Luc Declerck : "Évaluer sa sécurité informatique va devenir une norme"

INTERVIEW – Luc Declerck, managing director de Board of Cyber, explique à News Assurances Pro comment à l’avenir, l’évaluation du niveau de sécurité informatique des entreprises et de leurs partenaires va devenir cruciale, notamment dans la souscription de produits d’assurance cyber. Surtout, il explique comment les notations de cybersécurité pourraient devenir la norme.

Qui est Board of Cyber ?

Board of Cyber est un éditeur SaaS – spin-off de la société de conseil en cybersécurité Almond (groupe Hifield) – qui propose une solution automatisée de « security rating ». Il s'agit d'une notation qui permet d’évaluer le profil de risque des entreprises en matière de sécurité informatique.

Nous avons aujourd’hui une centaine de clients en portefeuille pour un chiffre d’affaires qui avoisine 1,5M d’euros. Près de 25.000 entreprises ont été évaluées avec notre solution depuis notre lancement il y a un an et demi et nous sommes en train de négocier de nouveaux partenariats en Belgique, en Italie, en Suisse ou au Luxembourg. Nous regardons également comment opérer en Irlande, en Angleterre, à Singapour, dans les pays nordiques ainsi qu’aux Émirats arabes unis.

Qui sont vos clients aujourd’hui ?

Les conditions d’assurance sur le risque cyber se sont durcies ces derniers temps et les assureurs font aujourd’hui appel à des outils de « rating », notamment auprès d’organismes de notation américains. L’inconvénient de ces solutions, c’est qu’elles n’effectuent pas systématiquement une validation de cartographie de l’ensemble des actifs de l’entreprise.

Si nous travaillons avec les porteurs de risques, c'est plutôt avec les courtiers que nous avons le plus d’intérêts communs. Notre solution de notation leur permet ainsi de voir si leurs prospects ou leurs clients sont solides en matière de cybersécurité, avant de solliciter les assureurs. En plus des courtiers, nous travaillons aussi avec les RSSI, les directions achat, les commissaires aux comptes, les banquiers et les investisseurs avec qui les entreprises dialoguent au quotidien pour la gestion de leurs risques financiers.

Comment fonctionne votre système de notation ?

Nos notes vont de 0 à 1.000. De 0 à 500 nous considérons que la performance cybersécurité de l’entreprise est basique. De 500 à 750, nous considérons ensuite que l’entreprise est dans une phase intermédiaire, avec de bonnes pratiques mais avec des progrès encore réalisables. Au-delà, les entreprises sont alors considérées comme plutôt avancées en la matière.

C’est une notation actualisée quotidiennement et qui repère si des portes sont ouvertes dans les SI des entreprises. Nous allons donc surveiller les messageries ou travailler sur les usurpations d’identités. Nous allons également regarder la structure des différents sites de l’entreprise (encryption, certificats de vulnérabilité, etc.) et comment le serveur de nom de domaine est configuré. Nous allons enfin regarder la cadence de patching (correctifs) des installations informatiques avec des délais suggérés pour corriger les failles critiques et un suivi dans la durée.

De manière générale, les petites et moyennes entreprises sont aujourd’hui en train de réagir et de faire des efforts autour de leur sécurité informatique. D’après l’ensemble des réponses à incidents traitées par nos sociétés sœurs ces derniers mois, une entreprise avec une note basique a 5 fois plus de chances de se faire attaquer que si elle a une note élevée.

Comment est perçu votre système de notation par les entreprises ?

Notre solution permet de construire un écosystème de confiance entre clients, fournisseurs et partenaires. Aujourd’hui, n’importe quel groupe du CAC 40 a plus de 1.000 fournisseurs, et la question de savoir comment gérer cet écosystème est cruciale. Évaluer sa sécurité informatique ou évaluer celle d’un futur partenaire va devenir une norme, autant se l’approprier pour ne pas la subir. Pouvoir prouver à son écosystème qu’on a une bonne hygiène cyber va devenir indispensable, mais ce n’est pas parce que l’on a une bonne note que l’on ne peut pas se faire attaquer et ce n’est pas parce que l’on a une mauvaise note que l’on va forcément se faire attaquer.

Vous parlez de norme. La notation cyber peut-elle devenir obligatoire à l’avenir ?

Industriels, pouvoirs publics et autorités discutent ardemment de ces questions ces derniers mois, et tous ont compris que le rating cyber était une des briques de solutions permettant de réduire l’asymétrie des informations. Même si les critères d’un cyber score ne sont pas encore clairement définis, nous discutons aujourd’hui avec l’Anssi, l’Enisa (European Union Agency for Cybersecurity) et la DG Trésor. Nous essayons également d’accompagner la DGA et la DGE pour apporter notre aide sur ce risque. La mise en place d’une norme est toujours compliquée mais je pense que l’Etat va finir par légiférer sur le sujet, tout comme les instances européennes, avec des seuils minimums pour avoir le droit d’opérer.

Le marché de l’assurance cyber est en train de se structurer aujourd’hui et le potentiel qui s’ouvre est énorme. Alors même que les entreprises doivent s’assurer, les assureurs doivent eux aussi gagner de l’argent.

Il y un vrai enjeu de business sur ce marché et nous pensons que nous pouvons aider tous les acteurs à fluidifier ce marché. Pour ce faire, il faut encore travailler à la quantification du risque cyber et convaincre les entreprises réticentes de se couvrir. Sur un segment où nombre de sociétés ne savent pas par où commencer ou encore comment trouver des prestataires, notre solution permet une première approche pragmatique du risque. Selon moi, les notations de cybersécurité vont devenir aussi importantes que les notations de crédit à l’avenir.