La cyber-notation dans l'arsenal d'évaluation Cybersécurité

A l’heure de la fragmentation des Systèmes d’Information, un défi majeur posé aux RSSI est la capacité à évaluer rapidement et en continu les risques Cybersécurité de leurs partenaires. Cet article montre comment la cyber-notation vient renforcer l’arsenal des outils disponibles pour faire face à cet enjeu.

La démultiplication des fournisseurs et sous-traitants

Comme le partage régulièrement l’ANSSI depuis quelque années, l’amélioration de la défense des sociétés et des groupes les plus importants a pour conséquence l’augmentation majeure des cyberattaques indirectes, via les fournisseurs et sous-traitants, dont le nombre ne cesse de croître au fil de la numérisation des services des entreprises.

Pour piloter ce risque, les RSSI doivent donc démultiplier les évaluations et les contrôles sur les tiers, dans un contexte où les ressources disponibles en Cybersécurité, qu’elles soient internes ou externes, manquent souvent à l’appel et sont particulièrement coûteuses.

Une stratégie adaptée aux enjeux

Dans l’arsenal des réponses possibles, une stratégie de plus en plus partagée consiste à catégoriser les fournisseurs en différents niveaux, selon les risques métiers identifiés, puis à adapter selon cette classification les méthodes d’évaluation à mettre en oeuvre. Ainsi en témoignait le RSSI d’un organisme bancaire de premier plan, partageant son approche que l’on peut nommer la méthode “10, 100, 1000” :

• Pour les 10 fournisseurs les plus critiques, des audits approfondis traditionnels sont réalisés à intervalle fréquent par les équipes internes, ou par le recours à des auditeurs externes ; méthode coûteuse mais permettant une couverture des risques large et approfondie ;
• Pour les 100 fournisseurs suivants, une approche basée sur des questionnaires de Cybersécurité est utilisée avec une fréquence moindre ; moins coûteuse, souvent plus déclarative que basée sur des preuves, elle permet de capter des informations sur l’organisation et les processus déployés ;
• Et enfin, pour l’ensemble des fournisseurs, l’évaluation est mise en oeuvre via une solution de cyber-notation externe, permettant d’obtenir une vue immédiate et continue de risques de Cybersécurité, avec la possibilité d’engager de façon judicieuse un dialogue ou un audit avec le tiers, notamment si la note se dégrade durant la durée de la relation contractuelle.

La visibilité immédiate, la démarche en contrôle continu et le coût maîtrisé de l’automatisation de l’évaluation de la cybersécurité et de sa déclinaison via la cyber-notation externe apportent ainsi une réponse adaptée aux enjeux des RSSI pour faire face à la démultiplication des fournisseurs et sous-traitants.