Maxime Cartan (Citalid Cybersécurité) : “Tout le monde cherche à quantifier le risque cyber, mais les données manquent”

En quoi votre plateforme de quantification du risque cyber diffère-t-elle des outils existants ? 

Il est vrai que tout le monde essaie de quantifier le risque cyber, surtout les assureurs. Cela dit, ces derniers ont une démarche très actuarielle : ils récupèrent un maximum de données et font des analyses statistiques. Cette méthode est problématique en matière de cyber car ce type de risque reste très récent : il y a trop peu de données disponibles pour avoir des statistiques suffisamment stables. 

Chez Citalid, nous prenons les données existantes et nous les complétons pour avoir une vision complète : nous croisons une expertise technique avec une analyse du contexte de l’entreprise et un état des lieux de son niveau de sécurité. Comme nous sommes issus d’un milieu assez technique, nous connaissons très bien les cybermenaces, ce qui nous aide dans notre travail. Nous établissons des cartographies des attaques et des risques, puis nous effectuons un travail de défense en réalisant des simulations. 

Qui sont vos clients, et avec quels profils interagissez-vous au sein de ces entreprises ? 

À l’heure actuelle nous travaillons surtout avec des groupes du CAC40, dans le domaine de l’énergie, du transport, et de la finance notamment. Les acteurs financiers sont les plus avancés car ils ont l’habitude de gérer des risques. Souvent, ils ont même déjà expérimenté d’autres outils d’analyse du risque cyber, voire tenté de construire le leur. Nous arrivons donc pour leur fournir une solution clé en main, et comme leurs données sont déjà disponibles, les premières estimations peuvent être fournies assez rapidement. 

Nous travaillons surtout avec les risk managers de ces entreprises, mais le bénéficiaire final est plutôt le Comex : c’est pour lui que nous avons construit un tableau de bord auquel nous avons intégré des indicateurs financiers, de risque, la distribution de probabilité des attaques, etc. Ça leur permet de suivre facilement les investissements nécessaires en cybersécurité et leurs impacts. 

Vous commencez à pivoter vers le monde de l’assurance. Quel sera votre positionnement dans ce domaine ? 

Nous ne renonçons pas à vendre notre solution en direct aux entreprises, mais nous comptons effectivement commercialiser nos nouveaux produits auprès des assureurs et des courtiers. Cela nous permettra de nous positionner comme tiers de confiance entre l’assuré et l’assureur. A l’assuré, nous lui fournissons déjà un service rien qu’en lui proposant une estimation de ses risques et en lui apportant une recommandation active d’investissement. A l’assureur, nous mettons à sa disposition une plateforme lui permettra, à terme, de gérer son portefeuille de clients et le risque cyber global auquel il est exposé.

L’objectif in fine est qu’il puisse mettre au point des primes dynamiques qui pourront évoluer en fonction des mesures prises par l’assuré pour mieux se protéger. Selon nous, ce type de produit pourrait devenir un axe de différenciation : si l’assureur constate que son client réalise les investissements nécessaires pour se protéger, il pourra ainsi moduler la prime d’assurance.