24 février 2021

Le cyber-rating: pourquoi et comment ?

Les récentes cyberattaques ont sensibilisé les organisations aux menaces Cyber et à l’importance d’évaluer régulièrement leur probabilité d’occurrence ainsi que leurs impacts. En effet, en 2017 les ransomwares Wannacry et NotPetya ont mis en exergue la dimension massive et internationale des attaques, la diversité des victimes touchées, l’ampleur de la propagation, mais aussi les dommages causés de manière indiscriminée.

Selon le baromètre 2020 du CESIN, 65% des entreprises déclarent avoir subi au moins une cyberattaque dans l’année, et la moitié d’entre elles, plus de 4 ! Quant au CLUSIF, il estime à 700 M€ les pertes 2019 des PME touchées par des ransomwares et à 8 jours la durée moyenne de paralysie.

Les impacts relatifs à ces attaques ne sont pas uniquement financiers. En effet l’image de marque, le risque pénal (CNIL et RGPD notamment), la mise en danger des employés ou des clients doivent également être analysés et pris en compte dans le contexte de l’organisation. Ce dernier différera en fonction du secteur, des activités, des réglementations en vigueur, les relations contractuelles, le type de données manipulées, etc.

Pour faire face, la sensibilisation des directions et des décideurs est un élément clé. Pour cela, il leur est nécessaire d’avoir une vue synthétique leur permettant de prendre les bonnes décisions et de lancer les plans d’action pour mieux se protéger. Cette protection doit tenir compte de l’évolution des risques dans le temps et doit être adaptée aux nouvelles menaces, aux nouvelles pratiques ainsi qu’aux nouveaux enjeux des organisations.

Le Cyber-rating est une note qui permet d’évaluer le niveau de maturité en cyber sécurité d’une organisation. En fonction des indices et des outils, il est basé sur les meilleures pratiques de cybersécurité telles que l’ISO27002, le guide d’hygiène de l’ANSSI, le guide du NIST, l’OWASP, etc.

Néanmoins, le Cyber-rating va au-delà d’un simple système de notation en permettant de doter les organisations d’un outil de pilotage du niveau de sécurité de ses systèmes d’information et de celui de ses partenaires permettant ainsi d’aider à la prise de décision en répondant à ces deux questions :

1 – Quel est le niveau de sécurité de mon système d’information ou bien de celui de mon partenaire ?

Exemple de l’indice présentant un niveau de sécurité de 1 à 10

Il est possible d’évaluer si les investissements de l’organisation en matière de sécurité sont suffisants par rapport à l’état de la menace et de ses enjeux. Il en découle un plan d’action avec des actions prioritaires afin d’arriver au niveau souhaité en évaluant les impacts financiers associés.

2 – Quel est le niveau de sécurité moyen dans mon secteur d’activité ?

Exemple de représentation de l’indice MCE par secteur d’activité

Dès lors, il est possible de comparer le niveau de sécurité par secteur d’activité et d’adapter la stratégie des organisations aux meilleures pratiques du secteur.

Avec l’intégration du risque Cyber dans la définition des profils de risque de crédit établis par les agences de notation internationales, le Cyber-rating permet une prise en compte simple du risque cyber et permet une évaluation rapide pour un investisseur

Véritable outil pour les assureurs, le Cyber-rating permet d’adapter les couvertures et le calcul des primes d’assurance.

Le Cyber-rating peut être combiné à des outils de contrôle afin de connaître en temps réel le niveau de sécurité d’un système d’information. Il peut également être intégré à une démarche de contrôle en continu afin de maîtriser son niveau de sécurité et celui de ses partenaires, permettant ainsi d’établir des objectifs, des actions et de les suivre dans le temps.

Erwan Brouder et Régis Senet

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *