Secu
C-Risk quantifie le risque cyber côté financier
Par Alain Clapaud, publié le 29 mai 2023
Comment se protéger de menaces cyber multiples ? Les analyses de risques qualitatives répondent à cette question. Mais la méthode développée par C-Risk pour quantifier leur impact financier facilite le dialogue et les arbitrages avec les métiers et les directions générales.
Plutôt que se lancer dans le développement d’une application pour porter cette méthodologie, les dirigeants de C-Risk ont préféré rester agnostique sur le volet logiciel et s’appuyer sur les offres existantes, notamment celles de ServiceNow, MetricStream, LogicGate Cloud ou Egerie.
Évaluer les risques d’attaques
Vouloir réellement quantifier les risques d’attaques informatiques pour arbitrer au mieux entre les différents projets de sécurisation, telle est la vocation de C-Risk, un spin-off de la société de conseil Fcnpartners qui a finalement absorbé sa maison-mère quelques années plus tard. « L’idée de créer C-Risk est née en écho à l’activité de transformation IT que nous menions, mon associé Tom Callaghan et moi, au sein de Fcnpartners », explique Christophe Forêt, cofondateur et CEO de C-Risk. « Dans ce cadre, nous assistions alors à des discussions extrêmement difficiles entre les métiers qui voulaient innover, investir dans la digitalisation et aller dans le cloud, l’informatique qui, le plus souvent, les appuyait, et enfin les équipes sécurité qui pointaient les risques cyber. » Selon le consultant, si ces discussions étaient aussi difficiles, c’est parce que les parties prenantes ne parlaient pas le même langage. Les métiers et les directions générales ne comprenaient pas celui des experts cybersécurité, tandis que ces derniers luttaient bien souvent contre la cloudification rapide du SI réclamée par les métiers.
dans le développement
d’une application
pour porter
cette méthodologie,
les dirigeants de C-Risk
ont préféré
rester agnostique
sur le volet logiciel
et s’appuyer sur
les offres existantes,
notamment celles de
ServiceNow,
MetricStream,
LogicGate Cloud
ou Egerie.
Un outil pensé pour le dialogue
En cherchant comment faciliter ce dialogue, les deux associés ont découvert l’approche FAIR (Factor Analysis of Information Risk). « Nous avons créé l’antenne parisienne du FAIR Institute qui est ensuite devenue son antenne européenne. Cette organisation à but non lucratif fait la promotion de la quantification financière des risques. Il s’agit d’un standard ouvert, d’une taxonomie avec un ensemble de définitions qui complètent les standards de type ISO 27000, NIST ou Cobit. Mais en plus, FAIR propose une méthodologie pour modéliser les risques et les quantifier en termes financiers. » Si la méthode ne délivre pas une valeur discrète du coût d’une attaque par ransomware, par exemple, elle fournit tout de même une estimation basse et une estimation haute de chaque risque pour l’entreprise dans son contexte particulier, ainsi qu’une probabilité d’occurrence dans les 12 à 24 mois. « Nous sommes donc capables de produire des estimations financières et de les expliquer. Les fourchettes peuvent être relativement étendues, mais elles proposent une approche plus facile à défendre auprès d’une direction générale qu’un simple code couleur rouge/orange/vert qui est le propre des analyses qualitatives.
À LIRE AUSSI :
Un élargissement de la cible
Si la start-up a surtout travaillé pour des grands comptes jusqu’à aujourd’hui, le récent investissement de 2,5 M€ du fonds Scale Up Capital va lui permettre d’élargir sa cible aux PME et autres ETI réalisant entre 500 M€ et 1,5 Md€ de chiffre d’affaires. « Ce sont des entreprises qui n’ont bien souvent pas de RSSI. Nous allons créer pour elles une offre s’appuyant soit sur des développements spécifiques, soit avec des briques existantes, et des outils pour automatiser la production des indicateurs. Elles n’auront à répondre qu’à quelques questions, notamment sur la partie financière, l’idée étant de leur proposer un service managé. » L’originalité de l’approche de C-Risk pour ce nouveau marché est de s’appuyer sur les experts comptables et aussi les commissaires aux comptes, des professionnels habitués à évaluer les risques financiers, mais qui sont jusqu’à aujourd’hui démunis face au risque cyber.
LE PITCH
Christophe Forêt (cofondateur et CEO de C-Risk) : « Il faut expliquer et rapporter le risque en termes métiers et financiers à destination de toutes les directions de l’entreprise. »
L’ENTREPRISE
CRÉATION : 2017
SIÈGE : Paris
ORIGINE : Approche FAIR
EFFECTIF : 10 collaborateurs
FINANCEMENT : Fondateurs, Scale Up Capital (2,5 M€)
RÉFÉRENCES : Grands groupes de la distribution, de l’énergie, de la santé et institutions financières
