Security Defense Business Review

View Original

ITW de Maxime Cartan, co-fondateur et Président de Citalid

SDBR News : Vous présentez Citalid comme une plateforme de gestion avancée des risques Cyber. Que voulez-vous dire ?

Maxime Cartan : A l’origine, Alexandre Dieulangard et moi sommes deux anciens collaborateurs de l’ANSSI, une agence extrêmement formatrice qui nous a donné une expérience de premier plan sur des crises cyber d’envergure nationale ciblant OIV et gouvernements. Nous étions spécialisés dans la « cyber threat intelligence », autrement dit le renseignement sur la cyber-menace : c’est un domaine technique incluant une dimension d’analyse contextuelle et géopolitique importante, puisqu’il s’agit d’étudier comment et pourquoi les attaquants mènent leurs attaques dans le cyber espace. Nous nous sommes rendu compte que cette matière pouvait être exploitée pour impliquer les décideurs et les dirigeants des entreprises en générant des métriques financières dans leur langage. Pour commencer, nous avons donc décidé de croiser les informations sur les attaques cyber avec le profil économique de l’entreprise, pour identifier le risque qu’elle a d’être ciblée : l’entreprise correspond-elle à la « liste de courses » des attaquants ?

SDBR News : Pouvez-vous nous donner un exemple ?

Plateforme Citalid

Maxime Cartan : Et bien, en ce moment, une entreprise ayant une filiale en Ukraine risque de subir plus de cyber-attaques qu’une entreprise n’ayant aucune présence en Ukraine. Nous allons ensuite regarder quelles sont les techniques d’attaques, utilisées par les attaquants, considérées comme les plus pertinentes pour cette entreprise pour gérer au mieux ces risques : quels types d’outils malveillants et quels types d’opérations (espionnage, sabotage, rançongiciel, etc.) risque de subir le système d’information de l’entreprise ? Nous pourrons en déduire quels types de défense, d’outils défensifs ou de bons réflexes d’actions de sécurité devront être déployés en priorité pour protéger de façon optimale l’entreprise. C’est de la défense ciblée. Tout part de la Menace : quel type de menace doit être anticipé et comment s’en prémunir ? C’est une approche innovante que seuls des cabinets de conseil ou d’intelligence économique pratiquaient manuellement jusqu’ici. Nous avons choisi de le faire de manière technologique : nos algorithmes vont automatiquement traiter des bases de données très larges sur l’état des lieux des cyber-menaces et automatiquement pondérer l’importance des attaquants en fonction du profil de la cible.   

SDBR News : Dire qu’une entreprise travaillant en Ukraine risque d’être ciblée aujourd’hui n’est-il pas un peu simpliste ?

Maxime Cartan : Il s’agit bien sûr d’un exemple simplifié qui a le mérite d’être parlant. S’il prend une autre dimension aujourd’hui, il se trouve que nous l’utilisons comme illustration depuis plusieurs années en considération de l’historique cyber entre ces deux pays. Ce qui est important c’est de considérer les techniques d’attaques qui ont le plus de chance d’être déployées, d’évaluer leur probabilité de réussite et de proposer des outils de défense adaptés à ces menaces. Dans les faits, nous prenons en compte une somme de critères comme les dates anniversaires d’événements symboliques, la tenue prochaine d’événements internationaux, les divulgations massives de données qui peuvent être des opportunités pour les cybercriminels, etc. En outre, nous considérons un autre spectre d’analyse, le spectre financier : si l’attaque réussit, quelles pertes financières vont se déclencher dans l’entreprise ? Donc nous prenons en compte les trois composantes du risque : la fréquence de ciblage, le taux de succès de chaque attaque et le volume estimé des pertes potentielles. Avec ces trois éléments, nous permettons aux entreprises d’apprécier leur exposition financière au risque cyber.

SDBR News : Avez-vous un exemple à nous donner ?

