Security Rating, prévention cyber
Disponibilité au Luxembourg de Security Rating. Signée Board of Cyber, cette solution en mode SaaS permet de noter le risque cyber d’une organisation, mais aussi de l’aider à s’améliorer.
« Demain, estime Luc Declerck, Managing Director, Board of Cyber, les notations de cybersécurité pourraient devenir la norme. »
Noter est la première fonction de Security Rating, solution qui a pour vocation d’accompagner les entreprises dans leur prévention cyber, notamment par la mise en lumière de leurs vulnérabilités grâce à une cartographie des risques digitaux. Autres fonctions : piloter et améliorer. « Security Rating permet d’évaluer son propre niveau de sécurité cyber, ainsi que celui de ses fournisseurs ou partenaires », commente Luc Declerck. Au Luxembourg, la solution est aujourd’hui distribuée par YeS Sales & Management.
Proposée en mode SaaS, Security Rating procède à « une analyse non-intrusive sur la surface Internet de l’entreprise. Cette vue externe du système d’information détermine comment les investisseurs et les partenaires voient l’entreprise comme contributeur d’un risque. » Le logiciel passe en revue la surface d’attaque, les vulnérabilités, les messageries. Il mène des contrôles de sécurité et surveille en continu le temps de résolution des incidents de sécurité découverts. Automatisé, le dispositif est mis à jour quotidiennement.
Evaluer la posture cybersécurité d’un prospect
Cette méthode d’analyse en fait un outil commercial de premier plan. « Security Rating permet aux assureurs et aux courtiers d’évaluer la posture cybersécurité d’un prospect. Idem pour les banquiers, dans la négociation d’un emprunt par exemple. De son côté, le directeur des achats connaitra mieux ses futurs fournisseurs avant de s’engager… Avant même le premier rendez-vous, ces dirigeants auront une vue de la performance cyber de l’entreprise en question. Ils sauront où sont les points d’amélioration. »
Parmi ses 150 clients, tous secteurs confondus, Board of Cyber compte aujourd’hui une douzaine de fonds d’investissement. La solution leur permet d’évaluer la qualité de leur portefeuille cyber. Egalement de le comparer de façon sectorielle à d’autres entreprises. « Non seulement le risque cyber peut mener à la destruction potentielle de données, mais aussi à la destruction de valeur », illustre Luc Declerck.
Pour une PME, Security Rating remonte en moyenne 50 à 200 actifs sur Internet, soit autant de cibles pour des vulnérabilités potentielles. Cette évaluation s’accompagne de recommandations précises qui permettent de corriger rapidement sans attendre les 205 jours de délai moyen de correction des « vulnérabilités critiques » (rapport 2021 du WhiteHat Security). « A l’aide de nos informations à forte valeur ajoutée, une entreprise mettra en place une véritable stratégie de cybersécurité, formera ses équipes et communiquera sur sa cyber résilience. Elle évoluera ainsi dans un écosystème de confiance. » De là, aussi, l’intérêt des commissaires aux comptes pour la solution.
Montrer patte blanche
65% des entreprises, au niveau mondial, ont signalé une hausse du nombre d’attaques cyber pendant la pandémie, révèle une étude de la plateforme Splunk. Depuis, ce pourcentage reste constant. Et pourrait encore évoluer en raison du conflit entre l’Ukraine et la Russie.
Il y a les dégâts immédiats -pertes de données, rançon à payer, serveurs à sécuriser… et il y a les autres. En particulier la perte de business potentiel. « Pour gagner des appels d’offres ou trouver de nouveaux partenaires, il est impératif de montrer patte blanche en matière de cybersécurité. »
Avant de travailler avec un prestataire, un grand groupe va s’assurer que celui-ci a une bonne posture cyber. « C’est logique, explique Luc Declerck. Si un fournisseur est mal protégé et qu’une cyberattaque bloque sa chaîne de production, par exemple, cela peut impacter directement le chiffre d’affaires de son client. » Et de comparer le phénomène à celui des performances RSE. « Aujourd’hui, une entreprise qui se revendique B-Corp espère augmenter son chiffre d’affaires pour gagner plus d’appels d’offres. C’est la même chose en matière de cybersécurité, tout le monde a besoin d’être rassuré ! »
Pertes de financement
Au Luxembourg, YeS Sales & Management sensibilisera autant les entreprises du secteur financier que les PME. « Le risque cyber devient un risque financier à part entière. Les sociétés de taille moyenne sont les plus menacées. Elles peuvent voir leur capacité de remboursement sensiblement impactée. »
Board of Cyber a d’ailleurs constaté que le Comex s’est réapproprié le risque cyber. La force de Security Rating est de l’avoir rendu lisible, compréhensible. Qui plus est, il est disponible en continu. A contrario, il ne s’agit nullement d’un audit. Board of Cyber n’offre pas de remédiation. YeS Sales & Management peut donc proposer ses services de CISO-as-a-Service ou de SOC-as-a-Service. Les premières entreprises approchées l’ont bien compris. Toutes comptent faire de la solution un avantage compétitif, un outil pour accroître le taux de transformations de deals…