Rechercher
Rechercher
Citalid

Citalid, le GPS du risque cyber

Vie des Entreprises
Dossier : Vie des entreprisesMagazine N°753 Mars 2020
Par Maxime CARTAN
PDF de l'article

Car­togra­phi­er et quan­ti­fi­er les risques cyber des organ­i­sa­tions requiert une exper­tise avancée dans de nom­breux domaines de com­pé­tence, et une vision à 360° du con­texte de l’organisation. Maxime Car­tan, co-fon­da­teur & prési­dent de Cital­id, présente l’approche unique de la start-up à cet égard.

Parlez-nous de la genèse de Citalid.

Mon asso­cié et moi tra­vail­lions à l’ANSSI (Agence Nationale de la Sécu­rité des Sys­tèmes d’Information) dans le domaine de la Cyber Threat Intel­li­gence. À ce titre, nous avons par­ticipé à plusieurs opéra­tions de cyber défense auprès de min­istères ou d’entreprises sen­si­bles françaises. 

Nous avons été témoins, à tra­vers ces mis­sions, d’un manque de com­préhen­sion du risque cyber et d’implication des plus hauts niveaux déci­sion­nels des entre­pris­es. C’est la rai­son pour laque­lle nous avons décidé de créer Cital­id fin 2017, et notre équipe compte aujourd’hui une douzaine de collaborateurs. 

En mis­ant sur notre exper­tise dans le domaine de la con­nais­sance des cyber­me­n­aces, nous avons été lau­réats du Prix de l’Innovation 2018 des Assis­es de la Sécu­rité ain­si que du Prix du Pub­lic, et avons rem­porté le Prix Spé­cial du Jury de l’édition 2020 du Forum Inter­na­tion­al de la Cyber­sécu­rité. Cela nous a per­mis de ren­forcer notre développe­ment com­mer­cial et de réalis­er une lev­ée de fonds d’un mon­tant de 1,2 M€ en juin dernier.

Citalid propose une plateforme logicielle de simulation du risque et des investissements cyber qui intègre une dimension financière. Pourquoi ce choix de positionnement ?

Au cours des dernières années, le méti­er de respon­s­able de la sécu­rité des SI (RSSI) s’est con­sid­érable­ment complexifié. 

Au-delà des men­aces qui ne cessent de croître, notam­ment suite à la trans­for­ma­tion numérique des entre­pris­es, les décideurs doivent égale­ment inté­gr­er une dimen­sion budgé­taire forte. Il n’est pas viable aujourd’hui d’espérer cou­vrir la total­ité des scé­nar­ios de risque cyber. Les RSSI et Risk Man­agers doivent donc opter pour une logique d’arbitrage, et sélec­tion­ner les risques à accepter, à réduire, ou à trans­fér­er à un cyber assureur. Une telle réponse dif­féren­ciée néces­site une con­nais­sance et une vision à 360° de la men­ace et du niveau de défense de l’organisation. C’est à ce niveau que nous intervenons.

Concrètement, comment cela se traduit-il ? 

Nous dévelop­pons une solu­tion logi­cielle qui agit comme un GPS du risque cyber à des­ti­na­tion des décideurs : nos algo­rithmes éval­u­ent leur posi­tion­nement par rap­port à la men­ace, en prenant en compte leur niveau de matu­rité défen­sive et leur con­texte ; puis la plate­forme les aide à définir leurs objec­tifs de ges­tion du risque, et à quan­ti­fi­er leur expo­si­tion finan­cière au risque cyber ; enfin, une fois la posi­tion et l’objectif défi­nis, notre pro­duit cal­cule automa­tique­ment le chemin opti­mal, c’est-à-dire le plan d’action et les investisse­ments pri­or­i­taires, et éval­ue le ROI associé.

Dans un domaine aus­si tech­nique que la cyber­sécu­rité, nous avons besoin de dépass­er et de com­pléter les don­nées tech­niques par un report­ing dédié aux décideurs. 

C’est pourquoi nous quan­tifions de manière économique chaque scé­nario de risque, en cal­cu­lant les prob­a­bil­ités de fréquence et d’impact de chaque cyber­me­n­ace per­ti­nente dans le con­texte de l’entreprise. Le risque peut être découpé en 3 com­posantes principales :

  • La fréquence des attaques tentées ;
  • Le taux de réus­site de chaque attaque, en fonc­tion du niveau de sophis­ti­ca­tion de l’attaquant et du niveau de défense de l’entreprise ;
  • L’impact financier d’une attaque réussie.

Con­crète­ment, cette méth­ode per­me­t­tra aux entre­pris­es de mieux com­pren­dre leurs risques, et ain­si de ratio­nalis­er leurs investisse­ments tout en impli­quant le plus haut niveau décisionnel.

En ce qui concerne un sujet assez technique tel que la cybersécurité, comment engager les décideurs et les équipes de management au sein des entreprises ? 

Il est d’abord néces­saire de com­mencer à voir la cyber­sécu­rité non pas comme un cen­tre de coût, mais comme un cen­tre d’investissement stratégique. Chaque grande vague de cyber­at­taques, comme celle de mai-juin 2017, con­tribue à sen­si­bilis­er les dirigeants à la crit­ic­ité du risque cyber pour leurs entre­pris­es. Afin de mieux les impli­quer, il est donc néces­saire de dépass­er la sim­ple don­née tech­nique et de raison­ner en ter­mes d’exposition finan­cière pour l’organisation, à l’image de l’ensemble des risques his­toriques traités par l’entreprise.

