Jusqu'où le cyber rating peut-il s'imposer dans l'assurance cyber ?

Les notations de cybersécurité vont-elles prendre autant d'importance que les notations financières dans les relations commerciales ? Alors que Bpifrance a lancé le 20 mars un "diagnostic de cybersécurité" pour les PME, et que le projet de décret sur le cyberscore, qui vise les plateformes grand public et doit entrer en vigueur en octobre 2023, a été mis en consultation le 22 mars, le "cyber rating" fait son bonhomme de chemin dans les entreprises.

Cyber rating : de quoi parle-t-on ?

Généralement, la notation cyber telle que pratiquée par les agences spécialisées fait référence à des pratiques de diagnostic automatisées et rapides, réalisées à partir de sources ouvertes et de manière non intrusive. Son objectif est de quantifier le risque cyber auquel sont exposées les organisations notées.

Les solutions proposées sur le marché scannent en continu les adresses IP exposées sur internet et produisent une note composée de différents paramètres (analyse des serveurs DNS, surface d'attaque, protocoles de messagerie, vulnérabilités et fréquence de patching, incidents de sécurité…).

Le cyber rating existe déjà depuis plusieurs années. Les agences les plus connues sont américaines, telles que Bitsight et Security Scorecard (dans laquelle a investi le groupe Axa), mais l'Europe est présente depuis que le français Cyrating a lancé sa solution en 2017. Le pionnier américain Cyence a été racheté la même année par Guidewire, qui fournit des logiciels aux assureurs. Ces solutions sont en effet utilisées notamment dans le cadre de la souscription d'assurances cyber. Mais elles peuvent l'être aussi dans le cadre d'un appel d’offres, d'une due diligence, ou pour obtenir un prêt.

Comment s'intègre le cyber rating dans l'assurance cyber ?

Pour l'agence de notation française Board of Cyber, "dans deux ou trois ans, le cyber rating sera devenu banal". Sa solution, initialement conçue en 2019 par la société de conseil en cybersécurité Almond (qui appartient au groupe français Hifield) pour répondre à un besoin de l'assureur Hiscox qui voulait mieux connaître le profil de risque de ses clients, a conduit au spin-off de la start-up en février 2022. Celle-ci emploie une vingtaine de personnes à Sèvres, dans le bâtiment de la ComCyber de la gendarmerie. Elle a réalisé un revenu annuel récurrent supérieur à 1 million d'euros.

Sa solution, qui coûte 1500 euros par an, est notamment utilisée par le courtier en assurances Bessé, Europ Assistance, Wakam, Groupama, AG2R La Mondiale, des fonds de private equity dont Ardian et Eurazeo pour leurs due diligences cyber, par LCL qui offre la notation cyber aux clients auxquels elle accorde des crédits, par des directions achats pour évaluer le risque fournisseur, par des commissaires aux comptes, et par la région Ile-de-France pour évaluer la cybersécurité de plus de 700 communes.

"Les assureurs utilisent le score comme premier filtre, après ils envoient des questionnaires", explique Luc Declerck, DG de Board of Cyber. "Le cyber rating n'est pas destiné à tout remplacer, il se situe sur une échelle entre un questionnaire et un pentest", témoignait Roger Francis, Managing Director de l'assureur CFC pour le cyber, lors d'une table ronde organisée par le site d'information spécialisé Intelligent Insurer en décembre 2022.

Généralement, les assurances se servent du cyber rating pour voir si le risque est assurable ou pas, mais pas pour déterminer le montant de la prime. "Les deux choses les plus importantes pour les souscripteurs, c'est d'obtenir une décision, et vite. Avoir une note cyber élevée peut vous faire passer en haut de la pile", avance Aaron Aanenson, senior director chez Bitsight.

Quelles sont les limites pour l'assurance ?

Le cyber rating n'est donc pas exempt de limites pour un usage dans l'assurance, même si le marché est en croissance. "La notion de rating est intéressante, utile, mais pas suffisante car elle ne résout rien. C'est juste une source d'information parmi d'autres", juge Luc Vignancour, responsable souscription cyber pour l'Europe chez Beazley, qui fait partie des trois premiers assureurs cyber en France, et dont l'assurance cyber représente plus de 20% de l'activité.

