Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Maxime Cartan & Alexandre Dieulangard, Citalid Cybersécurité : il est possible de démontrer au comité exécutif que la sécurité n’est pas qu’un poste de coûts

octobre 2018 par Marc Jacob

Citalid qui a obtenu le prix de l’Innovation des Assises de la Sécurité aura l’opportunité de faire connaître sa technologique d’analyse et de quantification des risques cyber. Maxime Cartan & Alexandre Dieulangard, Co-fondateurs de Citalid Cybersécurité considèrent que la quantification des risques cyber est possible, de même qu’il est possible de démontrer au comité exécutif que la sécurité n’est pas qu’un poste de coûts.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Maxime Cartan & Alexandre Dieulangard : Citalid a eu l’honneur d’être élue prix de l’innovation et prix du public des Assises de la Sécurité 2018 : il s’agit d’une opportunité unique de faire connaître notre startup et sa proposition de valeur ! Créée par deux anciens du centre opérationnel de l’ANSSI, Citalid a pour mission d’aider les RSSI et « Risk Managers » à répondre à deux questions fondamentales en entreprise : à quelle perte financière suis-je exposé, et comment puis-je faire pour la minimiser ?

Pour y réussir, nous avons développé une solution technologique d’analyse et de quantification des risques cyber. Grâce à notre plateforme, nos clients peuvent identifier les cybermenaces les plus susceptibles de les cibler, visualiser les probabilités de coûts associées, et savoir comment s’en prémunir. En plus de bénéficier d’une vue centralisée de leur exposition financière et niveau de maturité par « business line » ou géographie, les décideurs peuvent simuler la rentabilité d’une mesure de défense, et créer des programmes d’investissement de sécurité adaptés à leurs besoins. Parce que la sécurité informatique, ce n’est pas que des coûts : c’est avant tout des économies !

GS Mag : Quel sera le thème de votre conférence cette année ?

Maxime Cartan & Alexandre Dieulangard : Dans des domaines plus anciens que la cybersécurité, la quantification financière des risques est depuis longtemps incontournable en entreprise. On entend trop souvent que c’est impossible dans notre domaine, en raison à la fois d’une trop grande incertitude et d’un manque de données historiques. Pourtant, c’est un passage obligé pour promouvoir la sécurité informatique du rang de simple problématique technique à celui de composante stratégique incontournable dans la prise de décision en entreprise.

Nous présenterons donc logiquement la méthodologie d’analyse du risque cyber FAIR (Factor of Analysis Information Risk), développée par l’Open Group. Citalid est la première entreprise en Europe à avoir été partenaire de cette méthode, conçue pour prendre en compte de façon objective l’incertitude liée au domaine cyber. Nous présenterons également la manière dont nous l’enrichissons à destination des décideurs, grâce à notre savoir-faire à la fois en Threat Intelligence et en géopolitique.

En effet, nos algorithmes sont les premiers à combiner l’analyse des cybermenaces, leur contextualisation géopolitique, et la quantification financière du risque à des fins d’anticipation des menaces informatiques. Vous verrez lors de notre atelier qu’anticiper ne relève pas de la boule de cristal. Citalid, c’est avant tout une aide à la décision simple, objective et transparente : grâce à notre solution, nos clients parlent le même langage que leur comité exécutif, tout en pouvant justifier chacune des métriques qu’ils lui présentent.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2018 ?

Maxime Cartan & Alexandre Dieulangard : En réalité, les motivations des attaquants informatiques (lucratives, idéologiques, concurrentielles, …) n’ont pas véritablement évolué. Certains attaquants continuent de mettre en œuvre des tactiques, techniques et procédures toujours plus discrètes et sophistiquées. Cependant, ils sont également de plus en plus nombreux à essayer de se fondre dans ce que l’on pourrait appeler « le bruit de fond » cybercriminel, notamment en réemployant les modes opératoires d’attaque correspondants. Il convient de noter que cette approche, conçue pour compliquer l’attribution, n’est encore que partiellement convaincante dans la pratique. En effet, les centres d’intérêts et finalités d’acteurs étatiques, pour ne citer qu’eux, présentent des dissonances nettes avec celles poursuivies par des cybercriminels classiques. Ainsi, sans parler d’attribution et peu importe l’acteur qui était derrière la campagne NotPetya, il est difficile de croire que la finalité première recherchée était lucrative.

La véritable rupture opérationnelle qui a marqué les deux dernières années est selon nous le franchissement de seuils psychologiques par certains attaquants informatiques de type APT (Advanced Persistent Threat). L’exemple des sabotages ukrainiens, ou encore les suspicions d’ingérence dans les élections américaines, témoignent d’un changement d’échelle et de motivation profonde des attaquants. Il n’est ici plus uniquement question de cibler un savoir-faire ou de détruire/paralyser une capacité de production : il s’agit de nuire aux fondements même d’un État, en recherchant à porter atteinte à la confiance que le citoyen accorde dans sa capacité à assurer les services essentiels ou à garantir l’intégrité du fonctionnement démocratique. Or l’expérience a montré que, lorsque la boîte de Pandore a été ouverte, il est très difficile de revenir en arrière. Par exemple, alors que les actes de sabotage informatique étaient relativement exceptionnels au début des années 2010, elles font désormais partie du paysage cyber depuis plusieurs années.

