Le cyber rating, qui consiste à attribuer une note aux entreprises sur des critères de cybersécurité, se développe rapidement en France. Il est notamment utilisé par les assureurs, et dans le cadre des contrats de sous-traitance. Cependant, l'un des problèmes rencontrés sur ce nouveau marché est qu'il n'existe pas de référentiel commun permettant aux clients ou aux entreprises évaluées de s'assurer de la fiabilité, de la comparabilité et de l'impartialité de ces notations.
Le Club des Experts de la Sécurité de l'Information et du Numérique (Cesin) a pris position le 19 juin pour demander "une transparence totale des méthodes et algorithmes des agences de notation cyber, et le développement de leaders européens".
Avoir conscience des limites du cyber rating
L’association souligne "l’absence de méthode et de référentiel partagés", et regrette qu'aujourd'hui "n’importe quel acteur se réclamant du cyber rating, peut à tout moment évaluer la cybersécurité d’une organisation sans la prévenir et sur un périmètre non vérifié". Elle estime également qu'une entreprise "pourra présenter une façade de sécurité trompeuse avec une note satisfaisante quand bien même ses fondamentaux de sécurité ne sont pas respectés".
Le Cesin suggère donc de mettre au point un référentiel, "sur la base de méthodes et critères reflétant fidèlement et de façon reproductible le niveau de maturité des organisations", ainsi que "la mise en œuvre de normes et mesures standardisées, de manière à rationaliser la communication auprès des comités exécutifs et conseils d'administration, et en vue de favoriser le développement de sociétés de cyber rating en Europe".
"Il est important que les méthodes de calcul de scores soient partagées en toute transparence, et que l’on ait conscience des limites de ces évaluations menées de l’extérieur, ceci afin que ces systèmes de notation ne détournent pas les organisations de la mise en place de mesures moins visibles, donc moins payantes en terme de note, et pourtant essentielles en terme de défense", déclare dans un communiqué Mylène Jarossay, chief information security officer de LVMH et présidente du Cesin.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
