Rechercher
Rechercher
Citalid

Citalid, le GPS du risque cyber

Vie des Entreprises
Dossier : Vie des entreprisesMagazine N°753 Mars 2020
Par Maxime CARTAN

Car­to­gra­phier et quan­ti­fier les risques cyber des orga­ni­sa­tions requiert une exper­tise avan­cée dans de nom­breux domaines de com­pé­tence, et une vision à 360° du contexte de l’organisation. Maxime Car­tan, co-fon­da­teur & pré­sident de Cita­lid, pré­sente l’approche unique de la start-up à cet égard.

Parlez-nous de la genèse de Citalid.

Mon asso­cié et moi tra­vail­lions à l’ANSSI (Agence Natio­nale de la Sécu­ri­té des Sys­tèmes d’Information) dans le domaine de la Cyber Threat Intel­li­gence. À ce titre, nous avons par­ti­ci­pé à plu­sieurs opé­ra­tions de cyber défense auprès de minis­tères ou d’entreprises sen­sibles françaises. 

Nous avons été témoins, à tra­vers ces mis­sions, d’un manque de com­pré­hen­sion du risque cyber et d’implication des plus hauts niveaux déci­sion­nels des entre­prises. C’est la rai­son pour laquelle nous avons déci­dé de créer Cita­lid fin 2017, et notre équipe compte aujourd’hui une dou­zaine de collaborateurs. 

En misant sur notre exper­tise dans le domaine de la connais­sance des cyber­me­naces, nous avons été lau­réats du Prix de l’Innovation 2018 des Assises de la Sécu­ri­té ain­si que du Prix du Public, et avons rem­por­té le Prix Spé­cial du Jury de l’édition 2020 du Forum Inter­na­tio­nal de la Cyber­sé­cu­ri­té. Cela nous a per­mis de ren­for­cer notre déve­lop­pe­ment com­mer­cial et de réa­li­ser une levée de fonds d’un mon­tant de 1,2 M€ en juin dernier.

Citalid propose une plateforme logicielle de simulation du risque et des investissements cyber qui intègre une dimension financière. Pourquoi ce choix de positionnement ?

Au cours des der­nières années, le métier de res­pon­sable de la sécu­ri­té des SI (RSSI) s’est consi­dé­ra­ble­ment complexifié. 

Au-delà des menaces qui ne cessent de croître, notam­ment suite à la trans­for­ma­tion numé­rique des entre­prises, les déci­deurs doivent éga­le­ment inté­grer une dimen­sion bud­gé­taire forte. Il n’est pas viable aujourd’hui d’espérer cou­vrir la tota­li­té des scé­na­rios de risque cyber. Les RSSI et Risk Mana­gers doivent donc opter pour une logique d’arbitrage, et sélec­tion­ner les risques à accep­ter, à réduire, ou à trans­fé­rer à un cyber assu­reur. Une telle réponse dif­fé­ren­ciée néces­site une connais­sance et une vision à 360° de la menace et du niveau de défense de l’organisation. C’est à ce niveau que nous intervenons.

Concrètement, comment cela se traduit-il ? 

Nous déve­lop­pons une solu­tion logi­cielle qui agit comme un GPS du risque cyber à des­ti­na­tion des déci­deurs : nos algo­rithmes éva­luent leur posi­tion­ne­ment par rap­port à la menace, en pre­nant en compte leur niveau de matu­ri­té défen­sive et leur contexte ; puis la pla­te­forme les aide à défi­nir leurs objec­tifs de ges­tion du risque, et à quan­ti­fier leur expo­si­tion finan­cière au risque cyber ; enfin, une fois la posi­tion et l’objectif défi­nis, notre pro­duit cal­cule auto­ma­ti­que­ment le che­min opti­mal, c’est-à-dire le plan d’action et les inves­tis­se­ments prio­ri­taires, et éva­lue le ROI associé.

Dans un domaine aus­si tech­nique que la cyber­sé­cu­ri­té, nous avons besoin de dépas­ser et de com­plé­ter les don­nées tech­niques par un repor­ting dédié aux décideurs. 

C’est pour­quoi nous quan­ti­fions de manière éco­no­mique chaque scé­na­rio de risque, en cal­cu­lant les pro­ba­bi­li­tés de fré­quence et d’impact de chaque cyber­me­nace per­ti­nente dans le contexte de l’entreprise. Le risque peut être décou­pé en 3 com­po­santes principales :

  • La fré­quence des attaques tentées ;
  • Le taux de réus­site de chaque attaque, en fonc­tion du niveau de sophis­ti­ca­tion de l’attaquant et du niveau de défense de l’entreprise ;
  • L’impact finan­cier d’une attaque réussie.

Concrè­te­ment, cette méthode per­met­tra aux entre­prises de mieux com­prendre leurs risques, et ain­si de ratio­na­li­ser leurs inves­tis­se­ments tout en impli­quant le plus haut niveau décisionnel.

En ce qui concerne un sujet assez technique tel que la cybersécurité, comment engager les décideurs et les équipes de management au sein des entreprises ? 

Il est d’abord néces­saire de com­men­cer à voir la cyber­sé­cu­ri­té non pas comme un centre de coût, mais comme un centre d’investissement stra­té­gique. Chaque grande vague de cybe­rat­taques, comme celle de mai-juin 2017, contri­bue à sen­si­bi­li­ser les diri­geants à la cri­ti­ci­té du risque cyber pour leurs entre­prises. Afin de mieux les impli­quer, il est donc néces­saire de dépas­ser la simple don­née tech­nique et de rai­son­ner en termes d’exposition finan­cière pour l’organisation, à l’image de l’ensemble des risques his­to­riques trai­tés par l’entreprise.

