Noter la cybersécurité des entreprises pour leur permettre de l’améliorer

Une organisation indépendante, première agence de notation en cybersécurité en Europe, a mené une évaluation approfondie des 600 plus importantes capitalisations boursières du Vieux continent. Elle révèle notamment que 10% des sociétés analysées hébergent des malwares, communiquent avec des réseaux de botnets ou ont fait l’objet de fuite de données. 


La cybersécurité est désormais un enjeu stratégique pour la gouvernance des entreprises et leurs conseils d’administration. Gérer les risques cybersécurité reste un immense défi pour les dirigeants qui disposent encore de peu de métriques et de comparables.

Dans le cadre du FIC, CYRATING, la 1ière agence de notation en cybersécurité établie en Europe, a présenté une étude qui portait sur les 600 plus importantes capitalisations boursières européennes et qui visait l’évaluation de leur performance cybersécurité. Pour chaque société, elle a regardé si la mise en œuvre des meilleures pratiques de cybersécurité reconnues par l’industrie était effective.

La première agence de notation en cybersécurité européenne

CYRATING est née de l’association de trois experts européens de la cybersécurité – Charles d’Aumale, François Gartiolet et Christophe Ternat. Le modèle d’agence de notation en cybersécurité existe déjà outre-Atlantique et vient répondre à un enjeu de confiance entre acteurs.  « La cybersécurité fait intervenir le conseil d’administration et de nombreuses fonctions au sein des organisations : la direction générale, la direction juridique, la direction des risques, la direction informatique, etc. Or, on constate une vraie difficulté de communication et de compréhension entre elles sur les enjeux de cybersécurité faute de vocabulaire commun et compréhensible par tous. De plus, les dirigeants ne disposent pas de données objectives pour évaluer et gérer leur performance cyber, se comparer et décider. L’accès à une note objective et actionnable apporte cette compréhension commune à tous », commente François Gratiolet.

CYRATING a développé une plateforme qui traite un ensemble de données observables visant à mettre en évidence les faits et les évènements liés à la cybersécurité des actifs des organisations, et les compare aux meilleures pratiques et standards en cybersécurité. Cette démarche permet de calculer des métriques dont la synthèse est matérialisée par une note.

Une note de 0 à 100

Tout ce processus est réalisé indépendamment de l’entreprise notée, et ne nécessite pas d’installation de logiciels ou matériels chez les clients. Cela veut dire que des milliers d’entreprises, d’administrations et de collectivités sont notées sans interaction avec ces dernières. Autrement dit, qu’elle l’ait demandé ou non, la cybersécurité d’une organisation peut être évaluée. La performance d’une société se matérialise donc sous la forme d’une notation comprise entre 0 et 100.  À travers cette approche, CYRATING entend participer à l’amélioration de la cybersécurité des organisations en Europe.

A l’occasion du FIC, dès lors, CYRATING a dévoilé son évaluation des 600 plus grandes capitalisations boursières européennes.

Premiers enseignements

 Ce benchmark met ainsi en exergue des disparités selon les pays et les secteurs d’activité :

  • La Suède, le Royaume-Uni et la France sont respectivement les pays avec les sociétés ayant obtenu les meilleures notations en cybersécurité.
  • Les sociétés des secteurs des ressources naturelles, de l’alimentation et des boissons, les services financiers, la chimie et la santé sont les plus performantes en cybersécurité.
  • La meilleure notation obtenue par une société est de 88, la notation moyenne étant de 70,4, la note médiane de 71,6.
  • 2% des sociétés atteignent une excellence opérationnelle en matière de protection de leur messagerie électronique.
  • 18% des sociétés protègent de manière efficace leurs noms de domaine.
  • 10% des sociétés analysées hébergent des malwares, communiquent avec des réseaux de botnets ou ont fait l’objet de fuite de données.

Pouvoir se comparer aux autres

Ces notations sont facilement compréhensibles de tous (comité exécutif, DSI et RSSI). Les dirigeants des entreprises et organismes publics peuvent ainsi comparer leur organisation avec les plus performantes, et identifier les meilleures pratiques à mettre en œuvre afin d’améliorer leur efficacité cybersécurité.

Concernant la messagerie électronique et les noms de domaine, CYRATING préconise un retour aux fondamentaux de cybersécurité, comme par exemple la mise en place de SPF (Sender Policy Framework) qui est un système de validation du courrier électronique pour limiter l’usurpation d’emails, ou de DNSSEC (Domain Name System Security Extensions) pour protéger les marques. « Ces mesures « d’hygiène » peuvent être, la plupart du temps, déployées à moindre effort », précise l’agence de notation.