Cyber rating, quels enjeux pour les entreprises ?

Si cette démarche interroge, notamment de la part d’un gouvernement faisant peu de cas des libertés individuelles, elle illustre deux tendances majeures, susceptibles de nous éclairer sur les implications d’un tout autre type de notation, le Cyber rating :

• Les individus et les acteurs économiques cherchent à réinjecter de la confiance dans leurs relations avec leurs parties prenantes (partenaires commerciaux, fournisseurs de services, sous-traitants…). L’établissement d’une note constitue de fait un outil d’aide à la décision, permettant d’évaluer le niveau de risque attaché à un acteur ou à une transaction.
• Ces «notes » investissent l’ensemble des domaines : financière, environnementale, éthique, sociale ou hôtelière… A chaque domaine d’activité ou à chaque problématique correspond désormais une note…

Le rating, un outil d’aide à la décision bien connu des acteurs financiers

Les mécanismes de notation financière et extra financière constituent un outil privilégié pour les décideurs économiques et les institutions financières, car elles permettent de rapidement se faire une idée claire du profil de risques d’une organisation ou d’un individu. Ces indicateurs, véritables outils de prise de décision, sont particulièrement développés aux Etats-Unis et intéressent tout particulièrement les organismes de crédit, les banques et les assurances, qui se focalisent sur le risque. Ainsi, les scores FICO relatifs aux profils de crédit des particuliers et les notes attribuées par les trois grandes agences de notation (Standard & Poor’s, Fitch et Moody’s) aux Etats, aux entreprises et aux institutions financières sont devenues incontournables. Ces notes sont donc susceptibles de d’avoir des conséquences lourdes pour les acteurs concernés : souvenez-vous donc du AAA de la France, érigé au rang de trésor national par plusieurs dirigeants politiques… et des conséquences que la dégradation d’une note portant sur une dette souveraine peut avoir auprès des investisseurs. N’oublions pas non plus les scandales réguliers liés à la gestion des scores FICO de plusieurs centaines de milliers de particuliers aux Etats-Unis : du fait d’usurpations d’identité, d’approximations des opérateurs ou d’une erreur de calcul, plusieurs milliers de personnes se voient du jour au lendemain refuser le rééchelonnement de leur crédit ou subissent une augmentation de leurs mensualités sans raison valable… et sans recours.

Une prise en compte progressive des différentes composantes de la «valeur » d’une entreprise (+ question de l’affichage…)

Au fur et à mesure que les questions de valorisation financière ont englobé de nouvelles problématiques, de nouveaux outils de notation ont progressivement inclus des sujets nouveaux : le questionnaire DJSI[1] et plusieurs certifications RSE ont été conçus dans le but d’intégrer les enjeux RSE, RH et éthiques dans la valorisation des entreprises, voire même dans le calcul de produits financiers. A ce titre, la pratique du « name and shame » (ou nommer pour punir) est susceptible d’impacter négativement l’image, voire l’activité de certaines entreprises. Il n’y a qu’à voir la multiplication ces dernières années de scandales sociaux, environnementaux ou liés à une chaine d’approvisionnement faisant appel au travail des enfants, pour ne citer que quelques cas emblématiques. Mais se pose alors la question de l’affichage : certaines entreprises peuvent détourner certaines de ces notes de leur but premier.

• Au lieu d’intégrer durablement ces problématiques au cœur de leur business, certaines pourraient être tentées gonfler leur résultat en limitant autant que possible leur effort, notamment en jouant sur les critères de notation les plus significatifs ou en jouant sur les pondérations des différents critères.

Ainsi, en matière RSE, certaines certifications ou « notes » de bonne conduite peuvent dépendre en grande partie du volume d’informations déclaré à l’organisme de certification, aux dépens du volet qualitatif.

• D’autres encore ne nécessitent qu’un engagement écrit de l’entreprise, sans avoir à déployer de plans d’action en faveur de la RSE…
• Enfin, la multiplication des indices de référence illustre que les problématiques de rating sont souvent complexes à gérer pour les organisations : les critères pris en compte dans un questionnaire DJSI ne recoupent pas exactement ceux du FTSE4Good ou d’Ecovadis…

Ainsi, même vertueuse, une entreprise peut rencontrer des difficultés quand il s’agit de s’aligner sur des standards étrangers, basés sur des critères différents et parfois peu lisibles. Définir une stratégie de rating devient donc, pour plusieurs organisations, une réelle nécessité.

Cyber rating: un simple effet de mode ou une lame de fond qui ne dit pas son nom ?

Depuis quelques années, ainsi que l’illustrent les rapports successifs du Forum Economique de Davos, les problématiques liées aux risques cyber figurent régulièrement dans le top 5 des menaces les plus importantes pour la stabilité de l’économie mondiale, aux côtés des risques climatiques. Les cyberattaques massives qui ont émaillé ces dernières années (Airbus, Altran, Bank Of Bangladesh, Equifax, Marriott, NotPetya, Wannacry…) ont fait prendre conscience aux investisseurs et aux professionnels du risque, de la finance et de l’assurance, de l’importance d’intégrer la cybersécurité dans la valorisation des actifs des entreprises et dans l’estimation des risques. Ce sujet est donc particulièrement lié à l’émergence du marché de la cyberassurance et aux moyens d’évaluer le risque cyber de chaque organisation… C’est dans ce contexte qu’émergent depuis quelques années des solutions de cyber rating, qui proposent de noter le degré de maturité des entreprises face aux risques cyber.