Comment accompagnez-vous vos clients afin de mettre en place une démarche proactive des risques cyber ?

Les Res­pon­sables Cyber­sé­cu­ri­té uti­lisent notre logi­ciel afin de sélec­tion­ner et quan­ti­fier auto­ma­ti­que­ment les menaces les plus per­ti­nentes. Ils dis­posent ain­si un tableau de bord qui leur donne un résu­mé com­plet des dan­gers aux­quels ils font face, et leur pro­pose la meilleure façon de les gérer à 360°. 

Nous pou­vons éga­le­ment les assis­ter, ou les faire accom­pa­gner par un cabi­net de conseil par­te­naire, pour iden­ti­fier les « bons scé­na­rios de risque » qu’il va fal­loir trai­ter selon leurs contextes métier. 

Nous nous appuyons alors sur l’ensemble des don­nées que nous col­lec­tons : des don­nées tech­niques sur la menace et le niveau de défense, des don­nées contex­tuelles ou géo­po­li­tiques, des don­nées éco­no­miques, les sta­tis­tiques de pertes finan­cières, etc.

Quels sont les enjeux pour les produits de cyber assurance qui se développent sur le marché européen ? Comment appréhendez-vous ces challenges ?

Le mar­ché de la cyber assu­rance est beau­coup plus déve­lop­pé aux États-Unis qu’en Europe. Cepen­dant, les chiffres montrent une crois­sance accé­lé­rée à court et à moyen termes. L’enjeu prin­ci­pal est que le risque cyber est dif­fi­ci­le­ment quan­ti­fiable par les assureurs. 

En effet, l’approche actua­rielle tra­di­tion­nelle, fon­dée prin­ci­pa­le­ment sur les sta­tis­tiques his­to­riques des sinistres, n’est pas suf­fi­sante. En effet, le risque cyber est un risque nou­veau, et il n’existe pas suf­fi­sam­ment de don­nées his­to­riques fiables pour avoir des résul­tats optimaux. 

Afin de pal­lier les points faibles de cette démarche clas­sique en assu­rance, il est néces­saire d’adopter une approche tech­nique pour modé­li­ser ce risque de manière com­plé­men­taire aux don­nées sta­tis­tiques. Ain­si, nous aidons nos clients à quan­ti­fier le risque en ajou­tant notre exper­tise tech­nique – modé­li­sée dans notre solu­tion logi­cielle – dans la balance. 

Nous sommes éga­le­ment en capa­ci­té d’aider les assu­reurs à créer des pro­duits d’assurance dis­rup­tif. En effet, nous pou­vons modé­li­ser des primes d’assurance dyna­miques, qui reflètent l’exposition finan­cière réelle de l’entreprise. Les assu­reurs pour­raient de ce fait ajus­ter le prix et la cou­ver­ture de leurs pro­duits en fonc­tion du contexte, de l’évolution de la menace, et des efforts de sécu­ri­té déployés par les assu­rés, dont nous pou­vons cal­cu­ler le ROI en termes de réduc­tion du risque, et de l’évolution de la menace.

Qu’en est-il de vos perspectives ?

Aujourd’hui, nous sommes fiers d’être le choix de confiance de plu­sieurs grands comptes fran­çais dans des domaines cri­tiques tels que le trans­port, l’énergie, ou les télé­com­mu­ni­ca­tions. Nous cher­chons donc à conso­li­der notre posi­tion d’outil n°1 de ges­tion stra­té­gique des risques et des inves­tis­se­ments cyber. 

En paral­lèle, nous tra­vaillons de plus en plus acti­ve­ment avec le mar­ché des cyber assu­rances, afin de faire béné­fi­cier les assu­reurs et les cour­tiers de notre exper­tise tech­nique. Enfin, 2020 sera l’année de l’internationalisation pour Cita­lid, avec notam­ment une ouver­ture déjà en cours dans cer­tains pays européens. 

Côté R&D, nous avons eu la chance de béné­fi­cier en 2018 d’un par­te­na­riat avec l’école Poly­tech­nique dans le cadre d’un Pro­jet Scien­ti­fique Collectif. 

Pen­dant un an, 5 brillants étu­diants de l’X ont tra­vaillé à nos côtés sur la modé­li­sa­tion du lien entre le contexte géo­po­li­tique inter­na­tio­nal et les attaques cyber. Nous tenons ici à remer­cier Romain Cos­son, Loren­zo Filip­pi, Antoine Gué­don, Quen­tin Nico­las et Pierre Riz­cal­lah pour leur impli­ca­tion et leur tra­vail, qui conti­nue encore aujourd’hui à por­ter ses fruits pour notre pro­gramme de R&D.

De quels profils avez-vous besoin afin de soutenir votre développement ?

Nous avons plu­sieurs postes à pour­voir, notam­ment pour des pro­fils spé­ci­fiques tels que des data scien­tists, déve­lop­peurs et ana­lystes en Cyber Threat Intelligence. 

En paral­lèle, nous avons aus­si besoin de per­sonnes inté­res­sées par la géo­po­li­tique, l’intelligence éco­no­mique et l’analyse des don­nées issues de ces domaines.

Visi­ter le site Inter­net de Citalid



Articles similaires :

Intégration des réseaux énergétiquesLes infra­struc­tures de gaz accé­lé­ra­teur de la tran­si­tion énergétique Pub IDTGVLe train à l’heure de la digitalisation Default ThumbnailLes usages et les éner­gies d’une socié­té décarbonée Default ThumbnailL’hydrogène vert : un vec­teur incon­tour­nable de la tran­si­tion éner­gé­tique et de la décarbonation RATP neutralité carboneRATP : des enga­ge­ments ambi­tieux en faveur de la neu­tra­li­té carbone

Poster un commentaire