Entre clair-obscur et boîte noire : la notation cyber décryptée

Le dynamisme depuis une décennie du marché de la notation cyber répond à une demande liée aux assureurs, aux contrats de sous-traitance et à la volonté d’entreprises de prendre connaissance de leurs propres faiblesses. L’émergence de ce marché, se caractérisant généralement par un principe d’émetteur-payeur, soulève des préoccupations importantes, concernant notamment l’impartialité des acteurs et la fiabilité des méthodes d’évaluation.

L’oligopole actuel en matière de cyber rating n’est pas sans rappeler celui des agences de notation à l’aune de la crise financière de 2007-2008, avec une domination d’agences anglo-saxonnes reposant en partie sur le volume de données qu’elles avaient pu constituer au travers des années.

Alors que le CESIN a souligné dans un ‘position paper’ en juin dernier qu’une entreprise peut « présenter une façade de sécurité trompeuse avec une note satisfaisante, quand bien même ses fondamentaux de sécurité ne sont pas respectés », il apparaît nécessaire d’agir pour labelliser ou normaliser la notation cyber et d’en profiter pour lutter contre l’hégémonie d’acteurs non européens.

Comment mettre fin à l’oligopole des agences de rating américaines ? Comment diminuer le coût d’entrée sur ce marché, pour permettre l’essor d’une alternative européenne d’envergure ? Est-il envisageable de généraliser des systèmes d’abonnement dans lequel les utilisateurs n’achètent plus directement leur note mais celle des autres acteurs à des fins de comparaison ?

Comment améliorer les méthodes de collecte des algorithmes et la transparence de ces derniers ? Quelle méthode pour éviter que la notation ne soit altérée par des faux positifs ?

Allez à la source