Le cyber rating est une pratique de notation des entreprises portant sur des critères de cybersécurité, réalisée par des agences spécialisées à la manière des agences de notation financière.
Un marché en croissance, qui compte notamment des clients dans le secteur de l’assurance. Generali vient d’ailleurs de lancer un diagnostic trimestriel sur les failles de sécurité potentielles.
En France, près de la moitié des entreprises ont été victimes d’une cyberattaque en 2022, selon le baromètre du CESIN. Un risque de faillite pour les PME. Pourtant, peu de PME bénéficient d’une assurance contre les risques cyber.
Un sujet d’actualité. Bpifrance a ainsi lancé le 20 mars un « diagnostic de cybersécurité » pour les PME, tandis que le projet de décret sur le cyberscore, qui vise les plateformes grand public et doit entrer en vigueur en octobre 2023, a été mis en consultation le 22 mars.
Diagnostics automatisés et rapides
La nouvelle tendance réside dans la notation de la cybersécurité par des agences spécialisées. Le cyber rating, qui existe depuis plusieurs années, pourrait bientôt revêtir autant d’importance que les notations financières dans les relations commerciales.
Généralement, la notation cyber telle que pratiquée par les agences spécialisées fait référence à des pratiques de diagnostic automatisées et rapides, réalisées à partir de sources ouvertes et de manière non intrusive. Son objectif est de quantifier le risque cyber auquel sont exposées les organisations notées. Les solutions proposées sur le marché scannent en continu les adresses IP exposées sur internet et produisent une note composée de différents paramètres (analyse des serveurs DNS, surface d’attaque, protocoles de messagerie, vulnérabilités et fréquence de patching, incidents de sécurité…), explique L’Usine digitale.
Le cyber rating existe déjà depuis plusieurs années. Les agences les plus connues sont américaines, telles que Bitsight et Security Scorecard, dans laquelle a investi le groupe Axa. L’Europe est présente depuis que le français Cyrating a lancé sa solution en 2017. Le pionnier américain Cyence a été racheté la même année par Guidewire, qui fournit des logiciels aux assureurs.
Un scan technique pour les clients Generali
La cyber sécurité est un sujet qui passionne les assureurs. Generali a ainsi lancé, début avril, un service de scan technique externe d’exposition sur Internet, offert à l’ensemble de ses clients Generali Protection Numérique (GPN).
Ce diagnostic permet aux entreprises de recevoir chaque trimestre un rapport sur les failles de sécurité potentielles de leur système informatique en termes de cybersécurité et des conseils pour limiter les risques identifiés. Chaque scan technique est composé d’un diagnostic technique de l’exposition sur internet de l’entreprise : sites et ressources visibles depuis l’extérieur tels que emails, mots de passe, points d’accès…
Chaque rapport trimestriel détaille les failles potentielles de cybersécurité et fournit des recommandations sous forme de bonnes pratiques pour limiter les risques en cas de cyberattaques.
L’analyse et les conseils sont structurés au sein de trois sections : les vulnérabilités en termes de surface d’attaque (sous-domaines exposés et les vulnérabilités des adresses IP ayant des ports ouverts) ; les vulnérabilités détectées par sous-domaines ainsi que les mots de passe fuités avec les adresses mail de l’entreprise trouvées sur le dark web. « Face à un risque de plus en plus omniprésent, s’assurer contre les cyberattaques doit devenir aussi naturel pour une entreprise que de s’assurer contre les incendies » commente Bernard Duterque, directeur de la souscription des risques spécialisés chez Generali. « Nos clients disposent avec ce nouveau scan trimestriel d’un outil supplémentaire gratuit pour identifier les failles de cybersécurité et mettre en place les mesures correctives. »
Sources : site Internet du ministère de l’Économie, communiqué de presse Generali, articles de presse donc celui de L’Usine digitale