Cybersecurity

Le cyber rating en action : des signaux aux décisions

Thomas Gayet Thomas Gayet · 9 juillet 2026 · 6 min read

Thomas Gayet, CEO chez Scovery

Face à une cybercriminalité organisée en véritable industrie, les entreprises doivent être proactives et prendre des décisions rapidement, sur la base de signaux fiables. C’est la promesse du cyber rating : transformer des données techniques brutes en une évaluation objective, compréhensible par l’équipe de sécurité comme par le conseil d’administration. Thomas Gayet, CEO de Scovery, en a détaillé les mécanismes lors du Signal Paris by SoSafe.

De la détection à la décision : comprendre l’adversaire

Pour comprendre l’utilité du cyber rating (ou cybernotation), il faut se représenter l’écosystème cybercriminel. Thomas Gayet, CEO de Scovery, explique : « La cybercriminalité, c’est un business à part entière. » Un écosystème organisé en spécialités distinctes dont la finalité est le retour sur investissement (ROI).

Dans ce cadre, certains acteurs ne font que vendre des services comme des kits de hameçonnage clé en main ou du ransomware as a service. D’autres sont spécialistes de la distribution ou encore de la monétisation. Parmi eux, deux profils méritent une attention particulière : les « initial access brokers » (courtiers en accès initiaux) qui identifient une faille dans un système exposé sur internet, y prennent pied, puis revendent cet accès à d’autres cybercriminels ; et les « dropologues », des éleveurs de mules financières qui permettent de blanchir les fonds volés au sein même des établissements bancaires ciblés.

Face à cet adversaire rationnel et efficace, les directions d’entreprise, du RSSI à la direction juridique, en passant par la direction financière, portent toutes un agenda cyber désormais. « La cyber aujourd’hui, c’est un enjeu de toute l’entreprise », résume Thomas Gayet, CEO de Scovery. Face à ce constat, comment rendre les risques techniques compréhensibles et actionnables pour des décideurs non-spécialistes ? C’est précisément là qu’intervient la cybernotation.

Évaluer l’exposition en temps réel : la surface d’attaque sous contrôle

Le premier champ de bataille est la « surface d’attaque externe », selon Thomas Gayet, CEO de Scovery : l’ensemble des actifs numériques qu’une organisation expose sur internet. Noms de domaine, sous-domaines, adresses IP, certificats TLS, API, services en mode SaaS… autant de points d’entrée potentiels, souvent mal recensés. À cela s’ajoutent le shadow IT (des services déployés sans validation de la direction des systèmes d’information) et les vulnérabilités propres aux partenaires et fournisseurs.

L’intelligence artificielle (IA) offensive accélère encore la tendance. Là où il fallait autrefois trois à neuf mois à une équipe de quatre experts au minimum pour développer un code d’exploitation sur une vulnérabilité zero-day, les modèles d’IA actuels permettent à un acteur moins expérimenté d’y parvenir en quelques jours. 

« On va vivre une période de deux à trois ans pendant laquelle on va vivre des événements d’envergure en termes de vulnérabilité, […] le temps que l’IA défensive arrive dans nos chaînes de production, mais pour l’instant ce n’est pas le cas et donc ça rend d’autant plus critique la notion de surface d’attaque externe. »

Pour répondre à ces enjeux, Scovery a développé une approche fondée sur la théorie des graphes. En pratique, cela se traduit par la détection d’interfaces ElasticSearch exposées sans authentification, de nœuds Kubernetes accessibles publiquement, ou de partages SMB Debian non protégés — autant de signaux techniques que les équipes internes ne voient pas toujours, mais que les attaquants repèrent en quelques minutes. 

Chaque mois, la plateforme collecte et analyse des volumes massifs de données, de l’ordre de 15 téraoctets de données brutes, pour construire un jumeau numérique de l’internet des entreprises à l’échelle mondiale. En partant d’un point d’entrée réputé appartenir à une organisation, l’algorithme parcourt ce graphe pour cartographier avec précision l’ensemble de sa surface exposée, en tendant vers zéro faux positif. À la différence des approches fondées sur la correspondance de motifs, cette méthode évite d’attribuer à une entreprise des actifs qui ne lui appartiennent pas. Les résultats permettent d’identifier rapidement des vulnérabilités critiques par entité ou filiale, et de déclencher des actions correctives au bon endroit.

Par ailleurs, les questionnaires de sécurité fournisseurs, souvent très longs, présentent une limite fondamentale : ils sont déclaratifs. « Avant, on trichait. Maintenant, on demande à l’IA de tricher à notre place », ironise Thomas Gayet, CEO de Scovery. Une politique de sécurité des systèmes d’information (PSSI) rédigée en cinq minutes sur un outil génératif ne dit rien de sa mise en œuvre réelle. Le cyber rating, lui, s’appuie sur des données observées en source ouverte, sans nécessiter l’accord ou la coopération du tiers évalué.

