Face à la pression des cybermenaces – et notamment des rançongiciels, les assureurs sont en quête d’un nouveau modèle pour définir leurs offres de cyber-assurance. Les scores de sécurité vont-ils devenir incontournables ?

Par Laurie Mercer, Ingénieur Sécurité, HackerOne

Selon le dernier Global Risks Report du Forum Economique Mondial, les cyber-risques figurent désormais dans le top 5 des menaces les plus importantes pour la stabilité de notre économie mondiale, aux côtés des risques climatiques ou des maladies infectieuses.

Les cyberattaques majeures survenues ces dernières années (Equifax, Wannacry ou encore NotPetya) ont permis de sensibiliser les investisseurs et les professionnels de la finance à l’importance d’intégrer la cybersécurité dans la valorisation des actifs des entreprises et dans l’évaluation des risques.

Dans ce contexte ont commencé à émerger des solutions de cyber-rating, proposant de noter le degré de maturité des entreprises face aux cyber-risques. A ses débuts, ce marché de la notation était essentiellement mené par des acteurs américains, comme les agences Standard and Poor’s ou Moody’s qui ont progressivement intégré la cybersécurité dans la définition des profils de risque de crédit des entreprises, ainsi que des pure players comme BitSight ou SecurityScorecard. Depuis plus de 3 ans, la tendance s’exporte également en Europe avec des acteurs comme Cyrating.

Juste un effet de mode ?

Aujourd’hui, une grande partie de la communauté cyber émet encore des réserves sur le cyber-rating. Comment faire confiance à une évaluation de sécurité réalisée par un algorithme tiers analysant seulement un échantillon de critères, sans  » contrôle  » sur la qualité des informations collectées ? La réalité de la posture semble complexe à considérer sous cet angle.

Les scores de cybersécurité ne sont pas des audits de sécurité exhaustifs, mais des études basées sur des méthodes de mesure utilisant des informations librement accessibles, telles que la vulnérabilité des applications web, la réputation des adresses IP, les configurations DNS ou encore la sécurité des noms de domaine et des protocoles de messagerie.

Mais les méthodes de mesure s’améliorent. SecurityScoreCard a par exemple présenté au début de l’année une solution intégrée qui s’appuie sur les alertes et les données de sécurité remontées par les hackers éthiques pour évaluer le cyber-risque d’une entreprise et de son écosystème. Pour la première fois, les enseignements tirés des programmes de bug bounty et de divulgation de vulnérabilités sont intégrés dans les notations, permettant d’évaluer plus finement la posture de cybersécurité des organisations.
La sécurité collaborative permet aux organisations de s’appuyer sur une armée de hackers spécialisés pour identifier les vulnérabilités des systèmes et des applications avant qu’elles ne puissent être exploitées par les cybercriminels. Il s’agit d’un indicateur clé à surveiller lors de l’évaluation de la posture de cybersécurité d’une organisation, car il démontre la capacité à adopter une approche proactive de la sécurité au lieu de tenter de réagir à chaque nouvelle menace. L’intégration de cette dimension de proactivité dans un score de sécurité est un élément clé pour renforcer la confiance des clients.

Selon Gartner, d’ici 2022, les notes de cybersécurité vont devenir aussi importantes que les notes de crédit pour évaluer le risque des relations commerciales. À mesure que la transformation numérique se poursuit, les risques associés aux écosystèmes complexes augmentent. Il ne s’agit plus seulement de la sécurité interne et de la posture de risque d’une organisation, mais de la posture des fournisseurs, des clients et des partenaires.

En conséquence, les responsables de la sécurité devraient exploiter ces évaluations comme un point de données supplémentaire pour fournir une notation continue et indépendante de leur écosystème numérique global. Avec l’émergence quotidienne de nouvelles menaces, la gestion des risques liés aux tiers est de plus en plus essentielle pour protéger les données sensibles des entreprises.

Un élément structurant

Le cyber-rating permet non seulement aux organisations de surveiller la santé de leur écosystème, mais aussi de gérer leurs propres performances en matière de cybersécurité, grâce à des alertes de sécurité personnalisables par exemple.

La cybersécurité étant plus que jamais une question qui relève du conseil d’administration, la notation de sécurité est également un excellent moyen d’améliorer la communication entre les responsables de la sécurité, habitués à parler technique, et le conseil d’administration, habitué à parler chiffres. Il apparaît aujourd’hui nécessaire d’attribuer aux entreprises une note de cybersécurité en plus de la note financière qui qualifie leur rentabilité. Un chiffre ou un code qui indique, en un coup d’œil, son degré de protection contre la cybercriminalité, que ce soit vis-à-vis de l’extérieur ou de ses partenaires commerciaux.

Si la pratique n’est pas encore unifiée, la notation de sécurité pourrait également constituer une base d’analyse lors de la souscription d’une cyber-assurance. Au-delà, elle pourrait contribuer à structurer un marché qui peine à répondre aux besoins actuels. Comme le souligne une récente étude de l’AMRAE sur le cyber-risque et sa couverture assurantielle, le manque de données sur le taux de couverture des entreprises et sur leur sinistralité constitue un obstacle au développement de la cyber-assurance. 87% des grandes entreprises sont couvertes par une police d’assurance cyber, mais la couverture est trop limitée (38 millions d’euros en moyenne) compte tenu de leur exposition. Quoi qu’il en soit, il y a fort à parier que les assureurs trouveront eux-mêmes une solution basée sur la cyber-notation.

En matière de notation, mieux vaut anticiper. La position de leader est toujours plus confortable que celle de suiveur car elle permet de disposer d’un avantage concurrentiel important et d’aborder sereinement les nouvelles problématiques, en prenant de l’avance sur les exigences réglementaires et la concurrence.

Améliorez votre posture de cybersécurité

Prendre conscience de sa dépendance au numérique, et donc de son exposition, et la mesurer devient absolument indispensable pour toutes les entreprises privées ou publiques, quelles que soient leur taille et leur activité.

Malgré ses limites actuelles, le cyber-rating pourrait devenir un atout parfait pour sensibiliser à l’importance de la cybersécurité jusqu’au top management, sans stigmatiser les « moins bons élèves ».

Pour être juste, le cyber-rating ne doit pas être considéré comme une solution de gestion de la sécurité informatique mais plutôt comme un outil de gestion des risques qui permet de renforcer sa posture de cybersécurité. La surveillance continue de sa posture de sécurité n’est que le début de la mise en place d’un programme mature de gestion des performances de sécurité. Mais il ne s’agit pas seulement de surveillance. Pour une cybersécurité réellement efficace, les organisations doivent aller au-delà de la surveillance et s’inscrire dans un processus d’amélioration continue.