La cybersécurité n’est plus réservée aux experts

10 janvier 2019

Rencontre avec Christophe Ternat, fondateur de la start-up Cyrating, la première agence française de notation des entreprises en cybersécurité.

Aucune obligation légale… mais des réglementations qui se multiplient à l’échelle nationale et européenne : c’est le paradoxe auxquelles sont confrontées les entreprises en terme de protection des données et de cybersécurité. Pour y répondre, Christophe Ternat a fondé Cyrating, la première agence française de notation en cybersécurité – également la seule agence non anglo-saxonne à figurer dans le dernier top 10 international établi par le cabinet Gartner (cocorico).

« Les entreprises consacrent beaucoup de temps à répondre aux réglementations, non alignées les unes avec les autres. L’idée était d’homogénéiser les critères, explique Christophe Ternat. Nous avons monté une agence de notation afin de noter toutes les entreprises de la même manière et de fournir des comparables avec des indicateurs objectifs. » Pour établir ses notations en toute indépendance, Cyrating s’appuie uniquement sur les données accessibles publiquement, sans prendre contact avec les entreprises, à la différence des agences de notation financières.

2000 entreprises réévaluées chaque semaine

Chaque évaluation délivrée par l’agence s’articule autour de deux piliers : une note de conformité aux bonnes pratiques basée sur une cinquantaine de critères et une note de réputation qui repose sur une vingtaine d’indicateurs. La note de conformité s’attache avant tout à la finalité des processus : « Nous n’avons pas accès aux sociétés en interne et nous nous intéressons donc assez peu aux processus mis en œuvre. A la place, nous cherchons à savoir si en bout de chaîne, les bonnes mesures de sécurité sont mise en place et si ces processus sont bien efficients », explique l’ancien auditeur. La note de réputation évalue la réputation du système d’information utilisé vis-à-vis de ses concurrents, notamment sa propension à héberger des malwares ou propager des spams.

Les deux notes sont pondérées équitablement, à la différence d’agences de notation anglo-saxonnes qui tendent à accorder plus d’importance à la réputation du système. 2000 entreprises référencées sont évaluées chaque semaine par Cyrating. Celles qui ne le sont pas encore peuvent faire la demande à tout moment : il suffit de quelques minutes pour indexer une nouvelle société – quelques heures à peine s’il s’agit d’un grand groupe. « Notre processus est automatisé, il donc scalable et objectif, à la différence des questionnaires que les sociétés envoient parfois à leurs prestataires dans le cadre de la gestion des risques fournisseurs, moins fiables et très longs à collecter et consolider. »

Une innovation d’usage

Les notations sont accessibles aux entreprises par la voie d’un abonnement annuel (pour celles qui souhaitent suivre les tendances) ou plus ponctuel, notamment pour un besoin précis dans le cadre d’un appel d’offre. Les entreprises peuvent ainsi évaluer la sécurité de leurs partenaires et fournisseurs, mais aussi de leurs filiales ou de leurs concurrents, voire la leur propre : « Doctolib nous a ainsi contacté car elle souhaitait obtenir sa note pour se positionner dans le secteur de la santé. Elle l’a ensuite utilisée comme avantage compétitif pour adresser ses clients, particulièrement sensibles aux questions de cybersécurité. »

Christophe Ternat

Cyrating œuvre sur un périmètre international, d’abord pour répondre aux besoins des grands groupes qui travaillent avec le monde entier, mais aussi pour promouvoir une certaine voix européenne sur le marché mondial de la cybersécurité. Dans un livre blanc publié le 15 mars 2018, le Secrétariat général de la défense et de la sécurité nationale (SGDSN) insistait ainsi sur la nécessité d’une stratégie de cyberdéfense française et européenne en soutenant notamment l’apparition d’acteurs nationaux ou européens de notation cyber. « Nous existons également pour éviter à terme de ne se faire noter que par certaines nations, avec les risques de perception biaisées que cela comporte », conclut Christophe Ternat. »

La rédaction HOW

par L'ADN

Linkedin

A lire aussi

La communauté des leaders de l'innovation

Innovating in good company

Rejoignez-nous