Une solution de cybersécurité pensée pour les décideurs

Maxime Car­tan, cofon­da­teur et CEO de Cita­lid, nous explique pour­quoi sa start-up a fait le choix de déve­lop­per et de pro­po­ser une solu­tion de cyber­sé­cu­ri­té pour les déci­deurs et les diri­geants. Dans cette inter­view, il revient sur le posi­tion­ne­ment de Cita­lid, son approche de pilo­tage du risque cyber et ses prin­ci­paux leviers de différenciation.

Dans le monde de la cybersécurité, quel est le positionnement de Citalid ?

Nous avons co-fon­dé Cita­lid avec Alexandre Dieu­lan­gard fin 2017, après nous être ren­con­trés à l’ANSSI où nous étions experts dans le domaine de la threat intel­li­gence, c’est-à-dire du ren­sei­gne­ment sur la cyber­me­nace. Notre métier était alors de contex­tua­li­ser des don­nées très tech­niques sur les attaques que subis­saient les enti­tés cri­tiques fran­çaises d’un point de vue géo­po­li­tique ou éco­no­mique, afin d’informer les auto­ri­tés sur les causes de ces attaques, leur contexte, le mode opé­ra­toire et leurs impacts. Notre rôle était en quelque sorte de vul­ga­ri­ser ces don­nées tech­niques afin de les mettre à dis­po­si­tion de per­sonnes qui n’avaient pas de connais­sances spé­ci­fiques en cybersécurité.

« Nous avons un positionnement transverse et complémentaire au marché de la cybersécurité classique qui se concentre essentiellement sur la protection et la détection des menaces cyber. »

Aujourd’hui, on retrouve cette expé­rience et ce métier au cœur de l’ADN de Cita­lid. Concrè­te­ment, nous avons un posi­tion­ne­ment trans­verse et com­plé­men­taire au mar­ché de la cyber­sé­cu­ri­té clas­sique qui se concentre essen­tiel­le­ment sur la pro­tec­tion et la détec­tion des menaces cyber. Nous pro­po­sons, en effet, un outil d’anticipation et de pilo­tage du risque cyber qui s’adresse direc­te­ment aux diri­geants des entre­prises. Notre ambi­tion est de don­ner aux entre­prises les moyens de vivre en confiance dans un monde où le risque cyber va conti­nuer à s’intensifier. Cita­lid s’appuie aus­si sur un socle R&D fort avec notam­ment, lors de notre lan­ce­ment, l’implication des équipes de l’École Poly­tech­nique dans le cadre d’un PSC. Aujourd’hui, nous sommes une qua­ran­taine de col­la­bo­ra­teurs et nous connais­sons une phase de très forte croissance.

Pourquoi avoir placé la quantification du risque cyber et son évaluation au cœur de votre activité et de votre proposition de valeur ?

Nous avons pris le par­ti de nous adres­ser aux déci­deurs et aux diri­geants pour leur don­ner les moyens de mieux com­prendre le risque cyber. L’idée est ain­si de construire des pas­se­relles entre ces déci­deurs, qui sont gui­dés par des enjeux busi­ness et finan­ciers, et les experts tech­niques. Cela doit leur per­mettre d’éclairer leurs déci­sions d’investissement en matière de sécu­ri­té, d’assurance… afin de mieux les prio­ri­ser et d’évaluer le retour sur inves­tis­se­ment de chaque action cyber ou cou­ver­ture assu­ran­tielle. Pour ce faire, il faut cal­cu­ler diverses métriques d’exposition aux risques : à quelle fré­quence l’entreprise risque-t-elle de subir des attaques ? de la part de qui ? de quelle manière ? à com­bien vont s’évaluer les pertes de l’entreprise ? quel sera l’impact sur sa répu­ta­tion et sa noto­rié­té ? quelles seront les consé­quences opé­ra­tion­nelles et finan­cières ?… La clé pour éclai­rer les déci­deurs sur l’ensemble de ces dimen­sions est la notion de quan­ti­fi­ca­tion du risque. Dans cette démarche, la prin­ci­pale dif­fi­cul­té est de pou­voir réa­li­ser ce tra­vail de manière simple et fiable pour opti­mi­ser la prise de décision.

