©Thomas Gayet, co-fondateur et CEO de Scovery

1/ Vous présentez Scovery comme une plateforme de « cyber-rating », qui évalue la vulnérabilité externe des entreprises. En quoi cela peut-il rendre service aux entreprises ? Qu’est-ce qu’on entend au juste par l’exposition externe des entreprises ?

L’exposition externe d’une entreprise se compose de tout ce qui est visible et accessible depuis Internet : noms de domaine, adresses IP, sous-domaines, services exposés, etc. Ce périmètre constitue ce qu’on appelle la surface d’exposition.

Chez Scovery, nous détectons automatiquement cette surface grâce à notre jumeau numérique mondial, une base construite sur la théorie des graphes qui réconcilie intelligemment près de 12 milliards d’actifs d’entreprise. Cette visibilité permet déjà aux organisations de repérer du shadow IT et de décommissionner des actifs oubliés, souvent négligés et pourtant risqués.

Nous confrontons ensuite cette surface à plus de quarante points de contrôle couvrant deux cents indicateurs de cybersécurité : vulnérabilités connues (CVE), services sensibles exposés, mauvaises configurations de serveurs (messagerie, DNS, etc.). Cela permet d’obtenir la surface d’attaque et de fournir des recommandations concrètes pour corriger les problèmes détectés.

Enfin, nous calculons un cyberscore de 100 à 900 (de F à A) via un algorithme de notation qui rend les entreprises comparables entre elles. Ce score n’évalue pas l’ensemble de la cybersécurité, mais il existe une corrélation très forte entre un score faible et la probabilité d’intrusion réussie — il ne faut jamais oublier que deux tiers des attaques débutent par un actif vulnérable exposé. C’est particulièrement vrai depuis deux ans, où de nombreuses vulnérabilités critiques touchent régulièrement des équipements de bordure (pare-feu, passerelles, etc.).

De plus le cyber-rating ne sert pas seulement à améliorer sa propre cybersécurité : il permet aussi de surveiller en continu la posture de ses fournisseurs et partenaires, dans un contexte où les attaques par supply chain ne cessent de croître.

©Scovery

2/ La plupart des dirigeants se reposent sur une quantification financière de leurs risques, cyber inclus : certaines polices d’assurance couvrent les demandes de rançon et même les risques d’amende de la CNIL. Comment peut-on démontrer au contraire aux entreprises que la meilleure des assurances, c’est une politique de cybersécurité digne de ce nom ?

Le constat est simple : sans une bonne hygiène de cybersécurité, l’entreprise reste vulnérable. En dehors d’attaques ultra-ciblées, un système d’information correctement protégé avec une bonne hygiène de cyersécurité réduit considérablement le risque d’intrusion.

Souscrire une assurance cyber est légitime — le risque cyber est aujourd’hui considéré comme le troisième risque systémique mondial. Mais avoir une assurance ne dispense pas de prévention : personne ne se contenterait d’assurer son usine contre l’incendie sans installer d’extincteurs. En cybersécurité, c’est la même logique : une politique active de sécurité est incontournable.

Cela inclut la réduction et la maîtrise de la surface d’attaque, la mise en place de sauvegardes, des PRA/PCA robustes, l’authentification multi-facteurs, etc. L’assurance, seule, ne protège pas : elle indemnise après coup. Une politique de cybersécurité, elle, évite la catastrophe en amont et protège la continuité d’activité.

3/ Vous êtes parvenus à répertorier l’ensemble des noms de domaine de la planète. Cela représente combien d’actifs ? Comment y êtes-vous parvenu ?

Notre technologie s’appuie sur une collecte massive et régulière d’informations (noms de domaine, IP, certificats, etc.) que nous consolidons via la théorie des graphes et l’IA dans notre jumeau numérique de l’Internet des entreprises.

Nous avons ainsi recensé près de 12 milliards d’actifs, dont 2,4 milliards de noms de domaine et 3,7 millions d’entreprises évaluées chaque mois. Grâce à des algorithmes de parcours de graphe, nous identifions la surface d’exposition de chaque organisation avec une très grande précision.

Nos développements ont été pensés pour tendre vers zéro faux positif : il est crucial que le cyberscore soit calculé uniquement sur la base des actifs exposés réellement attribuables à l’entreprise, afin de garantir une notation crédible et exploitable.

©Scovery

4/ La règlementation européenne s’est étoffée ces dernières années avec la directive NIS2 et le règlement DORA. En quoi votre solution dans ces nouveaux paradigmes de la conformité cyber ?

Le cyber-rating s’inscrit parfaitement dans le nouveau cadre réglementaire européen. La directive NIS2 et le règlement DORA imposent désormais aux entreprises de surveiller non seulement leur propre posture, mais aussi celle de leurs partenaires et fournisseurs.

Or, les approches traditionnelles — questionnaires et audits — ne sont pas scalables : elles mobilisent trop de ressources et ne peuvent être conduites régulièrement sur des centaines de fournisseurs. Le cyber-rating, lui, automatise la veille et la notation en continu, et déclenche si nécessaire un questionnaire ou un audit ciblé.

Par exemple, un de nos clients suit plusieurs centaines de fournisseurs via notre plateforme. Dès qu’un score descend sous un seuil critique, il initie un échange avec le fournisseur concerné et adapte son plan de contrôle. Cela permet de transformer une obligation réglementaire en un dispositif opérationnel et continu.

5/ Votre World Cyber Rating, récemment dévoilé, offre une vue saisissante de l’état de la cybersécurité mondiale. En quoi ce « coming out » est-ce une nouveauté dans le paysage cyber ?

La cybersécurité n’est plus un sujet cantonné aux équipes techniques. Elle impacte désormais directement à la fois les achats (choix des fournisseurs), la direction financière (négociation de primes d’assurance), la direction juridique (conformité réglementaire), et bien sûr les comités de direction, qui veulent des indicateurs compréhensibles, lisibles et comparables. C’est pourquoi nous avons lancé le World Cyber Rating, une initiative inédite qui vise à démocratiser l’accès à l’information cybersécurité. C’est une volonté de changement de paradigme : rendre la cybersécurité transparente et intelligible pour tous, à l’échelle mondiale.

La plateforme permet ainsi de visualiser les dynamiques cyber par zones géographiques ou secteurs d’activité, d’identifier les zones à risque dans les écosystèmes économiques, et même de découvrir gratuitement le cyberscore de son entreprise ou de ses fournisseurs.

6/ Vous avez constitué un écosystème de fournisseurs et de partenaires clés autour de vous, qui ont le point commun d’être des acteurs français et européens. La souveraineté numérique est donc un enjeu réel pour vous, au-delà des pétitions de principe ?

Dans un contexte de tensions géopolitiques accrues, la cybersécurité devient un enjeu éminemment régalien : il est essentiel de s’appuyer sur des capacités souveraines et de confiance.

Chez Scovery, nous faisons le choix de travailler avec des fournisseurs et partenaires européens, afin de garantir indépendance et fiabilité dans nos décisions. Le cyber-rating, en tant que thermomètre de la cybersécurité, doit exister en tenant compte des spécificités régionales, en offrant des solutions alignées avec les exigences de souveraineté, tout en permettant d’évaluer n’importe quelle entreprise dans le monde.

Pour la même raison, nous avons participé à la rédaction et signé la charte de bonne conduite des acteurs de la cyber-notation du CLUSIF, tout comme nous participons à des travaux européens de normalisation en la matière.