Vendredi 16 juin 2023, LE GRAND ENTRETIEN reçoit Christophe Forêt (co-fondateur, C-Risk)
Category
🗞
NewsTranscription
00:00 C'est le Grand Entretien, heureux de vous retrouver pour vous présenter l'entreprise
00:09 C-Risks avec son fondateur Christophe Forêt. Bonjour.
00:12 Bonjour. Bienvenue, heureux de vous accueillir. C'est
00:15 quoi C-Risks ? Qu'est-ce que vous proposez sur le marché ?
00:17 Alors, nous sommes les spécialistes de la quantification en termes financiers des risques
00:21 cyber. On aide les entreprises à identifier, mesurer les risques les plus fréquents ou
00:30 les risques les plus coûteux auxquels elles pourraient être exposées.
00:33 Donc, c'est une jeune entreprise d'une certaine façon. Elle s'est créée quand, ces risques-là ?
00:39 Alors, 2017, deux ans de R&D. On est actif commercialement depuis trois ans, depuis 2020.
00:45 Oui, donc c'est une relative jeune entreprise, on va dire ça comme ça. Si on rentre un peu
00:48 dans le détail de la création de l'entreprise, pourquoi vous la créez ? C'est quoi votre
00:55 idée de départ ? Alors, c'est d'abord une rencontre, une
00:58 rencontre avec Tom Callaghan qui est avec moi le co-fondateur de C-Risks. On est également
01:03 les co-présidents de l'Institut FAIR qui promeut la méthode de quantification qu'on
01:09 utilise, la méthode FAIR, F-A-I-R. Cette rencontre, elle a lieu il y a un peu plus
01:14 de 10 ans. On est à ce moment-là dans le conseil en transformation digitale. Tom a
01:19 un parcours de responsable informatique. Il gérait l'ensemble de l'informatique Europe
01:25 et Moyen-Orient de Dell, 30 000 utilisateurs. Il avait d'ailleurs la responsabilité également
01:30 de la sécurité opérationnelle. Moi-même, j'avais un parcours dans le marketing et
01:38 la chefferie de produits. On est à ce moment-là en tant que consultant fréquemment confronté
01:46 à des discussions très difficiles, pour ne pas dire stériles, entre d'une part les
01:52 métiers qui cherchent à innover, lancer de nouvelles solutions en ligne, de nouvelles
01:57 solutions digitales, l'informatique qui est là pour les accompagner et les aider à innover,
02:03 et puis les responsables de la sécurité qui, je caricature et je simplifie, levant
02:08 les bras au ciel, expliquent que ça fait courir un nombre de risques considérables
02:16 aux organisations. On a cherché et on a trouvé lors d'un voyage
02:20 aux Etats-Unis cette méthode que j'ai mentionné tout à l'heure.
02:24 C'est un standard en quelque sorte ? C'est devenu un standard dans l'industrie
02:28 effectivement. Plus de 50% des globales mille, ces mille plus grandes entreprises mondiales
02:35 utilisent cette méthode pour quantifier leurs risques cyber.
02:40 Donc vous découvrez cette méthode et vous décidez de la déployer d'une certaine façon
02:45 ? Alors, on a beaucoup travaillé à comprendre
02:49 comment cette méthode fonctionnait, mais surtout comment elle pouvait être utile.
02:53 Si je fais le parallèle avec la cuisine, une recette toute seule ne se suffit pas.
03:00 Il lui faut des ingrédients, il faut des ustensiles, des outils. Il y a beaucoup de
03:07 plateformes logicielles qui permettent la quantification, mais les outils ne valent
03:11 que parce qu'on en fait. Il faut le talent des cuisiniers aussi.
03:15 Exactement. Un traitement de texte ne fait pas de moins un écrivain.
03:18 Ces risques apportent, et on a beaucoup travaillé à la R&D pour avoir les ingrédients, mettre
03:26 en œuvre la recette, trouver les meilleurs outils, mais en les plateformes agnostiques.