En quoi le fait d’aborder le risque cyber au travers du prisme du dirigeant est-il différent de proposer des solutions pour les opérationnels ?

Dans les orga­ni­sa­tions, il y a une forme de silo entre les diri­geants et les équipes tech­niques qui agissent au quo­ti­dien pour pro­té­ger l’entreprise et répondre à d’éventuelles attaques. Ces der­nières ont beau­coup de dif­fi­cul­tés à faire le lien entre leur réa­li­té opé­ra­tion­nelle et la stra­té­gie busi­ness et finan­cière de leur entre­prise. À mesure qu’on entend de plus en plus par­ler de retour sur inves­tis­se­ment cyber, c’est, tou­te­fois, une pro­blé­ma­tique qui tend à se résor­ber. D’ailleurs, nous sommes for­te­ment sol­li­ci­tés sur cet enjeu par les RSSI des grands comptes et ETI en Europe afin d’aligner, de bout-en-bout, les consi­dé­ra­tions tech­niques, tech­no­lo­giques, tac­tiques, busi­ness et finan­cières au ser­vice d’une meilleure appré­hen­sion du risque cyber.

Au-delà, on remarque aus­si que les entre­prises sont plus pro-actives en matière de cyber­sé­cu­ri­té : il ne s’agit plus seule­ment de réagir à une cybe­rat­taque, mais de pro­je­ter une stra­té­gie qui va, entre autres, anti­ci­per l’évolution de la menace dans le temps pour opti­mi­ser les moyens de réduire le risque.
Avec notre solu­tion, nous contri­buons ain­si à cas­ser ces silos et à faire la jonc­tion entre les opé­ra­tion­nels, les diri­geants et le retour sur inves­tis­se­ment cyber. Et pour ce faire, nous trans­for­mons des don­nées tech­niques sur la menace, sa dyna­mique et son évo­lu­tion dans un lan­gage déci­sion­nel à la por­tée de tous les décideurs.

Comment cet accompagnement se traduit-il au sein des entreprises ?

Nous met­tons à leur dis­po­si­tion un logi­ciel en mode SaaS qui est des­ti­né en prio­ri­té aux RSSI, aux Risk Mana­gers et aux direc­teurs des assu­rances. Notre tech­no­lo­gie a la par­ti­cu­la­ri­té de pou­voir pro­duire très rapi­de­ment une pre­mière ana­lyse quan­ti­ta­tive de l’exposition cyber en s’appuyant sur une base de don­nées pro­prié­taire por­tant sur les acteurs mal­veillants actuel­le­ment actifs et qui ciblent des entre­prises sem­blables à la leur. En sélec­tion­nant auto­ma­ti­que­ment les menaces appro­priées au contexte de l’entreprise, nous pou­vons cal­cu­ler la fré­quence poten­tielle d’un inci­dent cyber en confron­tant le mode opé­ra­toire propre à cette menace avec les dis­po­si­tifs et pro­to­coles défen­sifs mis en place par l’entreprise. À par­tir de ces élé­ments, notre solu­tion peut éva­luer la pro­ba­bi­li­té de suc­cès de chaque attaque simulée.

Grâce à des modèles d’IA que nous avons déve­lop­pés en interne, nous pou­vons aus­si cal­cu­ler les pertes finan­cières asso­ciées à chaque attaque. Enfin, nous aidons nos clients à tra­duire ces résul­tats en actions concrètes : éla­bo­ra­tion de plan d’investissement et de sécu­ri­té ; iden­ti­fi­ca­tion des polices d’assurance les plus per­ti­nentes en fonc­tion du risque…

Quel est le niveau de maturité des entreprises françaises et européennes sur ce sujet ?

