Gestion du risque cyber : pourquoi il faut outiller
Impossible d’assurer sa cybersécurité, mais aussi sa conformité sans une solution de gestion de risque solide. La réglementation évoluant, ces plateformes de gestion du risque cyber vont devenir indispensables pour un nombre croissant d’entreprises.
La gestion de la sécurité cyber par le risque est une pratique qui s’est maintenant imposée dans toutes les entreprises qui cherchent à lutter efficacement contre les cyberattaques.
Outiller cette démarche est d’autant plus important lorsqu’on souhaite se conformer à une norme telle que l’ISO 27005 ou appliquer la méthodologie EBIOS RM (pour Expression des Besoins et Identification des Objectifs de Sécurité Risk Manager) élaborée par l’ANSSI.
Toute une série d’éditeurs de logiciels venus d’horizons parfois très différents se sont positionnés sur ce marché des plateformes de GRC (Governance, Risk, Compliance). Start-up, acteurs de la Cyber, ou éditeurs plus généralistes, ceux-ci ont développé des approches relativement différentes pour résoudre un même problème : optimiser les investissements cyber pour faire face aux risques auxquels est soumise l’entreprise.
Lire aussi : Olivier Hoberdon - DSI Bouygues SA : « Avec NIS 2, on ne peut plus se cacher et on ne peut plus jouer avec le feu »
ServiceNow, éditeur présent sur la totalité des opérations IT, prône une approche globale: « Nous aidons les clients de la plateforme ServiceNow pour aller vers une approche de cyber-résilience de bout en bout » explique Véronique Riccobene Mira, Directrice de l’avant-vente chez ServiceNow.
« Nous travaillons sur différents axes : l’axe stratégique avec la conformité interne et la conformité des tiers, un axe opérationnel avec la recherche de vulnérabilités, aider nos clients à travailler sur les défaillances techniques. Nous avons un axe financier, notamment pour détecter un tiers en difficulté et enfin le quatrième axe est bien souvent peu géré par les entreprises et il s’agit de la cyber-réputation. Il peut s’agir de la réputation d’un tiers qui peut impacter celle de l’entreprise et notamment la mauvaise publicité liée aux retombées dans les médias d’une brèche de sécurité. » détaille-t-elle
ServiceNow propose une gestion de risque sur sa plateforme SaaS et mise sur ce rôle de plateforme fédératrice de services, avec une GRC qui exploite la CMDB, les capacités de modélisation de process de ServiceNow ou encore son référentiel de services.
Consolider, protéger et valoriser vos données : RDV au Silicon Day le 30 novembre !
Silicon.fr vous invite pour une matinée d’échanges autour des projets d’analyse de données et de services cloud.
Au programme : des retours d’expérience de migrations d’applications vers le cloud, des interactions avec des bâtisseurs et les intégrateurs de solutions pour consolider, protéger et valoriser vos données numériques.
Venez partager vos réflexions et vos retours d’expérience, rendez-vous le le 30 novembre en matinée, à la maison des Polytechniciens (Paris 7e).
Inscrivez-vous gratuitement ici
En France, EBIOS RM s’est imposé
Outre les solutions des grands éditeurs tels que ServiceNow, SAP, IBM ou encore RSA, de multiples pure players se partagent ce marché, notamment en France ou la méthodologie EBIOS RM promue par l’ANSSI s’est imposée.
Parmi les plus fervents supporters d’EBIOS RM, Laurent Cosson, PDG de All4tec : « La méthode EBIOS RM de l’ANSSI est la référence en France. Plus personne ne travaille autrement aujourd’hui. ». All4Tec a été le premier à décrocher le label de l’ANSSI pour son logiciel Agile Risk Manager en 2019.
Plus de 800 licences ont été vendues, avec notamment 150 grands comptes clients de la solution.
« La philosophie d’EBIOS RM est de se mettre dans la peau de l’attaquant afin d’identifier la façon dont il va attaquer. On crée des scénarios d’attaque tout simplement en dessinant des graphes d’attaque. L’un des différenciants de notre solution est l’ergonomie et la simplicité avec laquelle on va créer ces graphes. » précise-t-il.
La solution implémente la méthodologie EBIOS RM, mais aussi l’ISO 27005, deux modèles qui convergent aujourd’hui.
Egerie a implémenté la méthode FAIR
Autre acteur très actif sur le marché français des solutions de gestion de risque, Egerie.
