Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Roxanne Deslandes, Citalid Cybersécurité : Les RSSI et les acteurs de la filière de l’assurance doivent travailler de concert

octobre 2021 par Marc Jacob

Pour sa nouvelle participation aux Assises de la Sécurité, Citalid va dévoiler des innovations qui vont consacrer l’avènement de la nouvelle génération de technologies de pilotage du risque cyber. Ainsi, lors de sa conférence Citalid interviendra au aux côtés de la Maison Hermès, qui fera un retour d’expérience sur le déploiement de notre solution de pilotage des risques cyber nouvelle génération permettant de quantifier son exposition financière. Roxanne Deslandes, Product Manager de Citalid Cybersécurité estime que pour relever le défi de l’intensité et des caractéristiques de la menace cyber, tous les acteurs, du RSSI à l’assureur et au réassureur en passant par le courtier, doivent travailler main dans la main avec des modèles, des données et un langage commun.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Roxanne Deslandes : Cette année encore, nous allons dévoiler des innovations qui vont rebattre les cartes et consacrer l’avènement de la nouvelle génération de technologies de pilotage du risque cyber. Notre équipe d’une vingtaine d’alchimistes cyber continue de transmuter les données techniques en métriques décisionnelles pour optimiser l’ensemble de la chaîne de valeur stratégique du risque en entreprise, de la quantification de l’exposition financière à son partage à la cyberassurance, en passant par sa réduction via des solutions de sécurité.

Sans « divulgâcher » les nouvelles fonctionnalités de notre solution logicielle que vous pourrez découvrir sur notre stand (Ravel - emplacement 172), nous pouvons annoncer entre autres :
• la possibilité de simuler l’efficacité de sa police de cyberassurance sur son exposition au risque, ainsi qu’une toute nouvelle offre d’aide à la souscription et/ou au renouvellement en partenariat avec Inquest et plusieurs courtiers ;
• le pilotage de l’exposition financière induite par l’écosystème d’une organisation, des tiers tels que ses fournisseurs, prestataires, etc. ;
• la prise en compte complète des scénarios stratégiques, graphes de biens supports SI, etc. comme le recommande la méthodologie EBIOS Risk Manager de l’ANSSI ;
• la possibilité de passer en un clic d’une analyse quantitative à une analyse qualitative et vice-versa, pour ceux qui ont des échelles qualitatives incontournables en interne ;
• des bibliothèques de scénarios de risque sur-étagère toujours plus étoffées et précises pour affirmer toujours plus l’ADN de Citalid et ce qui fait notre différence : simplicité d’usage, transparence et profondeur d’analyse – illustrées par la capacité à précalculer automatiquement l’ensemble des paramètres d’une analyse de risque grâce à nos données de Threat Intelligence (potentiellement combinées avec celles de nos clients) afin d’initialiser rapidement une analyse et d’éviter le syndrome de la feuille blanche, tout en laissant la liberté à nos clients de modifier et affiner nos recommandations ;
• l’intégration de nouveaux référentiels de sécurité (questionnaires assurantiels, référentiels de partenaires comme Wavestone, etc.) et leur mapping sur les modèles Citalid, pour assurer la compatibilité la plus large possible avec les usages de nos clients.

GS Mag : Quel sera le thème de votre conférence cette année ?

Roxanne Deslandes : Cette année, nous serons honorés d’intervenir aux côtés de la Maison Hermès, qui fera un retour d’expérience sur le déploiement de notre solution de pilotage des risques cyber nouvelle génération permettant de quantifier son exposition financière.

Cette conférence sera pour nous l’occasion de vous montrer que tout part de la connaissance de la menace. Grâce à la Cyber Threat Intelligence (CTI), il devient possible de rendre les analyses de risque dynamiques, contextualisées, quantifiées et actionnables. Bien utilisée, la CTI permet à nos clients :
• d’identifier et de modéliser les menaces les plus susceptibles de les cibler, d’un point de vue stratégique comme tactique,
• de simuler leur exposition financière aux risques cyber, directe mais également induite par les parties prenantes de leur écosystème,
• de piloter et de simuler un plan d’investissement de sécurité optimal pour réduire cette exposition, en prenant en compte leur appétence au risque et leur budget,
• et de partager au mieux leur risque résiduel, après le séisme subi par le marché de la cyberassurance en 2020.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?

Roxanne Deslandes : La crise de la Covid-19 continue d’être une opportunité pour les attaquants informatiques qui ont suivi la logique selon laquelle il est toujours plus simple de cibler le maillon le plus faible du système d’information pour y prendre pied. Les collaborateurs en télétravail et les services cloud sont donc devenus une cible de choix. Mais dans cette même veine, des acteurs réputés étatiques ont eux aussi continué d’industrialiser les techniques d’attaque destinées à cibler ce maillon le plus faible, en visant directement les fournisseurs et chaînes d’approvisionnement de grands groupes ou éditeurs de logiciels dans le cadre de campagnes massives d’espionnage (notamment Solarwinds). C’est d’ailleurs pour cela que nous avons développé une nouvelle offre d’analyse du risque induit par l’écosystème d’une organisation. Les attaques attribuées à des États poursuivant des finalités d’espionnage informatique continuent donc d’être une menace récurrente pour bon nombre d’entreprises de nombreux secteurs de toutes tailles, y compris lorsqu’elles ne sont pas les cibles directes des attaquants.

