Lorsqu’une entreprise est victime d’une attaque informatique, les conséquences peuvent être extrêmement importantes. Conséquences en terme de bon fonctionnement de l’entreprise, d’éventuelles pertes financières mais aussi en terme de perte d’image et de réputation, ce qui peut se révéler désastreux pour la crédibilité de l’entreprise.

Pendant de nombreuses années, la sécurité informatique n’était pas l’un des principaux critères de choix au moment de sélectionner un prestataire ou un partenaire.
Aujourd’hui les conséquences des attaques informatiques sont telles que désormais la question commence à se poser. Que ce soit vis-à-vis des clients, des consommateurs ou des partenaires, la solidité d’une entreprise et sa capacité à délivrer un service de qualité est de plus en plus évaluée au regard de sa fiabilité en matière de sécurité informatique.

Dans cet article, nous allons nous pencher sur cette nouvelle tendance, avec un focus sur la notion de “cyber sécurité rating”, une nouvelle méthode de notation des entreprises.

La sécurité informatique d’un produit en tant que critères d’achat

Et si la sécurité informatique d’une entreprise commençait avec les achats du quotidien ? On se rappelle de l’attaque qui a frappé le fournisseur de service DNS Dyn en 2016, provoquant la mise hors ligne de nombreux sites internet américains pendant près de 11h. C’était une attaque d’un nouveau genre qui avait été mené avec l’infection et la prise de contrôle de plusieurs centaines de milliers d’objets connectés.

Des attaques de ce type peuvent se produire à n’importe quel moment, pour la simple et bonne raison que nous ne sommes pas assez exigeants concernant le niveau de sécurité des objets connectés que nous utilisons. Par exemple, en février 2017, un lycéen britannique avait très facilement piraté 158 000 imprimantes connectées. Une attaque à vocation pédagogique puisqu’elle avait selon lui, pour objectif, de mettre en avant le manque de fiabilité de nos objets connectés en matière de sécurité informatique.

On peut légitimement supposer que ces cas de piratages vont se multiplier, pour la simple et bonne raison que lorsqu’on achète une imprimante pour son entreprise, ou tout autre objet du quotidien, qu’il soit personnel ou professionnel, notre premier critère de choix n’est pas le degré de sécurité informatique de l’objet en question. Mettre ce genre de considérations au premier plan nécessite une prise de conscience, mais au fur et à mesure que les incidents se multiplieront, il y a de fortes chances pour que les critères d’achat des consommateurs ou des acheteurs des entreprises changent pour se focaliser sur cette notion de sécurité informatique.

Sécurité informatique de l’entreprise et atteinte à la réputation

Alors qu’une majeure partie des processus de nos vies professionnelles et de nos vie privée sont numérisés, les risques inhérents à la sécurité informatique nous obligent à repenser et à reconstruire nos valeurs. La notion qui est en jeu, c’est la notion de confiance numérique, c’est-à-dire la confiance que l’on peut avoir dans la capacité de l’entreprise à prévenir les attaques informatiques mais aussi et surtout à pouvoir apporter des solutions fiables et rapides en cas d’incident et à rester résiliente face à ce type de situation.

Il est également possible de parler de la réputation globale de l’entreprise, mise à mal dès lors qu’un incident vient à la connaissance publique. Il est facile de trouver des chiffres sur la crainte qu’ont les dirigeants ou des DSI d’être impactés sur la réputation de leur entreprise pour un problème de sécurité informatique. Ainsi, selon un rapport intitulé “The Chief Information Security Officer Survey 2018” et publié par Kaperky, 28% des répondants nomment le préjudice de notoriété comme étant la conséquence la plus grave d’une attaque informatique.

Il est facile également de trouver des chiffres sur les probabilités pour une entreprise de faire faillite suite à une perte de données. En 2016, la CCI Occitanie a révélé que 60% des PME/PMI impactées par les cyberattaques mettaient la clé sous la porte à court terme.

Mais les études impliquant une relation de cause à effet entre perte de réputation et incident informatique manquent, même s’il est facile d’évaluer, de façon pragmatique, qu’un incident informatique est ponctuel, et résolu plus ou moins rapidement, tandis que l’impact sur la notoriété, auprès des clients, mais aussi, auprès des partenaires et des fournisseurs, perdure dans le temps et est difficile à améliorer.

Une nouvelle cote pour les entreprises : le “cyber security rating”

Ainsi, c’est de façon presque naturelle, dans l’inconscient collectif, que la sécurité informatique devient un critère de confiance, de référence et de légitimité pour les entreprises, quel que soit leur domaine. Et lorsque les enjeux financiers sont importants, il s’agit même d’une condition sine-qua non à toute collaboration ou partenariat.

C’est ainsi que se sont développées des entreprises de “notation” du degré de sécurité informatique. On les appelle également des entreprises de “cyber security rating”. Ces entreprises ont pour mission d’établir une “cote de sécurité” permettant de déterminer pour une entité donnée un degré de performance en matière de sécurité informatique. Cette information est ainsi disponible à l’achat pour tout un chacun, futurs investisseurs ou partenaires par exemple.

Cette cote de sécurité à la particularité d’être établie uniquement avec des informations disponibles publiquement. Ainsi, sont analysés :

  • les actifs techniques publics de l’entreprise (IP publiques, noms de domaines, sites web…)
  • toutes informations disponibles publiquement concernant ces actifs techniques pour relever des traces de compromissions ou d’activités malveillantes.

Sur la base de ces données, et d’un certain nombre de pondérations (par exemple, la réactivité de l’entreprise ou sa capacité à régler les problèmes), un algorithme établit une note qui constitue le cyber sécurité rating.
L’activité est jeune, mais il existe un marché potentiel, et on peut citer en exemple l’entreprise BitSight située à Boston, qui possède 1 500 clients dans le monde et 140 000 entreprises mappées à ce jour.

La sécurité informatique en tant que critère d’évaluation des entreprises, une tendance à suivre ou déjà dans l’air du temps ? N’hésitez pas à nous communiquer votre opinion ou votre analyse en utilisant les commentaires en bas d’article !