Au même titre que le pass sanitaire sécurisant les échanges entre humains, le cyber-rating est en train de s’imposer pour sécuriser cette fois les échanges entre entreprises
Aujourd’hui, de nombreux chefs d’entreprise ou de DSI voient la cybercriminalité pas uniquement comme une menace, mais également comme une fatalité face à laquelle ils seraient bien souvent démunis. Soumis aux intentions hostiles des hackers, ils seraient partiellement désarmés devant ce phénomène qui ne cesse de prendre de l’ampleur. Au mieux, ils pourraient réagir et, au pire, subir.
Pourtant, des moyens existent pour ne pas être seulement réactif. Comment ? En devenant pro-actif en matière de cyberdétection. Comment ? Grâce au cyber-rating, notamment.
Cyber-rating : le bulletin scolaire des entreprises
Pour une entreprise, particulièrement une PME ou une ETI, le cyber-rating est l’une des principales solutions pour reprendre simplement la main sur la sécurité de son Système d’Information.
Le cyber-rating est en effet un dispositif de notation qui permet de caractériser et de quantifier le risque cyber d’une entreprise, analogue au principe mis en place par les agences de notations financières telles Fitch Ratings ou Moody’s. On le sait, ces dernières structurent désormais les marchés financiers en permettant des comparaisons sur la solvabilité et les perspectives de développement d’un émetteur de dette (entreprise ou État). Ce système de notation par des organismes indépendants jouant le rôle de tiers de confiance s’est progressivement élargi. Compte tenu des implications massives de la cybercriminalité sur les performances d’une entreprise, l’analyse du risque financier s’est aujourd’hui étendue au risque cyber. Des agences de cyber-rating ont ainsi vu le jour. Elles collectent, analysent des informations disponibles publiquement, et décernent une note de risque, sorte de bulletin scolaire cyber qui départage bons élèves, mauvais élèves et cancres en matière de cybersécurité.
Prendre en main son cyber-rating
Mais, indépendamment de ces systèmes de notation qui concernent davantage les Grands Comptes, chaque PME ou ETI peut désormais procéder à son propre cyber-rating.
Grâce à des solutions économiques et simple d’emploi développées par des acteurs technologiques, ce cyber-rating repose sur trois articulations principales.
Tout d’abord, l’établissement d’une cartographie des risques à partir de la collecte et de l’analyse d’informations en temps réel. Il est à souligner qu’il n’existe pas (encore ?) de règles standard en matière de cyber-rating : plus la granularité est importante, plus la cartographie sera pertinente.
Vient ensuite la notation des risques. Grâce à elle, le chef d'entreprise a connaissance de sa situation et des conséquences éventuelles auxquelles il est directement exposé. Quant au DSI, il peut élaborer en parfaite connaissance de cause les recommandations appropriées pour limiter les risques.
Dans un troisième temps, toutes les vulnérabilités et risques détectés sont remontés dans les rapports de cyber rating. Ils vont apporter au DSI des remédiations concrètes et détaillées de chaque faille et concourir ainsi au rétablissement fonctionnel du Système d’Information corrompu.
Le « pass sanitaire » des entreprises
Toute entreprise peut donc aujourd’hui disposer d’une notation sur son niveau de risque cyber, celui qu’elle est susceptible de subir, mais aussi celui qu’elle peut faire peser sur ses partenaires dans le cadre de leurs échanges économiques. Cette indication est désormais cruciale. Il est en effet important pour les PME ou les ETI de montrer qu'elles sont protégées du risque cyber pour pouvoir travailler avec d'autres entreprises. Les attaques indirectes, perpétrées par le biais de Systèmes d’Information moins bien protégés, représentent une part très importante des cas de cybercriminalités : les hackers s’infiltrent souvent dans le Système d’Information d’une entreprise en utilisant des portes grandes ouvertes trouvées dans le Système d’une autre entreprise moins bien ou pas protégée, avec laquelle elle est en relation. La notation est alors l’instrument d’échange d’informations permettant d’établir des relations sécurisées entre entreprises et donc leur interopérabilité.
C’est littéralement la santé des entreprises qui se joue dans cette question de la cybersécurité. Le cyber-rating fonctionne en effet comme un pass sanitaire entre entreprises. En ces temps d’épidémies multiples – et la cybercriminalité en est indiscutablement une – elles doivent désormais observer les distances règlementaires et respecter les gestes barrières pour éviter la contamination. Une fois le pass sanitaire affiché, la relation peut s’effectuer sans crainte. Cette procédure est en train de s’installer comme un prérequis dans toute relation entre des entreprises. Vraisemblablement, elle sera bientôt généralisée.
Le cyber-rating est une sorte de check-up permanent qui permet d’avoir connaissance des problèmes et des conséquences éventuelles. On a désormais l'information avant qu'il ne soit trop tard. Confier cette opération devenue essentielle à un partenaire efficace permet à l’entreprise de se concentrer sur son métier en connaissant les principaux risques et en les maîtrisant.
Ainsi, le cyber-rating apporte une grande tranquillité d'esprit aux chefs d’entreprises comme aux DSI. Ce corps sain qu’est l’entreprise disposant de son pass sanitaire grâce au cyber-rating ne sera pas contaminé par les multiples virus et opérations malveillantes des hackers, et ne risquera pas non plus de contaminer ses partenaires.
Le cyber-rating permet d'objectiver et donc, finalement de rassurer cet autre partenaire essentiel de l’entreprise que sont les assureurs. A terme, cela deviendra un pass(age) obligé.