Ces quelques points, qui sont selon nous marquants, ne doivent évidemment pas éclipser les autres tendances bien identifiées et plus classiques : cryptojacking, rançongiciels, fuites de données, etc.

GS Mag : Quid des besoins des entreprises ?

Maxime Cartan & Alexandre Dieulangard : Les entreprises les plus matures ont d’ores et déjà compris la nécessité de connecter les données techniques, business et de contexte externe pour générer des analyses de risque pertinentes. La quantification est l’évolution naturelle de cette réflexion, le qualitatif étant très vite insuffisant pour soutenir des décisions au plus haut niveau exécutif. Ces acteurs voient tout de suite l’intérêt de notre solution pour eux, et valorisent notre approche simple et moins coûteuse que des solutions de type GRC (Gouvernance, gestion des Risques et Conformité).

D’autres entreprises ont besoin de monter en compétence, voire parfois de simplement réaliser que leur business est une cible d’intérêt pour des attaquants informatiques. Notre plateforme, conçue pour être la plus pédagogique possible, est un excellent moyen à la fois : de communiquer en interne sur les menaces susceptibles de les cibler, de rendre concrets les impacts potentiels, et de suggérer des mesures de défense rentables et directement opérationnelles. Enfin, dans tous les cas, les entreprises sont souvent noyées dans le flux de nouvelles solutions de sécurité. Comment savoir quelle solution est la plus adaptée à leur profil, la moins redondante avec celles déjà en place, et la plus rentable ?

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Maxime Cartan & Alexandre Dieulangard : Afin de continuer à répondre au mieux à ces enjeux, la qualité de nos analyses cyber, géopolitiques et financières sont cruciales. Pour cela, nous allons recruter des équipes dédiées à ces sujets en interne. Nous sommes également en contact avec des acteurs spécialisés afin d’étudier des pistes de partenariat à haute valeur ajoutée pour nos clients.

Concernant le besoin de faire le tri parmi les solutions de sécurité et de rationaliser la stratégie défensive, nous souhaitons développer un module permettant aux éditeurs et aux assurances de modéliser l’impact de leurs produits sur les risques de nos clients via notre plateforme. C’est une approche gagnant-gagnant : nos clients pourront simuler directement différentes approches d’investissement, et cela pourra générer des opportunités commerciales pour les éditeurs et assureurs les plus pertinents.

Notre objectif est donc de devenir l’interlocuteur technologique numéro 1 des RSSI et « Risk Managers » pour construire, aux côtés des cabinets de conseil, leur stratégie SSI sur le long-terme.

GS Mag : Avec l’entrée en vigueur du RGPD, la « security et la privacy by design » deviennent quasi incontournables. Quel sera votre positionnement en ce domaine ?

Maxime Cartan & Alexandre Dieulangard : Nous avons plusieurs approches concernant le RGPD. En premier lieu, le RGPD et sa médiatisation ont constitué une formidable vitrine pour la sécurité de l’information : de nombreux décideurs ont été obligés de prendre à bras-le-corps cette problématique. De plus, l’obligation de communiquer sur certaines fuites de données personnelles est une opportunité d’avoir une vision plus exhaustive des incidents de sécurité, ce qui ne fera qu’affiner les statistiques utilisées dans nos calculs.

En ce qui concerne l’analyse du risque cyber, nous intégrons le RGPD dans nos modèles : en effet, nous traitons l’ensemble des catégories de coûts associées à chaque menace, dont les coûts juridiques et amendes… or le risque d’amende associé au RGPD est non-négligeable. Nous quantifions même des scénarios dans lesquels la menace principale pour l’entreprise est le régulateur, et l’action de remédiation la plus efficace est alors la mise en conformité !

Enfin, nous n’oublions pas que nous sommes avant tout des experts de la menace, et il nous faut donc souligner une facette trop souvent oubliée du RGPD : comme pour toute nouveauté liée au monde de l’entreprise, certains attaquants ont su saisir la balle au bond ! De nouveaux mécanismes d’extorsion ont ainsi vu le jour, et des entreprises ont été victimes de chantages ayant pour levier la révélation publique de failles de sécurité les exposant à de possibles sanctions juridiques... en cas de non-paiement de la rançon associée.

GS Mag : Quel est votre message aux RSSI ?

Maxime Cartan & Alexandre Dieulangard : Nous avons deux messages principaux :
• Oui, la quantification des risques cyber est possible, il suffit de venir nous voir aux Assises et, pourquoi pas, d’entamer à nos côtés la même démarche vertueuse que nos clients actuels ;
• Oui, il est possible de démontrer à votre comité exécutif que la sécurité n’est pas qu’un poste de coûts, et qu’elle s’inscrit bien dans les réflexions stratégiques et business de votre entreprise.
Pour la petite histoire, un de nos clients a récemment présenté Citalid comme étant la startup qui tentait de « réaliser le rêve du RSSI », en lui permettant de piloter et d’ajuster sa stratégie de cyberdéfense en se fondant sur des éléments factuels et argumentés. Rejoignez-nous, et construisons ensemble votre stratégie à long-terme !




Voir les articles précédents

    

Voir les articles suivants