Pascal Antonini (ISACA-AFAI) : « le rating de cybersécurité est nécessaire mais doit être amélioré »
Par Bertrand Lemaire | Le | Cybersécurité
Vice-président de l’association professionnelle des auditeurs et autres spécialistes IT, l’ISACA-AFAI, Pascal Antonini défend ici l’emploi du cyber-rating. Entendant les critiques (fondées), notamment du CESIN, il estime qu’il ne faut pas jeter le bébé avec l’eau du bain : le besoin existe, il doit être couvert mais avec des outils qui doivent être améliorés.
Pouvez-vous nous présenter l’AFAI et ses liens avec l’ISACA ?
Créée en 1982 comme Association Française de l’Audit Informatique, l’AFAI a rejoint l’ISACA en 1985 et elle en constitue depuis cette date le chapitre français. L’ISACA a, elle, été créée en 1969 à Los Angeles par des auditeurs financiers confrontés au problème de la certification des comptes produits par informatique. Il s’agissait, pour certifier les comptes, d’auditer le système les produisant.
Présente aujourd’hui dans 188 pays, l’ISACA a environ 170 000 membres répartis dans 188 pays et 225 chapitres (il peut y avoir plusieurs chapitres par pays comme aux Etats-Unis, en Italie, en Espagne…). En France, l’AFAI a environ 900 membres. Nos membres sont tous des personnes physiques, professionnels des systèmes d’information, pas seulement spécialistes de l’audit mais aussi de la maîtrise des risques, de la gouvernance, de la cybersécurité…
Nous avons vocation à mettre à disposition des professionnels des connaissances, des référentiels et des certifications qui leur sont nécessaires pour exercer leur métier. Or, par la nature du secteur informatique, ces connaissances et référentiels sont très évolutifs. Parmi quelques certifications, citons les plus connues : CISA (auditeurs SI), CISM (management de la cybersécurité), CRISC (gestion des risques IT), CGEIT (gouvernance de l’IT d’entreprise)… Nous proposons également des référentiels pour les entreprises comme par exemple COBIT qui est un référentiel de gouvernance et de management des SI.
Depuis un peu plus d’un an, l’ISACA s’est dotée d’une direction Europe pour éviter que les référentiels et certifications se limitent aux besoins des Etats-Unis.
Le principe du rating est très fréquent dans la finance, par exemple pour noter la solidité ou la capacité de remboursement d’une entreprise ou d’un pays. Pourquoi arrive-t-il dans la cybersécurité ?
Dès lors que l’on a bien compris que le cyber-risque est le premier des risques pour les entreprises, le cyber-rating répond à un véritable besoin. Le cyber-rating permet de comprendre le niveau de maîtrise du cyber-risque avec un indicateur aisé autant pour les directions générales que pour les assureurs. Cette pratique apparaît parce que le niveau de risque est aujourd’hui très important. Le cyber-rating permet la prise en compte spécifiquement du cyber-risque dans le cadre de l’audit financier et dans la certification de comptes (pour garantir que les provisions pour risques passées sont réalistes par exemple). La place centrale du cyber-risque dans la résilience de l’entreprise implique que les auditeurs le regardent avec une très grande attention.
Concrètement, comment est défini la note d’un cyber-rating ?
Le besoin de rating est fort mais les offres actuellement disponibles sur le marché (comme SecurityScorecard ou Bitsight, par exemples, qui sont les plus connues) ne contrôlent que quelques critères accessibles de l’extérieur (versionning du CMS, publications de fuites de données…). Clairement, il me semble que les ratings proposés ne sont pas au bon niveau. Même si j’assiste, au niveau professionnel, mes clients dans l’acquisition de ce genre de score, ce n’est pas du tout idéal. Même si une machine est accessible et vulnérable, rien n’indique le niveau d’importance de celle-ci.
Les critiques sur la pertinence des ratings actuels sont donc fondées. Mais la nature a horreur du vide et, du coup, on utilise ce qui existe ! Comme ces scores sont publiés, connus des directions générales et des assureurs, ils peuvent inciter les RSSI à privilégier des corrections non-prioritaires alors que leurs moyens sont limités.
Précisément, le CESIN, l’association professionnelle des RSSI, critique fortement le cyber-rating. Quelle réponse pouvez-vous leur apporter ?
J’ai bien vu leur communication et c’est effectivement leur rôle de tirer la sonnette d’alarme sur des ratings très contestables. Mais cela n’est pas une raison pour arrêter la démarche. Il faut, par contre, être bien conscient des limites des scores actuels. En bref, le rating de cybersécurité est nécessaire mais il doit être amélioré.
Quand Moody’s ou Fitch font du scoring financier, ils s’appuient pour cela sur des normes très bien définies. Mais, en cybersécurité, ce n’est pas si simple. Il faut en effet couvrir des risques qui sont très variables selon l’architecture choisie (cloud/pas cloud, etc.), la taille de l’entreprise, son secteur… On ne peut pas avoir un seul mètre-étalon. Il faudrait pouvoir définir des critères harmonisés sur la gestion des risques (par exemple en s’appuyant sur une norme comme ISO 27001) même si le respect des processus est aujourd’hui très insuffisant. L’avenir est sans doute au rapprochement des deux approches dans un rating unifié et complet.
Quels sont les usages actuels du cyber-rating ?
Bien entendu, le premier utilisateur est le cyber-assureur. Celui-ci peut soit se baser sur un rating soit sur des questionnaires très complexes adressés aux entreprises clientes. Le cyber-rating est un outil qui sert de référence donc influe les tarifs et les conditions des contrats de cyber-assurance. Cela explique l’importance donnée en entreprises au rating.
Pour l’heure, le commissaire aux comptes réalise plutôt ses propres analyses. Il s’assure en général que le risque est bien géré et avec des moyens suffisants.
Enfin, au sein d’un groupe donné, le cyber-rating est un outil de benchmarking entre filiales du groupe pour vérifier la solidité de leur cybersécurité. Mais ce n’est clairement pas un outil très pertinent.
Quelles sont les tendances en matière de cyber-rating ? Ses défauts sont-ils en voie de correction ?
Il y a quelques initiatives encourageantes. Tout le monde est bien convaincu des limites des cyber-ratings actuels. Or il va être obligatoire pour de nombreuses entreprises d’afficher un cyber-score, de le communiquer à leurs partenaires et à leurs clients.
Il existe une start-up, Trustable, qui travaille sur de nouveaux types de cyber-scores. Ceux-ci doivent être basés sur plusieurs axes de contrôles : un scan de cyber-vulnérabiliré, bien sûr, mais aussi la méthodologie de gestion des risques, la gouvernance IT, etc.
Il est indispensable de renforcer la solidité du cyber-score, d’améliorer la pertinence du rating. Je pense que ça va être le cas et que, ensuite, son emploi pourra se généraliser.
En savoir plus
Sur le même sujet
- Rating de cybersécurité : les inquiétudes du CESIN.
En lien avec les perturbations sur le marché de la cyber-assurance, les agences de notation s’attaquent à la cybersécurité mais inquiètent le CESIN.