Solutions
&
techno

Cyberscoring : la charte du Clusif reçoit ses premières adhésions

Par Bertrand Lemaire | Le | Cybersécurité

Face à l’inquiétude des RSSI/CISO sur le cyberscoring, le Clusif commence à obtenir la signature d’une charte de bonnes pratiques par les acteurs du secteur.

Benoît Fuzeau est le président du Clusif (ici au Panocrim 2023). - © Républik IT / B.L.
Benoît Fuzeau est le président du Clusif (ici au Panocrim 2023). - © Républik IT / B.L.

Coter la cybersécurité d’une entreprise répond à plusieurs préoccupations tant en interne (direction générale, direction des risques…) qu’en externe (assureurs, investisseurs, clients…). Les acteurs non-spécialistes sont en effet bien en peine de juger par eux-mêmes de la solidité d’un partenaire (ou de leur propre entreprise) alors même que ce partenaire (ou leur propre DSI) joue un rôle dans leur propre résilience ou leur propre continuité d’activité. Et lorsqu’ils recourent à des questionnaires établis par des experts, ceux-ci exigent des RSSI un temps considérable de traitement. Le développement de scores de cybersécurité était donc, au départ, plutôt bien accueilli. Mais le Cesin comme le Clusif, les deux associations emblématiques de la cybersécurité en France, ont toutes deux communiqué sur les difficultés issues des cyberscores disponibles. Face à ce problème, le Clusif, qui accueille aussi des prestataires, a mis en place une charte de bonne conduite. Quatre évaluateurs ont, à ce jour, signé cette charte : Board of cyber, Red Sift, Scovery et Security Scorecard.

Cette charte vise à régler deux types de problèmes. Tout d’abord, permettre le développement de cyberscores afin d’éviter une perte de temps récurrente pour les RSSI en répondant à d’innombrables questionnaires. Le développement de cyberscores est, de plus, dans la logique des évolutions réglementaires. Surtout, il s’agit de définir précisément ce qui est évalué et comment. Cette transparence est nécessaire pour les utilisateurs internes ou externes pour qu’ils comprennent la vraie signification du score. Elle est aussi indispensable au RSSI/CISO pour qu’il puisse améliorer la cybersécurité de son organisation en s’appuyant sur les audits du cyberscore, ce qui implique qu’il connaisse ses points de faiblesse. Un cyberscore basé sur les éventuelles failles d’un site web temporaire monté pour une opération promotionnelle et sans lien avec le SI interne n’a évidemment pas le même intérêt qu’un cyberscore construit avec une analyse minutieuse du SI interne. La transparence, tant du périmètre analysé que de la méthodologie, est au coeur de la Charte du Clusif. Cette charte pose cependant question sur le modèle économique des agences de cotation car la transparence doit y être indépendante de toute relation commerciale. De ce fait, qui va payer la réalisation du cyberscore ?


En savoir plus

- Présentation de la Charte, sur le site du Clusif.

- « Charte de bonne conduite des acteurs de la notation cyber » sur le site du Clusif (accès libre, PDF).