La notation et l’évaluation cyber deviennent incontournables dans la vie des équipes de cybersécurité mais elles entraînent de nouvelles problématiques. Le Clusif a souhaité contribuer à les résoudre en produisant une charte de bonne conduite des acteurs de la notation. Cette charte a fait l’objet d’un an de travail collectif incluant des agences elles-mêmes et ouvre la voie à une meilleure cohérence au profit des organisations évaluées et à une amélioration concrète de l’évaluation de leur maturité cyber.
Les notations en cybersécurité sont en général émises par des sociétés qui rassemblent le résultat de sondages systématiques, via internet, des failles des systèmes d’information des organisations, et les transforment en notation par la mise en œuvre d’algorithmes qui leur sont propres. Les problèmes posés par l’évaluation cyber (qui inclut la notation cyber) telle que pratiquée aujourd’hui sont pour l’essentiel de deux natures :
- Quand ils sont soumis par des donneurs d’ordres, les questionnaires sont de plus en plus longs et complexes, de plus, chaque acteur a tendance à développer le sien. Ceci occasionne une perte de temps et d’énergie importante pour un certain nombre d’acteurs, en particulier les RSSI.
- Quand un utilisateur fait l’objet de la part d’un acteur du marché d’une estimation de sa surface d’attaque par Internet, il est soumis au fait que les algorithmes de notations sont secrets, peuvent varier plusieurs fois par an et dépendent d’un champ d’application qui peut lui être inconnu
Il résulte de ces usages des biais potentiellement préjudiciables.
La charte produite par le Clusif vise à maîtriser les activités des agences de notation cyber. Sa vocation n’est pas d’être contraignante mais de viser à servir de canal d’expression pour la filière, selon un principe de libre adhésion. Elle vise plus largement à promouvoir un cercle vertueux autour de plusieurs principes : confiance entre les acteurs de la notation, dynamique d’amélioration des pratiques, recherche d’une méthodologie transparente et explicable, capacité des RSSI à s’approprier les résultats de la notation.
Cette charte est dès à présent en accès libre, accompagnée d’un dossier de présentation des enjeux.
- Télécharger la Charte de bonne conduite des acteurs de la notation cyber
- Télécharger le rapport « Le Scoring cyber »