Rating de cybersécurité : les inquiétudes du CESIN
Par Bertrand Lemaire | Le | Gouvernance
En lien avec les perturbations sur le marché de la cyber-assurance, les agences de notation s’attaquent à la cybersécurité mais inquiètent le CESIN.
Association professionnelle des RSSI/CISO, le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) a publié un communiqué indiquant ses inquiétudes liées au développement du cyber-rating. Des agences de notation s’intéressent en effet désormais à la cybersécurité comme elles s’intéressent à la solidité financière ou à la vertu sociétale et environnementale. Or la cotation des entreprises telle que proposées par ces agences suscite bien des interrogations tant sur la méthodologie pour définir les notes des entreprises que sur les conséquences induites par ces notes.
Le premier usage du cyber-rating, c’est l’estimation du risque de cyber-sinistre. De ce fait, les primes des contrats de cyber-assurance peuvent être largement influencées par les cotations. Or, comme l’a récemment souligné l’AMRAE dans son étude LuCy, ce marché est d’une grande instabilité et un cyber-rating de qualité médiocre n’arrange pas la situation. Le CESIN s’inquiète aussi que les entreprises soient tentées de privilégier l’apparence, pour avoir de bonnes notes, plutôt que d’investir dans une cybersécurité solide.
Le cyber-rating pourrait cependant être utile mais le CESIN insiste sur plusieurs nécessités pour cela. Tout d’abord, le CESIN « souligne l’absence de méthode et de référentiel partagés et acceptés ». La création de tels référentiels, communs à tout le marché et faisant consensus, est en effet un préalable à une cotation acceptable. Certaines dérives ont été constatées comme l’intégration à une cotation d’une grande entreprise du luxe des scores médiocres de sites de contrefaçons… Côtés administrations en charge des entreprises comme gestionnaires de risques, des travaux sur ce sujet sont d’ailleurs en cours. En corollaire, le CESIN réclame « une transparence totale des méthodes et algorithmes des agences de notation, et de favoriser le développement de celles-ci en Europe. »
En savoir plus
- Le marché de la cyber-assurance reste instable et fragile.
- Sur le site du CESIN : le Position Paper.
- Découvrez le Club Hacktiv’Talk #7 « Les nouveaux modèles de cyber-assurance », mardi 7 novembre 2023 à Paris. Un diner-débat pour découvrir les tenants et aboutissants du sujet.