La startup Citalid édite une plateforme logicielle de simulation du risque cyber et d’aide à la décision, qui permet aux décideurs d’optimiser leur stratégie de cyberdéfense au regard des risques auxquels ils sont exposés. Citalid est née de la rencontre au sein du Centre Opérationnel de l’ANSSI entre Maxime Cartan (ingénieur Centrale Paris et diplômé de l’ESSEC Business School) et Alexandre Dieulangard (juriste en PI/NTIC et diplômé en géopolitique à l’ENS-Ulm/Sorbonne).
Les organes de direction des entreprises se mobilisent sur les risques cyber, mais ont besoin d’une vision de l’efficacité de leurs investissements. Citalid propose une technologie unique qui permet d’évaluer financièrement ces risques, en prenant en compte les cybermenaces susceptibles de cibler l’entreprise, son niveau de défense et son contexte géopolitique. Cette solution est déjà adoptée par plusieurs groupes du CAC40.
Une vision innovante de l’analyse des risques cyber au service des entreprises
De leurs travaux a germé l’ambition de mettre en valeur l’expertise technique en y ajoutant une dimension financière, ainsi que la volonté de faire passer à l’échelle les analyses de risques cyber. Il était dès lors nécessaire de croiser plusieurs disciplines (cyber, géopolitique, économique, juridique, …) afin de transformer des données techniques en une restitution opérationnelle adaptée aux organes de décision. Cette réflexion a été nourrie par le constat que les RSSI (Responsable de Sécurité des Systèmes d’Information) font face à la démultiplication des menaces ainsi que des usages, métiers, opérations et périmètres au sein des entreprises. Cette situation complexifie la gouvernance de sécurité et l’identification des points d’attention prioritaires, alors que l’offre de solutions de sécurité s’étoffe (sécurité périmètrique, applicative, d’infrastructure, de réseaux, etc.). Il devient dès lors primordial d’identifier les solutions les plus pertinentes à chaque moment de vie d’une ligne d’activité, et de mieux qualifier les priorités défensives.
Pour y répondre, Citalid s’est donnée pour mission d’aider les RSSI et Risk Managers à mieux comprendre et contextualiser les risques auxquels leurs différentes lignes d’activité font face, leur permettant ainsi de rationaliser leurs stratégies d’investissements de défense.
Une nouvelle approche à 360° des cybermenaces
Pour permettre ce type d’arbitrage inédit, les algorithmes de Citalid évaluent les probabilités de fréquence et d’impact financier pour les scénarios d’attaque les plus susceptibles de cibler un périmètre d’activité. En premier lieu, la plateforme qualifie le niveau de maturité défensive du périmètre en s’appuyant sur des référentiels d’évaluation qui font autorité internationalement (CIS 20, NIST, ISO, etc.). Par exemple, pour un industriel de l’énergie, cela reviendrait à déterminer le niveau de maturité défensive de chacune de ses activités (production, transport, distribution, stockage, etc.). Par la suite, le croisement de l’état de l’art de la menace informatique avec les actifs métier stratégiques / risques opérationnels de cette entité permet d’identifier et de modéliser les scénarios d’attaque d’intérêt. Dans notre exemple, la plateforme pourra ainsi identifier des scénarios ciblant des contrôleurs industriels de distribution de l’énergie, du plus sophistiqué (comme un cyber sabotage) au plus courant (comme un rançongiciel).
Afin de dépasser les analyses de risque, outils de conformité ou d’IRM (Integrated Risk Management) classiques, Citalid réalise une veille technique et contextuelle continue sur les modes opératoires d’attaque. En identifiant ainsi les techniques d’attaque les plus probables et les mesures de défense permettant de s’en prémunir, Citalid est capable de calculer la probabilité de succès de ces attaques. Cette approche innovante permet de simuler l’efficacité de chaque solution de sécurité, et de rendre directement opérationnel le niveau de maturité défensive de chaque périmètre.
Enfin, les impacts financiers de chaque attaque réussie sont évalués de manière collaborative avec les équipes métier. Toutes les pertes financières peuvent être modélisées, de la perte de productivité aux amendes juridiques (RGPD par exemple) en passant par les pertes en compétitivité ou en réputation d’entreprise. L’incertitude inhérente à cette estimation des pertes financières est prise en compte grâce à l’utilisation d’outils mathématiques dédiés à la gestion et à la simulation de l’aléa, utilisés dans la modélisation des risques liés aux marchés financiers par exemple.
Citalid enrichit ses simulations de données contextuelles et d’environnement. Capitalisant sur 2 ans de travaux en sémantique et analyse linguistique, l’équipe fondatrice a non seulement constitué une base de connaissance sur les cybermenaces (compréhension des centres d’intérêts, modes opératoires et rythmes opérationnels des attaquants), mais aussi des techniques d’analyse automatique du contexte économique et géopolitique d’une entité. Cela reviendrait par exemple, pour notre industriel de l’énergie, à prendre en compte le fait que les probabilités d’un cybersabotage sur une implantation en Ukraine sont plus élevées, étant donné le contexte géopolitique, que celles sur une implantation en France. Reflet de l’ambition et de l’expertise du produit, le département de R&D de Citalid modélise et intègre en continu de nouvelles attaques, et profitera aussi de ce financement pour améliorer ses capacités d’anticipation grâce à de l’intelligence artificielle.
Une solution unique pour rationaliser les investissements cyber
À partir de l’ensemble de ces éléments, et pour faciliter la prise de décision opérationnelle, la plateforme Citalid calcule dynamiquement l’exposition financière d’une entité aux risques cyber ; hiérarchise les mesures et solutions de défense à déployer en priorité pour atteindre le niveau de sécurité souhaité ; et simule l’impact de leur déploiement. Ainsi, un RSSI pourra par exemple tester l’hypothèse d’ajout d’un composant de gestion et de supervision des accès d’administration sur ses contrôleurs industriels, et visualiser en temps réel sur son tableau de bord l’impact économique prévisionnel de cette mesure. Ce retour sur investissement cyber peut directement être présenté à son Comité Exécutif dans un langage adapté.
En proposant une grille de lecture inédite des risques cyber, Citalid élève la cybersécurité à un niveau stratégique en permettant aux décideurs de simuler et défendre de manière tangible leurs programmes d’investissements de défense. Pensée et conçue pour s’adresser aux plus hauts niveaux de décision, la solution permet pour la première fois d’établir une passerelle collaborative entre les différentes parties prenantes (RSSI, Risk Managers, équipes métier). Par cette approche en “couche haute” et vision cockpit, Citalid entend s’affirmer comme la “boussole d’aide à l’investissement cyber” des entreprises, et demain des assureurs.
Leur approche innovante et l’excellence de leur produit a permis à l’équipe Citalid de gagner les deux prix de l’innovation (prix du public et prix du jury d’experts) des Assises de la Sécurité 2018, évènement professionnel incontournable en matière de cybersécurité. Accompagnée par l’accélérateur Shake’Up de Wavestone et forte d’une équipe de six personnes issues des sphères de l’ingénierie, de la sécurité et de la géopolitique, Citalid bénéficie d’ores et déjà de la confiance de plusieurs grands comptes français du CAC40 ou équivalent. À l’occasion de ce nouveau jalon, Citalid était mis en avant lors de la Paris Cyber Week du 5 et 6 Juin 2019 dernier.