Depuis plu­sieurs années, de nom­breux acteurs, notam­ment dans le monde du conseil, pointent la néces­si­té de sen­si­bi­li­ser et d’impliquer les déci­deurs dans la ges­tion du risque cyber. Aujourd’hui, de plus en plus de res­pon­sables du risque cyber inter­viennent dans les comi­tés de direc­tion pour mettre en évi­dence ces risques. Si la place cen­trale de la cyber­sé­cu­ri­té dans la stra­té­gie de l’entreprise n’est aujourd’hui plus à prou­ver, il s’agit doré­na­vant de déve­lop­per sa rési­lience face à cette menace. Cette prise de conscience concerne aus­si bien les orga­ni­sa­tions de la sphère pri­vée que du sec­teur public.

Dans ce cadre, quels sont les enjeux et problématiques que votre solution permet de relever ?

Notre approche bayé­sienne de quan­ti­fi­ca­tion du risque per­met d’obtenir le meilleur des deux mondes de l’expertise humaine et de l’IA. Notre méthode mathé­ma­tique a, d’ailleurs, récem­ment été décrite dans un rap­port de Direc­tion Géné­rale du Tré­sor comme l’avenir de la quan­ti­fi­ca­tion du risque cyber pour les assu­reurs cyber.
Concrè­te­ment, nous nous dif­fé­ren­cions par notre capa­ci­té à contex­tua­li­ser le risque sur le plan géo­po­li­tique, éco­no­mique, busi­ness… Cette démarche per­met d’améliorer la trans­pa­rence et l’explicabilité des cal­culs et donc d’améliorer aus­si la prise de déci­sion. Ce sujet était, d’ailleurs, au cœur du PSC qui a impli­qué l’École poly­tech­nique en 2018.

En 2022, vous avez levé 12 millions. Quelles sont les prochaines étapes pour Citalid ?

Cette levée de fonds a été réa­li­sée avec le concours de nos inves­tis­seurs his­to­riques Axe­leo Capi­tal et BNP Déve­lop­pe­ment ; de Seven­ture, qui est très pré­sent sur la scène euro­péenne du déve­lop­pe­ment de logi­ciels SaaS Fin­Tech et Assur­Tech ; et les assu­reurs Relyens et Albingia.

Notre objec­tif est d’accélérer notre déve­lop­pe­ment inter­na­tio­nal, en com­men­çant par l’Europe.
Actuel­le­ment pré­sents au Béné­lux, en Alle­magne et en Suisse, nous vou­lons ren­for­cer notre pré­sence en Alle­magne et la déve­lop­per au Royaume-Uni et dans les pays nor­diques. En paral­lèle, nous met­tons aus­si nos métho­do­lo­gies de quan­ti­fi­ca­tion du risque au ser­vice des acteurs de la cybe­ras­su­rance, qui ont un rôle clé à jouer en matière de maî­trise de ce risque et de déve­lop­pe­ment de la rési­lience de l’économie.

Le capital humain est clé dans le secteur de la cybersécurité. Quels sont les profils que vous recherchez ?

Au-delà des com­pé­tences tech­niques, nous recher­chons sur­tout des hommes et des femmes inté­res­sés par cet uni­vers pas­sion­nant, sans pour autant être des experts de la cyber­sé­cu­ri­té, et qui ont la capa­ci­té de créer des pas­se­relles entre la tech­nique, la finance, l’assurance et la géopolitique.

---

Articles similaires :

Sau­ve­gar­der la sou­ve­rai­ne­té et l’intégrité du patri­moine numé­rique des entreprises Un expert euro­péen de la cyber­sé­cu­ri­té au rayon­ne­ment international Pour une meilleure appré­hen­sion et ges­tion du risque cyber L’intelligence arti­fi­cielle au ser­vice de la planète Face à la cyber­me­nace, ensemble nous sommes plus forts !