03:30 On utilise les outils les mieux adaptés aux circonstances qu'on rencontre chez nos
03:33 clients. Mais surtout ensuite, il faut comprendre qu'est-ce qu'on fait ? Comment est-ce
03:37 qu'elles permettent de prendre des décisions ? Et quelles décisions elles permettent
03:41 de prendre ? J'ai plusieurs exemples, je vais en citer
03:45 trois. La première chose, c'est de sensibiliser, de communiquer à la direction générale,
03:51 de la sensibiliser à la quantité, à la nature des risques auxquels l'entreprise
03:56 est exposée. C'est absolument essentiel et critique pour pouvoir à la fois justifier
04:01 et prioriser les budgets de sécurité informatique. C'est important parce qu'aujourd'hui,
04:07 la sécurité représente plus de 10% du budget informatique dans beaucoup d'entreprises.
04:12 Or, on sait que le montant investi dans la sécurité n'est pas corrélé au niveau
04:19 de sécurité effectif que les entreprises obtiennent. Donc, il faut absolument aider
04:25 à prendre de meilleures décisions quant à quels risques doivent être traités d'abord
04:30 et quelles solutions vont permettre de réduire ces risques le plus.
04:36 Un deuxième exemple, c'est dans le cas de fusion et acquisition. Une entreprise acquéreuse,
04:44 quels risques elle va porter, elle va faire prendre à la cible ou à l'inverse, quels
04:49 risques elle va hériter de l'entreprise qui porte dans la négociation de comprendre
04:55 et de mesurer quels investissements seront nécessaires pour amener les deux niveaux
05:00 de sécurité des deux entreprises amenées à fusionner.
05:05 Les marier en quelque sorte, les fusionner.
05:07 Comment est-ce qu'on rend ces niveaux de sécurité compatibles ? Et dans la négociation,
05:11 quels codes partent ? Il va falloir investir en plus.
05:14 Et troisième exemple ? Dernier exemple et troisième exemple, la
05:18 cyber-assurance. On n'imagine pas que les entreprises opèrent sans des assurances contre
05:24 les incendies, contre les pertes opérationnelles, etc. C'est la même chose pour la cyber-assurance.
05:31 Néanmoins, on s'aperçoit, si on n'a pas fait de quantification, que beaucoup d'entreprises
05:37 se croient protégées, se croient couvertes, mais sans avoir bien mesuré les capacités
05:44 totales dont elles ont besoin, ni les franchises par type de perte qui sont dans leurs contrats.
05:50 On observe beaucoup d'entreprises qui n'auraient pas de moyens de solliciter leur assureur.
05:57 C'est ça qu'on vient éclairer et optimiser. On va continuer d'en savoir plus sur ces
06:02 risques grâce à vous, évidemment, mais aussi grâce à Virginie Masse. Quelques chiffres.
06:06 Créée en 2017 après deux ans de recherche, la société C-RISK a débuté ses activités
06:12 commerciales en 2019-2020 et a lancé son antenne parisienne du FAIR Institute en septembre
06:18 2017. Depuis sa création, C-RISK a formé plus de 100 personnes au standard FAIR et
06:24 a accompagné une vingtaine de clients, dont 60% de récurrents qui souscrivent à des
06:28 abonnements. Enfin, C-RISK réalise 50% de son chiffre d'affaires aux États-Unis,
06:34 40% en Europe et 10% en France, et enregistre une croissance annuelle de plus de 50%.
