Ciitalid

Une solution de cybersécurité pensée pour les décideurs

Dossier : Vie des entreprisesMagazine N°784 Avril 2023
Par Maxime CARTAN

Maxime Car­tan, cofon­da­teur et CEO de Cital­id, nous explique pourquoi sa start-up a fait le choix de dévelop­per et de pro­pos­er une solu­tion de cyber­sécu­rité pour les décideurs et les dirigeants. Dans cette inter­view, il revient sur le posi­tion­nement de Cital­id, son approche de pilotage du risque cyber et ses prin­ci­paux leviers de différenciation.

Dans le monde de la cybersécurité, quel est le positionnement de Citalid ?

Nous avons co-fondé Cital­id avec Alexan­dre Dieu­lan­gard fin 2017, après nous être ren­con­trés à l’ANSSI où nous étions experts dans le domaine de la threat intel­li­gence, c’est-à-dire du ren­seigne­ment sur la cyber­me­n­ace. Notre méti­er était alors de con­tex­tu­alis­er des don­nées très tech­niques sur les attaques que subis­saient les entités cri­tiques français­es d’un point de vue géopoli­tique ou économique, afin d’informer les autorités sur les caus­es de ces attaques, leur con­texte, le mode opéra­toire et leurs impacts. Notre rôle était en quelque sorte de vul­garis­er ces don­nées tech­niques afin de les met­tre à dis­po­si­tion de per­son­nes qui n’avaient pas de con­nais­sances spé­ci­fiques en cybersécurité.

“Nous avons un positionnement transverse et complémentaire au marché de la cybersécurité classique qui se concentre essentiellement sur la protection et la détection des menaces cyber.”

Aujourd’hui, on retrou­ve cette expéri­ence et ce méti­er au cœur de l’ADN de Cital­id. Con­crète­ment, nous avons un posi­tion­nement trans­verse et com­plé­men­taire au marché de la cyber­sécu­rité clas­sique qui se con­cen­tre essen­tielle­ment sur la pro­tec­tion et la détec­tion des men­aces cyber. Nous pro­posons, en effet, un out­il d’anticipation et de pilotage du risque cyber qui s’adresse directe­ment aux dirigeants des entre­pris­es. Notre ambi­tion est de don­ner aux entre­pris­es les moyens de vivre en con­fi­ance dans un monde où le risque cyber va con­tin­uer à s’intensifier. Cital­id s’appuie aus­si sur un socle R&D fort avec notam­ment, lors de notre lance­ment, l’implication des équipes de l’École Poly­tech­nique dans le cadre d’un PSC. Aujourd’hui, nous sommes une quar­an­taine de col­lab­o­ra­teurs et nous con­nais­sons une phase de très forte croissance.

Pourquoi avoir placé la quantification du risque cyber et son évaluation au cœur de votre activité et de votre proposition de valeur ?

Nous avons pris le par­ti de nous adress­er aux décideurs et aux dirigeants pour leur don­ner les moyens de mieux com­pren­dre le risque cyber. L’idée est ain­si de con­stru­ire des passerelles entre ces décideurs, qui sont guidés par des enjeux busi­ness et financiers, et les experts tech­niques. Cela doit leur per­me­t­tre d’éclairer leurs déci­sions d’investissement en matière de sécu­rité, d’assurance… afin de mieux les pri­oris­er et d’évaluer le retour sur investisse­ment de chaque action cyber ou cou­ver­ture assur­antielle. Pour ce faire, il faut cal­culer divers­es métriques d’exposition aux risques : à quelle fréquence l’entreprise risque-t-elle de subir des attaques ? de la part de qui ? de quelle manière ? à com­bi­en vont s’évaluer les pertes de l’entreprise ? quel sera l’impact sur sa répu­ta­tion et sa notoriété ? quelles seront les con­séquences opéra­tionnelles et finan­cières ?… La clé pour éclair­er les décideurs sur l’ensemble de ces dimen­sions est la notion de quan­tifi­ca­tion du risque. Dans cette démarche, la prin­ci­pale dif­fi­culté est de pou­voir réalis­er ce tra­vail de manière sim­ple et fiable pour opti­miser la prise de décision.

En quoi le fait d’aborder le risque cyber au travers du prisme du dirigeant est-il différent de proposer des solutions pour les opérationnels ?

Dans les organ­i­sa­tions, il y a une forme de silo entre les dirigeants et les équipes tech­niques qui agis­sent au quo­ti­di­en pour pro­téger l’entreprise et répon­dre à d’éventuelles attaques. Ces dernières ont beau­coup de dif­fi­cultés à faire le lien entre leur réal­ité opéra­tionnelle et la stratégie busi­ness et finan­cière de leur entre­prise. À mesure qu’on entend de plus en plus par­ler de retour sur investisse­ment cyber, c’est, toute­fois, une prob­lé­ma­tique qui tend à se résor­ber. D’ailleurs, nous sommes forte­ment sol­lic­ités sur cet enjeu par les RSSI des grands comptes et ETI en Europe afin d’aligner, de bout-en-bout, les con­sid­éra­tions tech­niques, tech­nologiques, tac­tiques, busi­ness et finan­cières au ser­vice d’une meilleure appréhen­sion du risque cyber.

