Comment les notations des cyber-risques peuvent favoriser une meilleure cyber-dépendance et une meilleure conformité réglementaire

  • Les entreprises et les gouvernements sont constamment confrontés à des cybermenaces, allant du cyberespionnage parrainé par l’État aux attaques de rançongiciels par des gangs criminels.
  • De nombreuses organisations de premier plan se sont tournées vers les notations des cyber-risques pour les aider à comprendre et à atténuer leur exposition aux cyber-risques et à mieux se conformer aux réglementations.
  • En France, les décideurs politiques prennent les devants à l’échelle mondiale en cherchant à imposer l’utilisation de notations des cyberrisques.

À l’ère du numérique, les risques liés à la cybersécurité sont une menace omniprésente. Les entreprises et les gouvernements sont constamment confrontés à des cybermenaces, allant du cyberespionnage parrainé par l’État aux attaques de rançongiciels par des gangs criminels. L’impact de ces menaces peut être dévastateur, entraînant des turbulences économiques et des menaces à la sécurité publique.

En réponse, les décideurs politiques du monde entier étudient comment la réglementation peut renforcer la posture cybernétique d’une économie, qu’il s’agisse de la Loi sur la résilience opérationnelle numérique (DORA), récemment adoptée par le Parlement européen, qui rend également les groupes financiers responsables de la sécurité des fournisseurs de technologie qu’ils utilisent, ou la directive sur la sécurité des réseaux et de l’information (NIS2), qui prévoit des mesures juridiques pour renforcer le niveau global de cybersécurité dans l’UE.

Découvrir

Que fait le Forum pour éviter une cyberpandémie ?

Les technologies de nouvelle génération telles que l’intelligence artificielle, la connectivité omniprésente et l’informatique quantique ont le potentiel de générer de nouveaux risques pour le monde, et à ce stade, leur plein impact n’est pas bien compris.

Il y a un besoin urgent d’action collective, d’intervention politique et d’amélioration de la responsabilisation du gouvernement et des entreprises afin d’éviter une éventuelle cyberpandémie.

Les forums Centre de cybersécurité lancé le Série Future : Cybercriminalité 2025 initiative visant à identifier les approches nécessaires pour gérer les cyber-risques face aux grandes tendances technologiques qui se produiront dans un avenir proche.

Découvrez comment le Forum dirige plus de 150 experts mondiaux issus des entreprises, des gouvernements et des instituts de recherche, et comment vous impliquer dans notre histoire d’impact.

Les entreprises comprennent la nécessité d’une réglementation

Compte tenu du paysage croissant des menaces, les entreprises soutiennent de plus en plus la réglementation pour traiter et atténuer les risques. Perspectives mondiales de la cybersécurité du Forum économique mondial 2023 montre que les cyber-dirigeants sont désormais plus susceptibles de considérer les réglementations en matière de cybersécurité comme un outil efficace pour réduire les cyber-risques dans un secteur.

De nombreuses organisations de premier plan se sont également tournées vers les notations des cyber-risques pour les aider à comprendre et à atténuer leur exposition aux cyber-risques et à mieux se conformer aux réglementations. Les cotes de cyberrisque fournissent une mesure objective de la posture de cybersécurité d’une organisation en fonction de divers facteurs, notamment la sécurité du réseau, la protection des données et les capacités de réponse aux incidents. Ces notations aident les organisations à identifier les points faibles de leurs chaînes d’approvisionnement et de leurs défenses en matière de cybersécurité et à hiérarchiser les efforts de remédiation.

Les décideurs politiques commencent également à voir l’utilité des notations des cyber-risques sur les marchés et comment elles pourraient être un levier politique efficace pour soutenir le nombre croissant d’exigences cyber-réglementaires et améliorer la cyber-résilience au sein des économies.

As-tu lu?

La notation des risques cyber comme outil réglementaire

En France, les décideurs politiques prennent les devants à l’échelle mondiale en cherchant à imposer l’utilisation de notations des cyberrisques. La loi française Cyberscore, promulguée le 3 mars 2022, crée l’obligation d’une certification de cybersécurité pour les plateformes numériques destinées au public. Il entre en vigueur le 1er octobre 2023.

Cet acte inédit imposera des cyberscores sur les 500 plus grands sites marchands opérant en France. Il est prévu de l’étendre à 10 000 entreprises stratégiques, telles que le réseau électrique et la santé.

https://cdn.jwplayer.com/players/XzJNEPOV-ncRE1zO6.html

Aborder le risque tiers par la réglementation

Une grande partie de la nouvelle cyber-réglementation dans l’UE est conçue pour gérer les chaînes d’approvisionnement numériques et les fournisseurs tiers.

Par exemple, DORA vise à garantir que tous les participants au système financier disposent des garanties nécessaires pour atténuer les cyberattaques et autres risques. La législation obligera les entreprises à s’assurer qu’elles peuvent résister à tous les types de perturbations et de menaces liées aux TIC. Comme une grande partie de l’économie, le secteur financier dépend fortement des fournisseurs de technologie tiers, grands et petits.

Cela a été souligné récemment lorsque le CFTC reporté la publication de son rapport hebdomadaire Commitments of Traders (CoT) pour la semaine se terminant le 17 février 2023, en raison d’une cyberattaque contre un fournisseur tiers, ION Cleared Derivatives. Selon les données de la Futures Industry Association, cette attaque a eu un impact sur un énorme marché avec plus de 1 billion de dollars de contrats à terme sur actions, matières premières et taux d’intérêt ouverts en décembre.

En introduisant une exigence obligatoire de notation du risque cyber, la France gérera de manière proactive la manière dont le risque cyber est appréhendé et favorisera une plus grande résilience numérique tout au long de la chaîne d’approvisionnement.

Mandater des notations des risques cybernétiques à l’échelle de l’UE

Cette loi devrait servir d’appel à l’action pour que les décideurs politiques de l’UE et du monde entier envisagent des mesures similaires pour améliorer la cybersécurité et la résilience numérique.

Les prêteurs, tels que les banques et les sociétés de cartes de crédit, utilisent les cotes de crédit pour évaluer le risque potentiel de prêter de l’argent aux consommateurs et atténuer les pertes dues aux créances irrécouvrables.

De même, les notations de cyber-risque peuvent fournir aux régulateurs et au marché une mesure objective de la posture de cybersécurité d’une organisation, aidant à éclairer les décisions réglementaires, à réduire le risque de cyber-incidents et à se conformer efficacement aux réglementations, telles que DORA dans l’UE.

SecurityScorecard estime que l’UE devrait envisager de rendre obligatoire un système de notation des cyber-risques similaire au modèle français dans tous les États membres. Cela créerait des conditions de concurrence équitables pour les organisations de toute l’UE et garantirait que la cybersécurité est prise au sérieux par tous les acteurs de l’écosystème numérique. Cela peut prendre différentes formes à travers les diverses exigences réglementaires axées sur la cybersécurité et peut ne pas toujours être dans la loi, cela peut provenir de conseils, d’une interprétation réglementaire ou, en fait, d’une certification. Les régulateurs DORA élaborent des projets communs de normes techniques réglementaires pour les outils de gestion des risques liés aux TIC qui pourraient inclure des notations de cyber-risque.

Il ne s’agit pas d’une solution unique, mais le fait de veiller à ce que les notations des risques cybernétiques soient indispensables, et non agréables à avoir, améliorera la cyber-dépendance et soutiendra les ambitions numériques de l’UE.