Comment accompagnez-vous vos clients afin de mettre en place une démarche proactive des risques cyber ?

Les Respon­s­ables Cyber­sécu­rité utilisent notre logi­ciel afin de sélec­tion­ner et quan­ti­fi­er automa­tique­ment les men­aces les plus per­ti­nentes. Ils dis­posent ain­si un tableau de bord qui leur donne un résumé com­plet des dan­gers aux­quels ils font face, et leur pro­pose la meilleure façon de les gér­er à 360°. 

Nous pou­vons égale­ment les assis­ter, ou les faire accom­pa­g­n­er par un cab­i­net de con­seil parte­naire, pour iden­ti­fi­er les « bons scé­nar­ios de risque » qu’il va fal­loir traiter selon leurs con­textes métier. 

Nous nous appuyons alors sur l’ensemble des don­nées que nous col­lec­tons : des don­nées tech­niques sur la men­ace et le niveau de défense, des don­nées con­textuelles ou géopoli­tiques, des don­nées économiques, les sta­tis­tiques de pertes finan­cières, etc.

Quels sont les enjeux pour les produits de cyber assurance qui se développent sur le marché européen ? Comment appréhendez-vous ces challenges ?

Le marché de la cyber assur­ance est beau­coup plus dévelop­pé aux États-Unis qu’en Europe. Cepen­dant, les chiffres mon­trent une crois­sance accélérée à court et à moyen ter­mes. L’enjeu prin­ci­pal est que le risque cyber est dif­fi­cile­ment quan­tifi­able par les assureurs. 

En effet, l’approche actu­ar­ielle tra­di­tion­nelle, fondée prin­ci­pale­ment sur les sta­tis­tiques his­toriques des sin­istres, n’est pas suff­isante. En effet, le risque cyber est un risque nou­veau, et il n’existe pas suff­isam­ment de don­nées his­toriques fiables pour avoir des résul­tats optimaux. 

Afin de pal­li­er les points faibles de cette démarche clas­sique en assur­ance, il est néces­saire d’adopter une approche tech­nique pour mod­élis­er ce risque de manière com­plé­men­taire aux don­nées sta­tis­tiques. Ain­si, nous aidons nos clients à quan­ti­fi­er le risque en ajoutant notre exper­tise tech­nique – mod­élisée dans notre solu­tion logi­cielle – dans la balance. 

Nous sommes égale­ment en capac­ité d’aider les assureurs à créer des pro­duits d’assurance dis­rup­tif. En effet, nous pou­vons mod­élis­er des primes d’assurance dynamiques, qui reflè­tent l’exposition finan­cière réelle de l’entreprise. Les assureurs pour­raient de ce fait ajuster le prix et la cou­ver­ture de leurs pro­duits en fonc­tion du con­texte, de l’évolution de la men­ace, et des efforts de sécu­rité déployés par les assurés, dont nous pou­vons cal­culer le ROI en ter­mes de réduc­tion du risque, et de l’évolution de la menace.

Qu’en est-il de vos perspectives ?

Aujourd’hui, nous sommes fiers d’être le choix de con­fi­ance de plusieurs grands comptes français dans des domaines cri­tiques tels que le trans­port, l’énergie, ou les télé­com­mu­ni­ca­tions. Nous cher­chons donc à con­solid­er notre posi­tion d’outil n°1 de ges­tion stratégique des risques et des investisse­ments cyber. 

En par­al­lèle, nous tra­vail­lons de plus en plus active­ment avec le marché des cyber assur­ances, afin de faire béné­fici­er les assureurs et les courtiers de notre exper­tise tech­nique. Enfin, 2020 sera l’année de l’internationalisation pour Cital­id, avec notam­ment une ouver­ture déjà en cours dans cer­tains pays européens. 

Côté R&D, nous avons eu la chance de béné­fici­er en 2018 d’un parte­nar­i­at avec l’école Poly­tech­nique dans le cadre d’un Pro­jet Sci­en­tifique Collectif. 

Pen­dant un an, 5 bril­lants étu­di­ants de l’X ont tra­vail­lé à nos côtés sur la mod­éli­sa­tion du lien entre le con­texte géopoli­tique inter­na­tion­al et les attaques cyber. Nous tenons ici à remerci­er Romain Cos­son, Loren­zo Fil­ip­pi, Antoine Gué­don, Quentin Nico­las et Pierre Riz­callah pour leur impli­ca­tion et leur tra­vail, qui con­tin­ue encore aujourd’hui à porter ses fruits pour notre pro­gramme de R&D.

De quels profils avez-vous besoin afin de soutenir votre développement ?

Nous avons plusieurs postes à pour­voir, notam­ment pour des pro­fils spé­ci­fiques tels que des data sci­en­tists, développeurs et ana­lystes en Cyber Threat Intelligence. 

En par­al­lèle, nous avons aus­si besoin de per­son­nes intéressées par la géopoli­tique, l’intelligence économique et l’analyse des don­nées issues de ces domaines.

Vis­iter le site Inter­net de Citalid



Articles similaires :

Logo LENDIXLENDIX : Le prêt en ligne pour les entreprises Default ThumbnailALTARES : Le cham­pi­on de l’analyse de données Default ThumbnailBureau Ver­i­tas : “La créa­tion d’un monde de confiance” Default ThumbnailPour une ges­tion sim­ple, effi­cace et glob­ale du flux documentaire ! Diot les assureurs santé et la covidQuelle atti­tude adopter face aux assureurs prévoyance/santé après la crise sanitaire ? Champagne territoiresAu plus près des territoires

Poster un commentaire