Il y a quelques semaines, nous avions reçu le journal de CEA - Compagnie des Experts Agréés. S’ensuivit une discussion sur les indices (FFB, RI, BM…) et nous nous sommes demandés s’il existait un cyber indice Cyber ? Nous avons cherché comment nous pourrions créer et proposer cet indice.

Mais alors, qu’est-ce qu’un indice ?

Apparus à l'ère industrielle, les indices, d'abord boursiers, se sont étendus à l'ensemble des activités, la consommation et même aujourd'hui'i au bien-être. Le premier indice boursier, le Dow Jones, est paru le 3 juillet 1884 dans l'« Afternoon News Letter ». Point de formules ésotériques : il prenait juste en compte les cours de clôture de 11 sociétés, dont 9 compagnies de chemin de fer et 2 entreprises industrielle

Les indices, souvent composites, sont des outils analytiques et des indicateurs utilisés dans de nombreux secteurs pour mesurer, suivre et prévoir des tendances ou des performances.

Dans le domaine des assurances, les indices jouent sur le montant des garanties et les franchises. En effet, cela permet aux parties d'avoir un contrat "vivant" suivant les fluctuation de tel ou tel indice, les franchises et les garanties fluctuantes «en fonction de l’indice» ou encore «à concurrence ou hauteur de X fois l’indice.»

Il existe plusieurs types d’indices utilisés tous les jours, parmi les plus courants :

• L’indice FFB (Fédération Française du Bâtiment) permet de déterminer le prix de l’assurance habitation. Cet indice est émis par la FFB en fonction du coût de la construction d’un immeuble en France.
• L’indice RI (Risque Industriel) mesure le risque global associé à des installations ou des opérations industrielles spécifiques.
• L’indice BM (Bris de Machine) est utilisé pour déterminer la probabilité de défaillance de machines dans un contexte industriel.

L'utilisation d'indice est assez juste au fond. Par exemple, l'assureur est plus engagé à cause de la hausse d'un indice ou d'une de ses variables (exemple cout de la construction), il est logique que l'assuré le soit aussi, et inversement en cas de baisse, que cette baisse profite à celui qui paie la prime.

L'assurance cyber, relativement jeune, couvre un risque résiduel face des menaces à fort caractère évolutif et souvent nouvelles.

Dans ce contexte et plus largement pour mieux suivre le risque cyber, on peut s’interroger sur la création d’un indice cyber, permettant de mesurer, de quantifier et, en définitive, de mieux gérer les risques liés à la cybersécurité, à l'instar de ce qui se fait dans l'industrie, la construction ou encore le bris de machine.

La création d'un tel indice représente un défi, le premier d'entre eux étant d'atteindre le consensus de toutes les parties impliquées dans la "sécurité informatique". Que ce soit au niveau opérationnel, stratégique, financier, législatif et règlementaire...

Alors bon courage et bouclez vos ceintures car l'exercice est intellectuellement intéressant !

Nous allons évoquer les différents éléments qui pourraient constituer notre hypothétique indice cyber et ce qui pourrait influencer sa variabilité.

Que mettons-nous dans cette recette ?

Le niveau de menace cyber internationale est un élément important pour l'indice cyber car elle reflète l'impact global des cyberattaques qui affectent les entreprises et les économies. L'inclusion du niveau de menace cyber internationale dans l'indice peut aider à prédire les tendances de cyberattaques. Par exemple, une recrudescence des attaques ransomware à l'échelle mondiale, comme observée avec le ransomware Lockbit, devrait influencer l'indice, signalant une augmentation des risques. Néanmoins, il conviendra de déterminer une échelle de niveau de menace.

Les tensions géopolitiques influencent directement le niveau de risque cyber, notamment par l'intensification des cyberattaques commanditées par des États. En effet, en temps de guerre, on peut constater une recrudescence d'attaques, des pays et de types organisations sont plus ciblées, et d'autres ne le sont plus. Une composante géopolitique nous parait donc être un facteur important d'un indice cyber.