"Utiliser un rating, c'est extrêmement riche pour l'assuré. Cela va lui montrer ses faiblesses. C'est comme si en se promenant dans la rue, on voyait quelles maisons ont laissé la porte ouverte. Mais quand vous êtes assureur, votre vision des risques est différente. Une porte, qu'elle soit ouverte ou fermée, ne résistera jamais à une attaque. On ne peut pas en tirer une conclusion sur la qualité du risque. Tout dépend en fait de ce qu'il y a derrière la porte. Si c'est un mur… il n'y a pas de risque. Si c'est un coffre ouvert rempli de bijoux, même derrière une porte fermée, c'est une autre histoire", poursuit-il.

C'est pourquoi Beazley aura tendance à se focaliser sur les critères qu'il a lui-même identifiés comme critiques compte tenu de son expérience des sinistres. "Nous utilisons notre base de connaissances pour déterminer l'assurabilité du risque. Par exemple, nous avons constaté que quatre ports, utilisés par les entreprises pour se connecter à internet, sont systématiquement exploités par les pirates chaque fois qu'ils sont ouverts".

L'autre limite, c'est que les algorithmes de notation manquent de transparence, et que la notation n'est pas normée, ce qui rend les notes difficilement comparables entre elles car les raters n'utilisent pas tous les mêmes grilles. "Si la note est mauvaise chez l'un, elle sera mauvaise chez l'autre", assure cependant Luc Declerck.

Quelle efficacité sur la mesure du risque ?

Malgré ces écueils, le cyber rating démontre plusieurs cas d'usage pour les entreprises. D'une part, des entreprises l'utilisent en interne pour se situer par rapport à leurs pairs, ou encore convaincre leur board d'augmenter les budgets de cybersécurité. Une note et un benchmark sectoriel, comme en produit par exemple Board of Cyber, sont facilement appréhendables par les dirigeants.

D'autre part, il semble exister une vraie corrélation entre la note et la probabilité d'une faille de sécurité. D'après une étude réalisée par le courtier Marsh, qui s'est penchée sur les données de Bitsight, cette corrélation "est statistiquement significative". Board of Cyber, qui fournit ses propres analyses, a calculé que "la probabilité de subir une cyberattaque pour les entreprises notées moins de 500/1000 est cinq fois plus élevée que pour celles dont la note est supérieure à 750. Les cyberattaquants vont à la facilité. Or, ce que nous voyons, c'est ce que voit le cyberattaquant", indique Luc Declerck.

Cyber rating et cyberscore : quelles différences ?

L'indice de confiance qui sera proposé par le cyberscore diffère de ce qui est proposé par les agences de notation cyber, à en juger par les détails fournis dans le projet d'arrêté. Parmi les critères retenus figurent par exemple des éléments de souveraineté (hébergement des données en Europe, exposition à des législations à portée extraterritoriale…). Il s'en rapproche néanmoins car les audits, réalisés par des prestataires qui seront certifiés par l'Anssi, le seront uniquement "sur la base d’informations ouvertes, librement accessibles et de manière non intrusive". La notation cyberscore sera mise en place pour les plateformes et les réseaux sociaux de plus de 25 millions de visiteurs par mois.

Le scan externe comme outil de diagnostic rapide des risques de cyber se répand, cela ne fait pas de doute. Generali, par exemple, vient d'inclure un tel service, à fréquence trimestrielle, dans son offre d'assurance cyber pour les PME. Mais pour les entreprises, l'idéal reste une approche globale, combinant questionnaires, sondes, audits de sécurité et tests d'intrusion.

Sélectionné pour vous

8000 passeports publiés en ligne après une cyberattaque contre Voyageurs du monde

FranceConnect : 1400 adhérents de la MSA victimes d'une usurpation d'identité

CyberVadis lève 7 millions d'euros pour sa plateforme d’évaluation des risques cyber