06:40 Beau chiffre de croissance, ça continue, la tendance est la même en ce moment, depuis
06:45 le début de l'année ? Oui, tout à fait. On peut dire qu'il y a
06:48 une accélération. Elle est liée à deux éléments. D'abord, le risque cyber est
06:54 devenu, dans l'économie de la donnée, l'économie digitale, un des risques principaux
07:00 auxquels les entreprises sont confrontées. La deuxième chose, c'est que les régulateurs
07:04 sont en train de s'emparer du sujet, progressivement, pour s'assurer que subsiste la confiance
07:12 entre les parties prenantes. C'est essentiel pour que cette économie de la donnée puisse
07:17 continuer de se développer. Ce faisant, nous servons aujourd'hui surtout
07:24 un marché de grandes et très grandes entreprises, celles qui avaient déjà l'habitude de conduire
07:29 des analyses, malheureusement des analyses dites qualitatives, où on estime les risques
07:35 selon qu'ils sont faibles, moyens ou graves, ou encore dans des matrices de couleurs, rouge,
07:43 orange, vert. On sait que ces analyses n'aident pas beaucoup à la prise de décision, voire
07:48 que parfois elles rajoutent à la confusion. Donc aujourd'hui, le marché est en train
07:52 de s'orienter vers l'approche que ces risques proposent, d'utiliser des statistiques.
07:57 Nous pouvons imaginer, modéliser des scénarios de risque avec, par exemple, une fréquence
08:06 d'une fois tous les cinq ans, environ, pour un risque de rançon logicielle d'une entreprise
08:11 du CAC 40, et estimer les pertes entre eux, 1, 2 millions par exemple.
08:17 Ça, c'est des choses qui veulent dire la même chose pour tout le monde et l'ensemble
08:20 des parties prenantes, que ce soit les experts cyber, les informaticiens ou les directions
08:25 métier, la direction générale. Quand on parle de cyber-risques, si on doit
08:29 définir un peu ce dont on parle, vous avez donné plusieurs exemples, mais c'est quoi
08:32 pour vous un cyber-risque ? Très bonne question, merci de me la poser.
08:36 Effectivement, notre industrie est coupable, l'industrie informatique est coupable d'interchanger
08:42 régulièrement des termes qui peuvent être des composantes de risque, mais qui en eux-mêmes
08:48 ne sont pas des risques. Quelques exemples, les vulnérabilités, les menaces, les inquiétudes,
08:54 les conclusions d'audit sont éventuellement des composantes de risque, mais ne sont pas
08:59 des risques. Pour qu'un risque puisse être modélisé, il faut trois choses. Un actif,
09:05 quelque chose qui a de la valeur pour l'entreprise. Une menace, c'est-à-dire une action intentionnelle
09:10 ou pas d'ailleurs, sur cet actif, qui résulterait en un impact, un impact néfaste évidemment,
09:17 sur, ayant l'accoutume dans l'informatique d'utiliser un triptyque, la disponibilité,
09:23 l'intégrité ou la confidentialité du système d'information ou des données qu'il contient.
09:28 Vous avez modélisé tout ça, une sorte de librairie des risques, c'est ça ?
09:32 C'est exactement ce qu'on apporte et je crois que ce qui nous différencie sur le
09:35 marché. On apporte une réponse toute en un, avec effectivement l'habitude de pratiquer
09:43 la recette qu'est faire, les ingrédients que sont les statistiques de sinistralité,
09:48 la fréquence d'un certain nombre de types d'attaques ou de types d'incidents, puisque
09:53 une partie importante sont le fait d'incidents, de défaillances ou d'erreurs humaines et
09:58 non pas seulement d'intentions malicieuses de cybercriminels. Enfin, les cas d'usage
10:04 dont j'ai parlé tout à l'heure, j'en ai donné deux ou trois, cette capacité de
10:09 dire à quoi va me servir cette mesure maintenant que j'ai organisé et catégorisé mes risques,
10:15 je sais quels risques sont les plus importants, les plus graves auxquels je dois m'attaquer.
10:21 Merci beaucoup, merci d'être venu nous présenter ces risques, c'était passionnant
10:26 dans ce grand entretien.
10:27 Merci à vous.
10:28 [Musique]
10:30 Bismarck
10:32 [SILENCE]