• Il ne s’agit pas d’un audit de sécurité exhaustif, mais d’une étude basée sur des méthodes de mesure utilisant des informations librement accessibles, telles que la vulnérabilité des applications web, la réputation des adresses IP, les configurations DNS, la sécurisation des noms de domaines et des protocoles e-mail… Il convient donc d’étudier minutieusement la pertinence de cette note et de bien saisir ses modalités de calcul.

Standard and Poor’s et Moody’s ont d’ailleurs annoncé publiquement ces dernières mois leur intention d’intégrer la cybersécurité dans la définition des profils de risques de crédit des entreprises. FICO, l’organisme spécialisé dans la définition des profils de risque financier des contribuables américains, s’est quant à lui déjà positionné sur le marché et propose une solution de Cyber rating, aux côtés des pure players et actuels leaders du marché : BitSight, Riskrecon, SecurityScorecard et Prevalent.

Un premier cas d’école et quelques pistes de réflexion

En septembre 2017, la société Equifax, spécialisée dans les risques de crédit, a été victime d’une cyberattaque massive concernant plus de 140 millions de clients. La vulnérabilité qui a permis cette attaque a été causée par une erreur humaine : une application web n’a pas été patchée, malgré une mise à jour disponible depuis 2 mois. Le gros problème concerne la manière dont Equifax a géré la crise… et son Cyber rating. En effet, mis à part le fait que la société a géré la crise de manière déplorable, Equifax avait fait l’objet d’une notation de Cyber rating par le leader en la matière, BitSight. Or, l’entreprise avait obtenu des notes exécrables[2] en matière de sécurité applicative (F) et de réactivité dans l’application des correctifs de sécurité (D)… Les solutions de Cyber rating posent donc plusieurs questions, d’autant plus que les éditeurs n’ont pas besoin du consentement des organisations pour établir leur note. Certaines entreprises pourraient par exemple subir un effet « benchmark » négatif. Il semble donc nécessaire d’établir des stratégies permettant de maitriser au mieux l’impact de ces outils pour les entreprises, d’autant plus que ces solutions de cyber rating constituent une solution d’avenir, qui a de grandes chances d’être utilisée à grande échelle à court-terme. Un autre sujet concerne les applications opérationnelles de ces outils. Il est ainsi possible d’imaginer des cas d’usage permettant de mieux cibler les potentiels partenaires externes pour éviter autant que possible les risques de compromission du SI ou de cyberattaques via un sous-traitant. Ces notes pourraient aussi constituer une base d’analyse pour la souscription d’assurances cyber ou un investissement dans un nouveau pays. On peut aussi légitimement se demander si ces notes ne pourraient pas aider d’éventuels attaquants dans leur phase d’observation et de planification d’une attaque en leur prémâchant le travail de reconnaissance… Il est donc urgent d’anticiper pour ne pas se retrouver sur la touche : en matière de notation, la position de leader est toujours plus confortable que celle de suiveur car elle permet de disposer d’un avantage concurrentiel non négligeable et d’aborder sereinement les nouvelles problématiques, en prenant de l’avance sur les exigences réglementaires et la concurrence. Or, il y a fort à parier que les régulateurs du secteur financier vont se saisir de ces problématiques, ne serait-ce que pour labelliser certains prestataires de services ou, à terme, appliquer des régimes de sanctions aux organisations financières les plus mal notées… Enfin, les éditeurs –majoritairement anglosaxons- travailleraient sur des solutions complètes permettant à terme d’intégrer dans leur calcul des informations internes sur le SI des entreprises. La question de la prise en compte des éventuels risques juridiques (extraterritorialité du droit américain en matière de gestion des données, régimes de sanctions internationales…) pourrait éventuellement se poser, tout comme celle de la captation de ce marché par des sociétés américaines, qui mènerait à un affaiblissement de l’initiative normative et réglementaire des acteurs européens. Or, tout comme certains citoyens chinois ont drastiquement modifié leur comportement sur la route suite au déploiement du « crédit social », les entreprises européennes pourraient à terme être forcées de conduire leur activité en se basant sur un code de la route élaboré de l’autre côté de l’Atlantique. Toute ressemblance avec des empoignades passées en matière de standards, au premier rang desquels figurent les normes comptables IAS/IFRS fixées au tournant des années 2000, devrait nous amener à nous pencher de manière urgente sur ce sujet… [1] Dow Jones Sustainability Index [2] Les notes BitSight s’échelonnent de A (Excellent) à F (Très mauvais). L’entreprise propose des indicateurs centrés autour des cinq fonctions de sécurité présentées dans le référentiel NIST (identifier, protéger, détecter, réagir et récupérer).