La notation cyber, un outil indispensable pour les entreprises
Découvrez le décryptage de Board of Cyber et le point de vue Bessé, sur la notation cyber et sa valeur ajoutée pour la compétitivité des entreprises.
Cyber Risques : La Nouvelle Priorité des Organisations face à l'Incertitude
Le risque cyber est aujourd’hui le premier des risques pour les organisations, devant l’interruption d’activité, l’inflation, la crise énergétique ou le changement climatique1. Une entreprise française sur deux a été victime d’une cyberattaque en 2022 et, dans 60% des cas, ces attaques ont fortement perturbé la production et généré une baisse du chiffre d’affaires(2).
L’accélération de la transformation digitale expose en effet toutes les organisations, de plus en plus interconnectées. L’industrie mondiale de la cybercriminalité s’est professionnalisée et la menace cyber se complexifie en permanence, qu’il s’agisse des cibles, des motivations ou des techniques d’attaque. L’intelligence artificielle générative permet notamment d’augmenter le volume, la vitesse et l'efficacité des cyberattaques. Aujourd’hui, même les plus grandes entreprises de l’armement et de l’aérospatiale, disposant d’une forte maturité cyber, sont victimes de rançongiciels et d’hameçonnage.
Dans un monde devenu chaotique, fait de nouveaux risques et de nouvelles dépendances, la confiance est, plus que jamais, une condition fondamentale au développement de relations commerciales entre organisations.
(1)Baromètre des risques Allianz 2024
(2) Baromètre du Club des experts de la sécurité de l’information et du numérique (CESIN)
Créer un écosystème de confiance
Board of Cyber a développé la solution Security Rating® pour permettre aux entreprises d’apprécier leurs expositions face aux risques cyber. Cette appréciation établit une corrélation entre une mauvaise note cyber et l’exposition aux risques d’une organisation : la probabilité de subir une cyberattaque pour les entreprises les mieux notées est cinq fois moindre que pour celles dont la note est au niveau basique.
La notation est un outil d’évaluation et de comparaison simple, lisible, efficace ; elle fournit un langage commun aux non-initiés – dirigeants d’entreprise, assureurs, banquiers, courtiers, avocats, commissaires aux comptes – qui veulent connaître rapidement la performance cyber d’une organisation. Le cabinet Gartner a d’ailleurs annoncé en 2022 que la notation cyber allait devenir incontournable, au même titre que la notation financière et extra-financière, à la fois pour évaluer la bonne santé des entreprises et piloter la gestion des risques.
Partager en interne la notation continue de l’entreprise permet de mobiliser les collaborateurs, afin qu’ils deviennent les acteurs de la performance cyber de l’entreprise. Le caractère évolutif de la note contribue de façon ludique à renforcer en continu la cybersécurité des systèmes d’information et de passer d’une posture de prévention à une posture plus engagée.
Un levier de compétitivité économique
De simple risque technique, le risque cyber est ainsi devenu un risque business. Mais d’un autre point de vue, il est également devenu un marqueur de maturité : une bonne posture cyber rassure l’écosystème de l’entreprise, ses investisseurs et son établissement bancaire. Une entreprise multipliera ses chances d’obtenir un prêt, de faciliter l’accès à l’assurance cyber, mais aussi de gagner un appel d’offres : une bonne note cyber peut permettre de départager des candidats égaux si l’un d’entre eux présente des vulnérabilités ou risques d’attaques par rebond.
La maturité cyber de l’entreprise devient ainsi un levier de compétitivité majeur : ce n’est plus simplement un bouclier, c’est un véritable tremplin pour conquérir des marchés.
La gestion des risques liés aux tiers, un enjeu majeur
Par ailleurs, l’Europe via la directive NIS2 et le règlement DORA qui vont s’appliquer dans les prochains mois incite les milliers d’entreprises concernées à massifier l’évaluation en continu de leurs fournisseurs. Elles vont devoir gérer le risque lié à plusieurs dizaines, centaines, voire milliers de fournisseurs qui ne disposent pas toujours des ressources pour assurer une protection efficace de leur système d’information. La digitalisation de la supply chain génère de nouveaux risques, car en ciblant un maillon de la chaine d’approvisionnement des grandes entreprises, les cybercriminels atteignent parfois leur cœur de cible.
Les entreprises sont conscientes de la montée en puissance du risque cyber fournisseurs : selon l’étude réalisée par Board of Cyber en 2023, il est jugé élevé par 90 % des RSSI de grands groupes français. Pour autant, ce risque n’est suivi par le conseil d’administration que dans une entreprise sur deux.
Ce paradoxe tient à la nature du risque fournisseurs. Très complexe à appréhender compte tenu de l’hétérogénéité des chaines d’approvisionnement, il exige une approche globale, qui prenne en compte l’ensemble de l’écosystème de l’entreprise. Parce que la gestion du risque cyber fournisseurs représente une charge de travail lourde et coûteuse, les entreprises n’y parviendront que par une automatisation du processus d’évaluation en continu des sous-traitants.
Accompagner les entreprises dans leur gestion des risques fournisseurs, renforcer leur compétitivité, contribuer à construire autour d’elles un écosystème de confiance : c’est la triple valeur ajoutée de Security Rating® pour les entreprises.
L’analyse que propose des outils comme Board of Cyber est largement utilisée par les assureurs pour éclairer leur vision du risque, en complément des questionnaires et de réunions d’échange.
Certes, ces outils ne peuvent pas tout dire de la maturité cybersécurité des entreprises : comment voir sur ces données « publiques », le niveau de sensibilisation des utilisateurs, la résilience des sauvegardes, la protection sur les postes de travail et des serveurs, la préparation à la gestion de crise, … ? De même, certains actifs analysés (ex. sites web institutionnels) n’ont pas de lien direct avec le système d’informations interne.
Mais pour autant, lorsque la note est trop basse, la corrélation est forte pour que le niveau de sécurité de ce qui reste « invisible » à ces analyses soit en-dessous des prérequis des assureurs. A l’inverse, si la note est nettement au-dessus de la moyenne, il est peu probable que le niveau de sécurité du reste soit nettement insuffisant.
Reste également à s’assurer que ces outils analysent bien des éléments sous la responsabilité de l’entreprise visée (certains outils peuvent avoir tendance à être très « inclusifs » et à intégrer des composants sans lien avec l’entreprise) et que le périmètre analysé est le plus exhaustif possible par rapport à celui de l’entreprise.
Pour les assureurs, c’est également la possibilité d’avoir une vision globale de la note de leur portefeuille, d’inciter leurs assurés à s’améliorer et de valoriser cette exposition auprès de leurs propres ré-assureurs. Cette vision globale permet également d’apporter des éléments de comparaison pour une entreprise donnée par rapport aux entreprises de taille et d’activité similaires.
Dernier point intéressant, il faut noter les avancées pour rendre cette pratique de notation Cyber plus transparente et objective, notamment à travers la charte proposée par le CLUSIF à destination des éditeurs de ces solutions.
Bessé a fait le choix il y a de nombreuses années de préparer systématiquement ses clients et prospects à cette vision des assureurs en réalisant cette analyse en amont et en les accompagnant pour améliorer leur note.