Au-delà, on remar­que aus­si que les entre­pris­es sont plus pro-actives en matière de cyber­sécu­rité : il ne s’agit plus seule­ment de réa­gir à une cyber­at­taque, mais de pro­jeter une stratégie qui va, entre autres, anticiper l’évolution de la men­ace dans le temps pour opti­miser les moyens de réduire le risque.
Avec notre solu­tion, nous con­tribuons ain­si à cass­er ces silos et à faire la jonc­tion entre les opéra­tionnels, les dirigeants et le retour sur investisse­ment cyber. Et pour ce faire, nous trans­for­mons des don­nées tech­niques sur la men­ace, sa dynamique et son évo­lu­tion dans un lan­gage déci­sion­nel à la portée de tous les décideurs.

Comment cet accompagnement se traduit-il au sein des entreprises ?

Nous met­tons à leur dis­po­si­tion un logi­ciel en mode SaaS qui est des­tiné en pri­or­ité aux RSSI, aux Risk Man­agers et aux directeurs des assur­ances. Notre tech­nolo­gie a la par­tic­u­lar­ité de pou­voir pro­duire très rapi­de­ment une pre­mière analyse quan­ti­ta­tive de l’exposition cyber en s’appuyant sur une base de don­nées pro­prié­taire por­tant sur les acteurs malveil­lants actuelle­ment act­ifs et qui ciblent des entre­pris­es sem­blables à la leur. En sélec­tion­nant automa­tique­ment les men­aces appro­priées au con­texte de l’entreprise, nous pou­vons cal­culer la fréquence poten­tielle d’un inci­dent cyber en con­frontant le mode opéra­toire pro­pre à cette men­ace avec les dis­posi­tifs et pro­to­coles défen­sifs mis en place par l’entreprise. À par­tir de ces élé­ments, notre solu­tion peut éval­uer la prob­a­bil­ité de suc­cès de chaque attaque simulée.

Grâce à des mod­èles d’IA que nous avons dévelop­pés en interne, nous pou­vons aus­si cal­culer les pertes finan­cières asso­ciées à chaque attaque. Enfin, nous aidons nos clients à traduire ces résul­tats en actions con­crètes : élab­o­ra­tion de plan d’investissement et de sécu­rité ; iden­ti­fi­ca­tion des polices d’assurance les plus per­ti­nentes en fonc­tion du risque…

Quel est le niveau de maturité des entreprises françaises et européennes sur ce sujet ?

Depuis plusieurs années, de nom­breux acteurs, notam­ment dans le monde du con­seil, pointent la néces­sité de sen­si­bilis­er et d’impliquer les décideurs dans la ges­tion du risque cyber. Aujourd’hui, de plus en plus de respon­s­ables du risque cyber inter­vi­en­nent dans les comités de direc­tion pour met­tre en évi­dence ces risques. Si la place cen­trale de la cyber­sécu­rité dans la stratégie de l’entreprise n’est aujourd’hui plus à prou­ver, il s’agit doré­na­vant de dévelop­per sa résilience face à cette men­ace. Cette prise de con­science con­cerne aus­si bien les organ­i­sa­tions de la sphère privée que du secteur public.

Dans ce cadre, quels sont les enjeux et problématiques que votre solution permet de relever ?

Notre approche bayési­enne de quan­tifi­ca­tion du risque per­met d’obtenir le meilleur des deux mon­des de l’expertise humaine et de l’IA. Notre méth­ode math­é­ma­tique a, d’ailleurs, récem­ment été décrite dans un rap­port de Direc­tion Générale du Tré­sor comme l’avenir de la quan­tifi­ca­tion du risque cyber pour les assureurs cyber.
Con­crète­ment, nous nous dif­féren­cions par notre capac­ité à con­tex­tu­alis­er le risque sur le plan géopoli­tique, économique, busi­ness… Cette démarche per­met d’améliorer la trans­parence et l’explicabilité des cal­culs et donc d’améliorer aus­si la prise de déci­sion. Ce sujet était, d’ailleurs, au cœur du PSC qui a impliqué l’École poly­tech­nique en 2018.

En 2022, vous avez levé 12 millions. Quelles sont les prochaines étapes pour Citalid ?

Cette lev­ée de fonds a été réal­isée avec le con­cours de nos investis­seurs his­toriques Axeleo Cap­i­tal et BNP Développe­ment ; de Sev­en­ture, qui est très présent sur la scène européenne du développe­ment de logi­ciels SaaS Fin­Tech et AssurTech ; et les assureurs Relyens et Albingia.

Notre objec­tif est d’accélérer notre développe­ment inter­na­tion­al, en com­mençant par l’Europe.
Actuelle­ment présents au Bénélux, en Alle­magne et en Suisse, nous voulons ren­forcer notre présence en Alle­magne et la dévelop­per au Roy­aume-Uni et dans les pays nordiques. En par­al­lèle, nous met­tons aus­si nos méthodolo­gies de quan­tifi­ca­tion du risque au ser­vice des acteurs de la cyberas­sur­ance, qui ont un rôle clé à jouer en matière de maîtrise de ce risque et de développe­ment de la résilience de l’économie.

Le capital humain est clé dans le secteur de la cybersécurité. Quels sont les profils que vous recherchez ?

Au-delà des com­pé­tences tech­niques, nous recher­chons surtout des hommes et des femmes intéressés par cet univers pas­sion­nant, sans pour autant être des experts de la cyber­sécu­rité, et qui ont la capac­ité de créer des passerelles entre la tech­nique, la finance, l’assurance et la géopolitique.

Poster un commentaire