Par Julien Steunou, Lead SOC Provadys, NetXP
De gré ou de force et de façon plus ou moins consciente, la plupart des entreprises sont confrontées au sujet du security rating qui mesure leurs performances cyber sécurité sur le modèle de ce qui existe depuis des décennies pour les notations financières standardisées portées par des sociétés comme Moody’s, Standard & Poor’s ou Fitch Rating.
Qu’est-ce que le security rating ?
Le principe commun à toutes les solutions de security rating est de produire une note représentant la performance et la maturité cyber sécurité d’une organisation par une évaluation automatisée, continue et reproductible sur la base de données observables publiquement.
Développées depuis plusieurs années dans le monde anglo-saxon, ces solutions sont de plus en plus utilisées en France par des assureurs, investisseurs et organismes financiers, mais également par les entreprises elles-mêmes pour évaluer les risques cyber sécurité de leurs prospects, clients, fournisseurs et partenaires et éclairer des décisions qui ont des impacts directs dans le business de tous ces acteurs : montant des primes d’assurance, évaluation des propositions dans l’attribution de marchés, valorisation lors d’opérations de fusion / acquisition…
Comment fonctionne un security rating ?
C’est la combinaison de trois activités :
- Une cartographie des actifs techniques publics de l’entreprise pour associer à une entreprise un ensemble d’IP publiques, noms de domaines, sites web…
- Une collecte de données publiques sur ces actifs techniques pour relever des traces de compromission ou activité malveillante (ex : une IP de l’entreprise connue comme étant un nœud de sortie TOR / participant à un botnet ou un site web identifié comme diffusant/propageant du malware) et réaliser des tests simples pour évaluer la rigueur des configurations (ex : conformité de la configuration SSL/TLS d’un site web à l’état de l’art, utilisation de SPF sur le domaine de messagerie…).
- Une analyse par un algorithme de notation qui produit une note combinant les éléments négatifs et positifs associés aux actifs techniques attribués à une société avec certaines pondérations, des subtilités comme la réactivité constatée à régler un problème ou l’historique d’incidents de sécurité connus de l’entreprise (moins évident à exploiter en France qu’aux USA, mais les réglementations mettant une pression croissante sur les obligations de notification, il est probable que des bases de données se constituent chez nous dans les années à venir).
Les agences de notation ayant pour objectif de sortir une notation en continu pour le plus d’entreprises possible, le process doit donc rester :
- Totalement automatisé.
- Simple, rapide et sans risque de production pour les actifs techniques testés (ce qui interdit de fait des tests de type scan de vulnérabilité par exemple).
- Sans interaction avec les entreprises évaluées.
Tout le business des agences de notation consiste ensuite à vendre la notation d’une entreprise à qui souhaite l’acheter et au principal intéressé si cela est possible pour un prix variant de quelques milliers à quelques dizaines de milliers d’euros.
Malédiction ou opportunité ?
Pour les entreprises ne se préoccupant pas de la sécurité de leurs systèmes d’information, le security rating est une véritable malédiction : il deviendra difficile pour ces dernières de cacher ces négligences et elles vont subir, parfois sans même comprendre pourquoi, les conséquences de décisions de plus en plus nombreuses de tiers jugeant trop risqué de travailler avec elles.
Pour les autres, force est de constater que les solutions de security rating ouvrent des opportunités en apportant :
- Un élément de décision appréciable dans la gestion des risques.
- Une présentation simple sinon simpliste des sujets cyber sécurité les rendant accessibles et visibles par des personnes non spécialistes qui n’auraient pas les moyens ou le temps de rentrer dans le détail autrement.
- Une tension positive sur l’application de bonnes pratiques connues, mais souvent négligées.
En dépit de ces usages croissants, beaucoup de professionnels de la cyber sécurité sont très circonspects par rapport aux solutions de security rating. Les reproches se concentrent principalement sur des extrapolations « sauvages » dans l’interprétation de certaines données, les erreurs de notation engendrées par des imprécisions dans la cartographie des actifs techniques externes et la non prise en compte de certaines exceptions justifiées (comme un honeypot par essence vulnérable sur un actif externe).
Si ces critiques sont largement fondées, il est désormais incontestable que les security rating rencontrent un succès réel auprès de nombreux décideurs et que la profession est bien obligée de prendre en compte le phénomène pour en tirer le meilleur parti, avec de grands enjeux pour redresser certaines interprétations et avancer sur les remédiations.
L’activité restant jeune, il faut également s’attendre à ce que des approches développant la confiance dans le modèle soient mises en œuvre par de plus en plus d’acteurs et que les autorités publiques ou les régulateurs s’impliquent sur le modèle de la chambre de commerce US.
Retrouvez l’analyse plus complète et détaillée du security rating dans l’avis d’expert ci-dessous.