De l’analyse à l’action : un outil de pilotage continu

Un chiffre illustre l’ampleur du problème : environ deux tiers des intrusions réussies dans les entreprises passent par un actif numérique vulnérable exposé sur internet. Une fois la surface d’attaque cartographiée, la cybernotation rend lisible le risque. 

« On va venir noter l’entreprise de 100 à 900, c’est le meilleur score. On va lui attribuer un rang de A à F, F étant le moins bon rang. […] Ça ne dit pas tout de la sécurité d’une entreprise, je ne sais pas si cette entreprise a un RSSI ou pas. Par contre, je sais quelle est la qualité de sa posture sur internet et le risque d’intrusion, sachant que c’est deux tiers des risques d’intrusion. »

Dans un contexte où l’IA offensive compresse les délais d’exploitation à quelques jours, c’est un signal et un indicateur de risque directement exploitable dans les décisions de gouvernance.

Dans le cadre de la gestion des risques liés aux tiers (TPRM [Third-Party Risk Management]), le cyber rating change les pratiques à chaque étape. Dès l’appel d’offres, il permet d’évaluer la posture d’un soumissionnaire en quelques secondes.

«Le cyber rating en fait ici, vous allez l’utiliser dès la mise en relation, dès même que l’entreprise candidate dans un appel d’offre. […] On commence à avoir des clients qui disent qu’en dessous d’un certain score, on ne retient plus l’entreprise, il y aura trop de risque pour nous. »

En phase de contractualisation comme de maintenance, le donneur d’ordre dispose ainsi d’une base factuelle pour engager le dialogue.

« Si dans la PSSI du fournisseur, il est écrit que les failles critiques sont corrigées en moyenne en 30 jours et que je vois moi sur le net qu’en réalité, elle reste exposée 145 jours, là, vous avez de quoi objectiver une déclaration.[…] Avec du cyber rating, vous pouvez savoir où déclencher un audit et à quel moment. »

Vous pouvez également suivre l’évolution des postures de cybersécurité dans le temps et agir avec votre fournisseur avant la compromission. Thomas Gayet, CEO de Scovery, cite l’exemple d’une entreprise du secteur du transport et de la logistique, dont la posture était excellente jusqu’en janvier 2025 avant de se dégrader brutalement. Sans surveillance continue, cette dégradation serait passée inaperçue jusqu’à l’incident.

Le cyber rating permet enfin un langage commun entre les équipes techniques et les décideurs. L’enjeu consiste à mesurer un risque, mais aussi à le rendre visible et actionnable à tous les niveaux de l’organisation. Les tableaux de bord synthétiques et les rapports exécutifs permettent au responsable de la sécurité des systèmes d’information (RSSI) de sortir du jargon technique grâce à des indicateurs de risque clairs.

«Ce qui est intéressant, parce qu’on surveille la compromission des entreprises dans le monde, c’est que les entreprises de rang F statistiquement présentent 10 fois plus de risque de vivre une intrusion que les entreprises de rang A. C’est ça la valeur qu’amène quelque part la cybernotation. »

Vous souhaitez approfondir ces éléments de réflexion ? Visionnez l’enregistrement de la session Signal Paris pour découvrir l’intégralité des échanges. 

About the author

Thomas Gayet
CEO chez Scovery

En savoir plus

Vous voulez avoir toujours une longueur d’avance en matière de cybersécurité ?

Inscrivez-vous à notre newsletter pour tout savoir sur les actualités, les événements et les ressources disponibles en matière de cybersécurité. Zéro spam, du contenu 100 % utile.

Newsletter visual Hero Background

Découvrez nos produits de première main

Utilisez notre environnement de test en ligne pour voir comment notre plateforme peut vous aider à donner à votre équipe les moyens d’éviter en permanence les cybermenaces et de préserver la sécurité de votre organisation.

This page is not available in English yet.

Diese Seite ist noch nicht in Ihrer Sprache verfügbar. Sie können auf Englisch fortfahren oder zur deutschen Startseite zurückkehren.

Cette page n’est pas encore disponible dans votre langue. Vous pouvez continuer en anglais ou revenir à la page d’accueil en français.

Deze pagina is nog niet beschikbaar in uw taal. U kunt doorgaan in het Engels of terugkeren naar de Nederlandse startpagina.

Esta página aún no está disponible en español. Puedes continuar en inglés o volver a la página de inicio en español.

Questa pagina non è ancora disponibile nella tua lingua. Puoi continuare in inglese oppure tornare alla home page in italiano.