Le coût de la main d'œuvre en cybersécurité, est une composante importante, tout comme dans le bâtiment ou l'industrie. Celui-ci est souvent représenté par des indices comme le Syntec, qui est un indicateur de la demande de compétences en sécurité et de la pression sur le marché du travail. L'évolution de ces coûts peut indiquer des tensions sur le marché (difficultés de recrutement, raréfaction ou trop de personnel qualifié,). La capacité globale des marchés à répondre aux incidents de sécurité, qui plus est en cas d'attaque systémique dépendra aussi des ressources disponibles.

L'évolution des activités malveillantes par secteur d'activité au niveau national ou régional nous semble également pertinent pour composer notre indice. Cela permet d'ajuster l'indice pour refléter les risques à un niveau plus granulaire, offrant ainsi une mesure plus précise du climat de sécurité par type de secteur d'activité. Une augmentation des attaques ciblant le secteur bancaire dans un pays particulier pourrait nécessiter un ajustement de l’indice.

Le prix moyen des services informatiques liés à la sécurité aux entreprises est un indicateur qui nous parait aussi valable pour composer notre indice. Une hausse des prix pour les services de réponse aux incidents pourrait indiquer des tensions sur le marché, soit à cause d'une demande forte (suite à attaques), soit des difficultés de recrutement, mais aussi un manque concurrence entre les acteurs.

L’évolution de la moyenne des CVE répertoriées par trimestre pourrait fournir une composante de notre indice cyber. Cette moyenne des CVE pourrait également être pondérée en fonction d des criticités. Une évolution dans la publication de nouvelles CVE pourrait refléter une période de faiblesses technologique causant un risque accru ou une amélioration de la "qualité" technologique.

Les frais d’analyse forensic fournissent une information importante sur la complexité et la sévérité des attaques cyber. Des coûts élevés peuvent indiquer des attaques plus complexes ou dommageables, influençant l'indice cyber en signalant des menaces plus sévères. Une série d'attaques entraînant des coûts d'analyse forensic exceptionnellement élevés pourrait être un signe d'un environnement de menace exacerbé, ciblant les grandes entreprises, impactant notre indice.

On peut réfléchir à inclure bien d'autres "ingrédients" mais ce petit essai de réflexion sur un indice cyber souligne la complexité et nombre de paramètres possibles pour mesurer et comprendre le niveau du risque. Aussi afin de mieux se préparer et pour l'anticiper en fonction des tendances. Cela ne dispensera pas l'entreprise d'auditer son SI 

La création d’un indice cyber, capable de fournir des évaluations fiables et pertinentes est loin d’être simple. L'assurance cyber dans sa forme moderne est jeune et manque de recul. L’émergence rapide de nouvelles technologies (IA générative par exemple) pose constamment de nouveaux défis qui n'étaient pas anticipés dans les modèles de risque plus anciens.

Contrairement à l'incendie, au bâtiment, la cybersécurité évolue vite, très vite. Notre indice serait-il déjà obsolète ?

Peut-être pas s'il est suffisamment souple et large pour éviter d'être remis en cause tous les ans ou à chaque évolution. L'absence de référentiels reconnus et globalement partagés complique la création d'un indice valide et accepté par le plus grand nombre.

Alors que certaines régions du monde adoptent des cadres réglementaires stricts, d'autres ont des approches moins rigoureuses, ce qui rend difficile la standardisation des mesures pour faire face au risque cyber. L'Union Européenne depuis quelques années tente à travers ses règlements, d'harmoniser des standards différents et propres à chaque état. C'est en bonne, la France y contribue activement au demeurant. 

L'indice cyber, utile aux entreprises, aux institutions doit donc concilier les intérêts de nombreux acteurs, allant des entreprises de sécurité informatique aux régulateurs, chacun ayant des priorités et des objectifs parfois contradictoires.

En surmontant ces obstacles, nous pouvons espérer développer un indicateur fidèle qui non seulement suivra le risque de manière efficace mais qui également aidera les entreprises dans le pilotage de leur cybersécurité.

Et vous qu'en pensez-vous ? Est-ce pertinent de réfléchir à un indice cyber et si oui, avec quelles composantes ?

Lien vers les indices 👉 https://www.expert-cea.com/indices