Lors du FIC 2023, Jean Larroumets, cofondateur et PDG d’Egerie soulignait : « Notre plateforme permet aux entreprises de mesurer leur exposition au risque cyber, mais surtout être capable de le faire jusqu’au niveau financier. On ne peut plus piloter une stratégie cybersécurité sans avoir d’informations sur l’exposition financière au risque cyber car une direction générale prend ces décisions sur la base de données financières. »
Pour évaluer cette exposition au risque, Egerie a implémenté la méthode FAIR (Factor Analysis of Information Risk) qui a été intégrée à la plateforme. « Sur la base des risques quantifiés, on conçoit des programmes de sécurité avec leurs budgets, puis on les décline en plans d’action opérationnels. Le problème de cette approche top-down d’évaluation des risques macro, c’est qu’ils ne sont pas contextualisés. Or le risque opérationnel d’une entreprise dépend de son système d’information. » précise Jean Larroumets.
Une autre approche est qualitative : l’expert part des assets qui constituent le système d’information, puis répertorie les mesures de sécurité et les scénarios des menaces auxquelles l’entreprise doit faire face. La position d’Egerie est de rapprocher ces deux approches et partir de cette modélisation du risque technique pour aboutir à une information viable à destination du décideur.
Gestion de risque cyber: un secteur d’innovation
Concurrent d’Egerie et d’All4Tec, Citalid mise sur son origine, le monde de la Cyber Threat Intelligence, pour se démarquer et délivrer des analyses de risques personnalisées en fonction du contexte IT de l’entreprise.
« Venir du monde de la Cyber Threat Intelligence est un atout » argumente Maxime Cartan, co-fondateur et CEO de Citalid.
Lire aussi : ITSM : un marché désormais défini par l'IA ?
« Il s’agit d’une donnée extrêmement dynamique, qui reste encore assez complexe à transformer en analyse de risque. Cette expertise nous permet aujourd’hui de produire des analyses dynamiques propres à chaque entreprise et qui permet surtout de pouvoir faire des simulations pour chaque technique d’attaque, de chaque attaquant connu. Cela nous permet de délivrer des recommandations beaucoup plus fines tout en passant à l’échelle, c’est-à-dire non pas délivrer une recommandation détaillée machine par machine, comme le ferait une solution de gestion des vulnérabilités, mais fournir des recommandations d’investissement personnalisées à l’échelle de l’entreprise. » ajoute-t-il.
Le marché de la gestion de risque cyber est encore loin d’être saturé par les grands éditeurs et l’innovation y est encore forte. Ce marché suscite toujours la création de start-up, à l’image de Tenacy ou encore de C-Risk.
Créée par Christophe Forêt et Tom Callaghan, les fondateurs de l’antenne parisienne du FAIR Institute, C-Risk a fait le choix de ne pas développer une nouvelle solution de gestion de risque, mais de s’appuyer sur les offres existantes, notamment celles de ServiceNow, MetricStream, LogicGate ou encore Egerie afin d’exploiter la méthodologie FAIR pour créer une offre de quantification du risque Cyber (CRQ).
Autre approche choisie par Cyril Guillet, PDG et fondateur de Tenacy : se positionner en tant que plateforme du management de la Cybersécurité au sens large. « Nous ne sommes pas des experts ISO 27005 ou EBIOS RM, mais nous savons nous interconnecter avec des solutions spécialisées comme Citalid. Là où nous estimons être très performants, c’est sur notre moteur de collecte d’informations va piloter en temps réel la réduction du risque. Pour cela, nous nous connectons à l’ensemble des produits de sécurité, comme un EDR/XDR/MDR, un outil d’analyse de l’Active Directory ou Azure AD, etc. » explique-t- il.
La gestion du risque cyber embrasse de multiples domaines très différents, depuis des aspects techniques très pointus comme des aspects purement financiers et de management des investissements. Un secteur clairement encore en cours de maturation tant du côté des offreurs que des entreprise.
Solutions logicielles EBIOS Risk Manager labellisées par l’ANSSI
Prestataires |
Solutions |
Adacis |
Arimes |
Airbus Protect | Fence |
All4Tec | Agile Risk Manager |
Egerie Software |
Egerie Risk Manager |
Reciproc-IT |
Oligo Risk Manager |
RISK’n TIC |
Risk’n tic ERM |
RSA |
RSA Archer Risk Manager |
SIA Partners |
C2R – Cyber Risk Review (en cours de labellisation) |
Sur le même thème
Voir tous les articles Cybersécurité