C-RISK : cinq questions à Christophe Forêt

Que propose C-Risk ?

Nous sommes les spécialistes de la quantification financière des risques cyber (Cyber Risk Quantification ou CRQ). En fait, nous aidons nos entreprises clientes à identifier les risques les plus fréquents ou les plus coûteux auxquels elles peuvent être exposées.

En quantifiant financièrement leurs risques, nous aidons nos clients à prendre les bonnes décisions sur la manière de gérer ces risques. Ils peuvent ainsi mieux prioriser leurs actions sur les risques les plus graves et sélectionner les solutions de sécurité qui les réduisent le plus.

Quelle est l’histoire de la création de l’entreprise ?

Tom Callaghan, avec qui j’ai cofondé l'entreprise, a un passé de responsable de systèmes d'information y compris la sécurité opérationnelle. Au début des années 2010, dans le cadre de nos activités de conseil en transformation digitale, nous étions confrontés régulièrement à des discussions difficiles, pour ne pas dire stériles entre les directions métiers - qui veulent innover, lancer des produits et des services en ligne -, les équipes informatiques - qui sont là pour les assister à mettre en œuvre ces nouvelles offres en ligne -, et les équipes de la sécurité - qui alertent sur les risques que ces innovations sont susceptibles de faire courir aux entreprises.

En 2016, lors d’un déplacement aux USA, nous avons alors découvert le standard FAIR qui permet de présenter ces risques cyber en termes financiers que les directions métiers peuvent comprendre puisque ce sont les mesures qu'ils utilisent dans toutes les autres fonctions de l'entreprise.

Les deux premières années, nous avons investi dans la R&D afin de comprendre comment appliquer le standard FAIR. Depuis 2019, nos premiers clients nous ont confirmé l’intérêt de cette approche innovante et c’est devenu notre seule activité.

Qu’est-ce qu’un cyber risque ?

C'est une question effectivement moins triviale qu'il n'y paraît. En effet il est mal défini et dans notre industrie de la cybersécurité il est fréquent qu'on utilise de manière interchangeable les termes risque, vulnérabilité, menace, conclusions d'audit. C’est la cause de beaucoup d’inquiétude mais surtout d’une grande confusion car si certains peuvent participer à un scénario de risque, ils ne sont pas en eux-mêmes un risque.

Préciser ce qu’est le risque est clairement l'un des bénéfices immédiats de la taxonomie FAIR : la fréquence probable et l’importance probable d’une perte financière future. Dans le contexte cyber, on traite des risques résultant de l’utilisation des technologies numériques, qu’ils soient d’origine malicieuse, intentionnelle ou le fait de défaillances techniques ou encore d’erreurs humaines.

Pour qu’on puisse correctement le quantifier, il faut définir les 3 éléments principaux d’un scénario de risque :

un actif - c’est-à-dire quelque chose ayant de la valeur,

une action de menace - malicieuse ou pas telle une défaillance technique ou une erreur humaine, 

un effet redouté - donc négatif, ayant un coût sur l’actif. 

On évite ainsi de confondre le risque avec d’autres éléments qui participent du risque telles les menaces par exemple mais qui ne sont pas un risque.

Quelles sont vos solutions pour analyser et quantifier les risques cyber ?

Nous proposons à nos clients de la formation à la quantification avec le standard FAIR, des prestations d’accompagnement pour les organisations qui souhaitent développer cette compétence en interne. Enfin, nous proposons des abonnements annuels aux entreprises qui souhaitent externaliser l’identification et la quantification de leurs risques cyber. Dans tous les cas, nous produisons des rapports d’analyses qui sont adaptés aux décisions qu’il s’agit d’éclairer. On ne présente pas une analyse synthétique globale à une direction générale de la même manière qu’on présente une analyse comparative détaillée de solutions techniques à des experts cyber. 

Sur quoi repose votre expertise ?

Notre expertise et notre valeur ajoutée tiennent à nos solutions « tout en un » qui rassemblent tous les éléments nécessaires à la quantification des risques. 

Un peu comme pour cuisiner il faut une recette, des ingrédients, des ustensiles et le savoir-faire d’un ou plusieurs cuisiniers. 

C’est pareil dans le domaine de la quantification car les logiciels même spécialisés ne font rien tout seul. Il faut bien connaître la recette FAIR, il faut les ingrédients que sont les statistiques de sinistralités et les tables de pertes. Il faut un outil de calcul Monte-Carlo et C-Risk est ainsi partenaire des principaux éditeurs de logiciel de CRQ (ou quantification des risques cyber) afin de toujours mettre en œuvre l’outil adapté au projet de notre client.

Nous avons pu mettre en œuvre ces mesures dans de nombreux cas d’usages : la justification d’un budget, un comparatif coût/bénéfices de solutions techniques, l’optimisation de la couverture de cyber assurance, les fusions & acquisitions (M&A), la gestion des risques liés aux tiers… 

Des années d’expérience au service de nos clients pour améliorer leur gouvernance de la sécurité informatique et leur cyber résilience.