Par ailleurs, si Citalid place la notion de retour sur investissement (ROI) au cœur de notre démarche d’aide à la décision stratégique, sachez que nous ne sommes pas les seuls : c’est aussi le cas des cybercriminels ! Au même titre qu’une entreprise classique, ces derniers continuent à innover « en mode projet » pour relever des enjeux qui nous sont familiers.

• Le taux de conversion : comment optimiser le pourcentage de cibles qui vont payer une rançon, à l’heure où de nombreuses entreprises commencent à comprendre l’importance des sauvegardes pour limiter l’impact des rançongiciels ? Une technique a particulièrement (re)pris de l’ampleur au sein de l’écosystème cybercriminel en 2021 : elle consiste à exfiltrer les données avant de les chiffrer, afin de pouvoir faire chanter l’entreprise en menaçant de les divulguer publiquement en cas de non-paiement de la rançon.

• La rentabilité : comment maximiser la rançon qui sera payée ? Là encore, les attaquants ont trouvé une solution imparable : compromettre les assureurs afin d’obtenir la liste de leurs assurés et de savoir jusqu’à quel montant le paiement de la rançon était couvert. Pour un attaquant, cela correspond à une liste de cibles avec une rançon optimale pour chacune d’entre elles, la barrière psychologique de la rançon étant moins élevée lorsque l’on sait qu’un assureur va nous rembourser – pratique que les États s’attèlent de plus en plus à restreindre.

• La diversification des revenus : lorsqu’un modèle économique comme celui de la rançon fonctionne autant, pourquoi ne pas chercher à l’appliquer sur d’autres sources potentielles de revenus et d’autres types d’attaques ? Si le RaaS (« Ransomware as a Service ») a continué à se développer, il est de nouveau appliqué aux dénis de service par exemple, une pratique appelée le RansomDDoS.

Enfin, dernière « menace » que nous souhaitons mentionner est celle que représenterait le retrait du marché, ou le refus de se positionner sur de nouveaux programmes, de certains assureurs. Le risque résiduel porté par les entreprises est et demeurera important au regard de l’intensité de la menace, et il est vital que des solutions efficaces de partage de ce risque restent disponibles. Les acteurs de l’assurance ont un rôle clé à jouer dans la gestion du risque cyber et Citalid dispose de tous les outils pour les aider à le jouer, mais cette fois en reconstruisant un modèle leur permettant d’atteindre la croissance et la rentabilité nécessaires.

GS Mag : Quid des besoins des entreprises ?

Roxanne Deslandes : De nombreuses entreprises naviguent encore à l’aveugle face à une menace cyber qui évolue de jour en jour et qui s’avère parfois complexe à anticiper. C’est la double peine lorsque l’on considère le poids des contraintes techniques, calendaires, légales et financières que ces dernières subissent, quelle que soit leur maturité, dans l’allocation des moyens de protection.

Les entreprises ont dès lors plus que jamais besoin de faire entrer le risque cyber comme un risque à part entière de l’entreprise. Le processus est (parfois) long, car une fois passé la phase de déni pour accéder à la prise de conscience, il faut encore réunir et coordonner les bonnes personnes (RSSI, Risk Manager, Directeurs financiers et des assurances) pour délivrer le bon message (partant des cybermenaces susceptibles de cibler l’entreprise en les transformant en métriques financières activables) au bon moment et aux bonnes personnes (Chef d’entreprise, COMEX). Comment aujourd’hui prétendre mettre en œuvre une stratégie de cyberdéfense optimale en se privant de l’arbitrage éclairé des plus hautes instances de l’organisation ? C’est un non-sens ! Il faut « mettre les décideurs en capacité de décider ». Cela passe par des métriques financières adaptées, transparentes et dynamiques, construites sur la réalité du terrain cyber et permettant aux décisionnaires d’arbitrer parmi les stratégies de traitement de ce risque : réduction, maintien ou encore partage dans les meilleures conditions avec les partenaires assurantiels.

Cette stratégie de connaissance et d’anticipation des menaces, doit s’inscrire dans une politique de « cyberdéfense ciblée » (à l’image des attaquants qui réalisent depuis longtemps des attaques ciblées), permettant de mettre en œuvre les efforts humains et budgétaires là où ils en valent la peine. En effet, pendant la crise de la Covid-19 beaucoup d’entreprises ont accumulé des solutions de cybersécurité sans se préoccuper préalablement du paysage de menaces informatiques susceptibles de les cibler (Atelier 2 « Sources de risque » de la méthode EBIOS Risk Manager). Pour certaines d’entre-elles, les investissements réalisés ont engendré un cumul de solutions diverses, parfois complexes à mettre en œuvre, sans vraiment permettre de réduire de façon effective le risque cyber auquel elles faisaient face. Résultat, elles doivent aujourd’hui réorienter et rationaliser leurs investissements de cyberdéfense. La nouvelle génération de pilotage du risque cyber que propose Citalid peut largement les aider sur ce point.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Roxanne Deslandes : L’ambition de Citalid est de couvrir l’intégralité de la chaîne du risque cyber !