Maxime Cartan : Nous travaillons avec de grands groupes internationaux aux activités très diverses : pour chacune de leurs activités, nos algorithmes vont déterminer automatiquement les scénarios de risques générant le plus d’exposition financière. Par exemple, pour des activités de construction il s’agira peut-être des rançongiciels, lorsque pour des activités de télécoms ce pourrait être l’espionnage, le sabotage ou le pré-positionnement avec une charge utile dormante. Selon les cas, nos algorithmes prendront en compte un éventail de pertes potentielles : perte d’exploitation, perte de réputation (suite à une fuite de données par exemple), perte d’opportunité commerciale (suite à une opération d’espionnage dans le cadre d’un appel d’offre par exemple), etc.

SDBR News : N’êtes-vous pas finalement un outil d’aide à l’assurance ?

Maxime Cartan : Une des pistes d’avenir de Citalid est en effet d’aider les assureurs à adapter leurs produits de cyber-assurance pour correspondre aux besoins du marché, ce qui est aujourd’hui difficile. C’est un travail d’actuariat, la mathématique de l’assurance, car nous sommes dans le domaine des probabilités. Dans le champ des possibles, nos algorithmes attribuent une probabilité à chaque valeur potentielle de chaque paramètre. Tout le cycle de simulation que nous opérons permet d’avoir un diagnostic financiarisé de l’exposition au risque de l’entreprise, puis de simuler ensuite des hypothèses différentes de défense ou d’assurance. Ce travail permet de déterminer la stratégie optimale pour l’entreprise analysée et de générer des recommandations d’investissements cyber et assurantiels avec un retour sur investissement (ROI) maximisé. Cette approche ROI est unique sur ce marché aujourd’hui et parle aux dirigeants. Nos recommandations sont agnostiques vis-à-vis des éditeurs de solutions, mais nous avons un réseau de cabinets de conseil partenaires qui peuvent ensuite accompagner les entreprises pour déployer des outils de sécurité adaptés au plan d’investissement généré.

SDBR News : Quel est le modèle économique de votre plateforme ?

Maxime Cartan : C’est un logiciel en mode SaaS qui permet au RSSI d’avoir accès à l’ensemble de l’analyse dans le champ de son entreprise : BU, Groupe, etc. C’est un outil de pilotage macro, de simulation mais aussi de sensibilisation, les impacts financiers potentiels d’une attaque étant un puissant levier de sensibilisation. Notre client est en général le RSSI groupe ou le Risk Manager, qui présentent ensuite les résultats aux comités de direction pour déclencher des budgets et au directeur des assurances pour la partie cyber-assurance. La SNCF est la première entreprise à nous avoir fait confiance, ce qui nous a beaucoup aidés à progresser grâce à la diversité de ses activités. Depuis, de nombreux autres groupes nous font confiance en France et à l’étranger : Hermès, Lagardère, AXA, Allianz, etc. soit au total une vingtaine de sociétés du CAC 40 ou équivalent ; nous travaillons aussi avec le ministère des Armées.

SDBR News : Que peut-on dire de la levée de fonds en cours ?

Maxime Cartan : Une partie de notre activité se développe beaucoup : l’aide au partage optimal du risque avec les assureurs. La difficulté de la cyber-assurance est la modélisation et la quantification du risque, ce que les assureurs ont du mal à faire. Or c’est notre cœur de métier et nous sommes des pionniers en Europe. En aidant les assurés à vérifier qu’ils sont bien couverts et en aidant les assureurs à proposer au marché des produits qui correspondent aux besoins des assurés, nous sommes en train de devenir un tiers de confiance incontournable. Nous nous sommes fixés la mission de débloquer le marché de l’assurance cyber, pour laquelle l’Etat nous soutient dans le cadre du « Grand Défi Cyber ». Le but de cette levée de fonds en cours est donc de pouvoir structurer l’entreprise avec des profils variés pour faire face à ces besoins de développement.  

https://citalid.com/fr

Crédits photos: Citalid