première fonction de Security Rating, solution qui a pour vocation d’accompagner les entreprises dans leur prévention cyber, notamment par la mise en lumière de leurs vulnérabilités grâce à une cartographie des risques digitaux. Autres fonctions : piloter et améliorer. « Une entreprise qui néglige aujourd’hui sa posture cyber peut en subir les conséquences. Des clients ou partenaires potentiels peuvent juger trop risqué de travailler avec elle », note David Vanderoost, CEO, Approach Belgium.

Le cyber-rating devient un élément de décision important dans la gestion des risques. Et il le sera de plus en plus.« Pour un chef d’entreprise, bénéficier d’une évaluation et d’une présentation claire des performances cyber permet d’identifier simplement les actions à mettre en oeuvre, poursuit David Vanderoost. C’est également un outil d’évaluation pour les actionnaires. Pour les fonds et les Private Equity, en particulier. Savoir anticiper ou gérer une crise cyber devient un enjeu financier, tout autant qu’une question de réputation. »

Créer un éco-système de confiance

Proposée en mode SaaS, la solution de l’éditeur français Board of Cyber procède à une analyse non-intrusive sur la surface Internet de l’entreprise. Cette vue externe du système d’information détermine comment les investisseurs et les partenaires voient l’entreprise comme contributeur d’un risque. Le logiciel passe en revue la surface d’attaque, les vulnérabilités, les messageries. Il mène des contrôles de sécurité et surveille en continu le temps de résolution des incidents  découverts. Automatisé, le dispositif est mis à jour quotidiennement.

La mission de Board of Cyber est de créer un écosystème de confiance en incitant chaque partenaire a améliorer sa posture cyber. Dans les démarches d’évaluation, Security Rating incite l’entreprise à partager avec ses fournisseurs la notation.  Et, ainsi, les faire bénéficier des recommandations dans le but d’améliorer leur performance.

« Le capital confiance fera de plus en plus la différence, estime David Vanderoost. C’est précisément ce que font les agences de notation financière, les Moody’s ou Standard & Poor’s. Plus qu’une note, elles nourrissent la confiance entre les acteurs publics ou privés, économiques et financiers. Le principe doit être le même pour le cyber-rating. Dans notre monde ultra-connecté, nous offrons une image en haute définition de la performance et de la maturité d’une entreprise sur la cybersécurité. »

Service continu, tests quotidiens

En effet, Security Rating allie la simplicité et la rapidité d’une évaluation automatisée à des recommandations d’amélioration de la performance cyber des entreprises et des organisations. Un accompagnement qui peut aussi être nourri, selon les besoins, par des questionnaires pour comprendre l’organisation de l’entreprise évaluée, par des tests techniques et, surtout, par la possibilité de mettre à disposition son réseau de partenaires experts pour aider à améliorer la performance, l’intervention et l’interprétation d’un expert sécurité. Le cyber-rating devient un référentiel d’amélioration en continu.

De fait, les tests sont effectués chaque jour. Ce qui permet aux entreprises de suivre leur évolution. A contrario, il ne s’agit nullement d’un audit. Board of Cyber ne propose pas de remédiation. C’est le domaine d’Approach, qui peut offrir des services de CISO-as-a-Service ou de SOC-as-a-Service.

Cyber-rating, avantage compétitif

Pour Approach, qui se présente comme un « pure player » de la cybersécurité, cette proposition s’inscrit parfaitement dans le champ de son offre à 360 degrés -anticiper, prévenir, protéger, détecter, réagir et récupérer- qui s’étend de la stratégie au SOC (Security Operations Center) en passant par le développement logiciel spécifique et l’intégration. Connue pour ses services de Red Team, l’entreprise de Mont-Saint-Guibert (80 collaborateurs en Belgique, 20 en Suisse) a fortement poussé ses services de Blue Team (analyse). Direction Purple !

« Security Rating arrive au bon moment, estime David Vanderoost. Les premières entreprises intéressées indiquent la tendance. En Belgique, l’accord à peine annoncé, Security Rating a déjà motivé un fonds d’investissement et, en Suisse, une groupe international spécialisé dans l’événementiel. Pour l’un comme pour l’autre, l’ambition est la même : faire de la solution un avantage compétitif, construire un écosystème de confiance… Aujourd’hui, il existe deux sortes d’entreprises : celles qui anticipent le risque cyber et celles qui le subissent. »