Notre solution logicielle ne cesse d’évoluer depuis 2017 en intégrant bien entendu de nouvelles fonctionnalités innovantes évoquées ci-dessus, et s’adresse aussi à un public toujours plus large : RSSI, Risk Managers, Directions Administratives et Financières, Assureurs, Courtiers, Réassureurs, Sociétés de Conseil, et ceci tant pour les grands groupes et les ETI que pour les administrations publiques, et de plus en plus aussi pour les PME.

Dans un contexte où les assureurs ont plus que jamais un rôle clé dans la gestion du risque cyber, et malgré le séisme qu’ils ont subi en 2020 et le durcissement des conditions de marché qui en a résulté, notre conception est qu’un pilotage du risque cyber de bout en bout nécessite non seulement de permettre aux entreprises d’identifier et de simuler les investissements de sécurité optimaux, mais également de bénéficier de polices d’assurance adaptées pour partager au mieux leur risque résiduel, inévitable au regard de l’intensité de la menace. Citalid dispose désormais d’une gamme de solutions de quantification complète destinées tant aux assurés, qu’aux acteurs de la cyberassurance, courtiers comme (ré)assureurs, et de partenariats stratégiques dans le domaine.

GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Roxanne Deslandes : L’édition de logiciel est historiquement familière du travail à distance de ses équipes et le télétravail était donc déjà rendu possible au sein de Citalid . Les pratiques et procédures en termes de sécurité et de sensibilisation de nos collaborateurs étaient déjà présentes et ont dès lors été renforcées.
Les environnements de développement sont sécurisés « by-design » et le produit lui-même est conçu et maintenu selon l’état de l’art en matière de sécurité, afin de garantir l’intégrité, la confidentialité des données que nous hébergeons mais aussi la disponibilité de nos services. En ce sens, nos environnements bénéficient notamment d’un programme de Bug Bounty en continu conduit par les équipes d’experts de la société Yogosha. Au sein de notre offre, nous avons principalement pris cet aspect en compte via un connecteur avec le Secure Score des environnements Microsoft Office365. Ainsi, toutes les entreprises exploitant un environnement O365 peuvent désormais générer facilement une analyse de risque dynamique, sur la base de scénarios adaptés aux enjeux du cloud et confrontés dynamiquement à leur maturité défensive (Secure Score) collectée automatiquement et en continu par nos algorithmes.

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Roxanne Deslandes : Nous rejoignons bien entendu l’appel des Assisses de cette année, reprenant les mots de Patrick Pailloux de 2011, en faveur d’un « retour aux fondamentaux » avec notamment, une application stricte du guide d’hygiène de l’ANSSI via des « piqûres de rappel », c’est-à-dire au travers de formation de sensibilisation et de mises en situation régulières des utilisateurs. La clé pour limiter l’exposition au risque cyber, c’est également l’anticipation. Le processus continu qui en découle peut se mettre en place au travers de principes simples et bien connus :
- Know Yourself : il est en effet impératif de connaître son exposition au risque cyber en évaluant en continu son niveau de maturité défensive, en identifiant les assets à risque ainsi que les impacts opérationnels et financiers potentiels sur ces derniers, et en prenant en compte le cas échéant la saisonnalité business.
- Know Your Enemy : il ensuite primordial d’identifier mais aussi de simuler de façon dynamique les scénarios intégrant les menaces susceptibles d’avoir un impact sur les ressources de l’organisation à protéger.
- Know Your Strategy : en pleine connaissance des enjeux et en concertation avec les parties prenantes et les instances décisionnelles, il vous appartient dès lors d’équilibrer ce portefeuille de risque selon votre appétence, en choisissant de l’accepter, de le réduire ou de le partager avec des partenaires assurantiels.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Roxanne Deslandes : Comme évoqué précédemment, l’année 2021 marque une véritable prise de conscience de l’intensité et des caractéristiques de la menace cyber sur le marché de la cyberassurance. Le durcissement généralisé des conditions d’accès à la cyberassurance devient un véritable frein à l’élaboration d’une stratégie de défense complète pour les RSSI et leurs organisations. L’augmentation des primes et des franchises, la réduction des capacités, la multiplication et la complexification des questionnaires de souscription, la remise en question de la profondeur d’analyse de certains services de rating, concourent à une contraction réelle du marché alors que l’intensité de la menace et les besoins de couvertures ne font que croître.

Pour relever ce défi, tous les acteurs, du RSSI à l’assureur et au réassureur en passant par le courtier, doivent travailler main dans la main avec des modèles, des données et un langage commun. Pour fonctionner correctement, cette intelligence collective doit être centralisée, structurée et outillée pour passer à l’échelle : c’est la stratégie que nous continuons de développer au sein de Citalid avec nos clients et partenaires.

- Pour tout renseignement : sales@citalid.com

Site : https://citalid.com/
LinkedIn : https://fr.linkedin.com/company/citalid
Twitter : https://twitter.com/citalid


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants