Les agences de notation en cybersécurité sont dans le viseur du Cesin (club des experts de la sécurité de l'information et du numérique) qui vient de rendre un avis sur le sujet. Ce secteur est en pleine expansion aux Etats-Unis et se déploie en Europe constate l’association, mais regrette l’absence de contrôle et de régulation. Pour sa prise de position, le club a mené une enquête auprès de ses membres sur le sujet.

Un peu plus de la moitié des répondants (179 au total) ont recours au service des agences de notation pour différents besoins. Les principaux sont l’évaluation de l’exposition publique et détecter les défauts de sécurité (39%), des questions d’image et de réputation vis-à-vis de tiers (34%), pour négocier une police de cyber-assurance (23%). Les apports des notations sont multiples, mais en premier elles accélèrent la maîtrise de sa surface exposée, tout en poussant à une plus grande réactivité.

Un marché sans foi, ni loi

Si les bénéfices existent, il n’en demeure pas moins que plusieurs axes d’amélioration sont souhaités. « Les notations actuelles représentent une vision partielle du niveau de sécurité de l’organisme », souligne le Cesin en réclamant le droit d’accéder à l’exhaustivité de ce qui est associé à la note. Par ailleurs, « les notes et leurs fluctuations ne sont qu’un faisceau d’indices sur le niveau de sécurité ». La question de la transparence est aussi mis en avant sur les algorithmes et les pondération. Des inquiétudes existent par ailleurs sur la distorsion de notation avec des risques de « manipulation » des scores. Le Cesin souligne résumé, « la façon dont ces notes sont conçues, délivrées et communiquées, nécessite de les prendre avec une certaine précaution » et plaide pour une contextualisation et un travail en commun avec les RSSI.

Fort des ces constats, l’association émet des recommandations pour structurer ce marché. Outre la transparence citée précédemment, elle plaide pour le développement d’agences de notation européennes. Une régulation est nécessaire sur le mandat donnée aux agences en leur interdisant la vente en parallèle de prestation visant à améliorer les scores obtenus.