Gestion du risque cyber : pourquoi il faut outiller

La gestion de la sécurité cyber par le risque est une pratique qui s’est maintenant imposée dans toutes les entreprises qui cherchent à lutter efficacement contre les cyberattaques.

Outiller cette démarche est d’autant plus important lorsqu’on souhaite se conformer à une norme telle que l’ISO 27005 ou appliquer la méthodologie EBIOS RM (pour Expression des Besoins et Identification des Objectifs de Sécurité Risk Manager) élaborée par l’ANSSI.

Toute une série d’éditeurs de logiciels venus d’horizons parfois très différents se sont positionnés sur ce marché des plateformes de GRC (Governance, Risk, Compliance). Start-up, acteurs de la Cyber, ou éditeurs plus généralistes, ceux-ci ont développé des approches relativement différentes pour résoudre un même problème : optimiser les investissements cyber pour faire face aux risques auxquels est soumise l’entreprise.

ServiceNow, éditeur présent sur la totalité des opérations IT, prône une approche globale: « Nous aidons les clients de la plateforme ServiceNow pour aller vers une approche de cyber-résilience de bout en bout » explique Véronique Riccobene Mira, Directrice de l’avant-vente chez ServiceNow.

« Nous travaillons sur différents axes : l’axe stratégique avec la conformité interne et la conformité des tiers, un axe opérationnel avec la recherche de vulnérabilités, aider nos clients à travailler sur les défaillances techniques. Nous avons un axe financier, notamment pour détecter un tiers en difficulté et enfin le quatrième axe est bien souvent peu géré par les entreprises et il s’agit de la cyber-réputation. Il peut s’agir de la réputation d’un tiers qui peut impacter celle de l’entreprise et notamment la mauvaise publicité liée aux retombées dans les médias d’une brèche de sécurité. » détaille-t-elle

ServiceNow propose une gestion de risque sur sa plateforme SaaS et mise sur ce rôle de plateforme fédératrice de services, avec une GRC qui exploite la CMDB, les capacités de modélisation de process de ServiceNow ou encore son référentiel de services.

Consolider, protéger et valoriser vos données : RDV au Silicon Day le 30 novembre !

Silicon.fr vous invite pour une matinée d’échanges autour des projets d’analyse de données et de services cloud.
Au programme :  des retours d’expérience de migrations d’applications vers le cloud, des interactions avec des bâtisseurs et les intégrateurs de solutions pour consolider, protéger et valoriser vos données numériques.
Venez partager vos réflexions et vos retours d’expérience, rendez-vous le le 30 novembre en matinée, à la maison des Polytechniciens (Paris 7e).

Inscrivez-vous gratuitement ici

 En France, EBIOS RM s’est imposé

Outre les solutions des grands éditeurs tels que ServiceNow, SAP, IBM ou encore RSA, de multiples pure players se partagent ce marché, notamment en France ou la méthodologie EBIOS RM promue par l’ANSSI s’est imposée.

Parmi les plus fervents supporters d’EBIOS RM, Laurent Cosson, PDG de All4tec : « La méthode EBIOS RM de l’ANSSI est la référence en France. Plus personne ne travaille autrement aujourd’hui. ». All4Tec a été le premier à décrocher le label de l’ANSSI pour son logiciel Agile Risk Manager en 2019.

Plus de 800 licences ont été vendues, avec notamment 150 grands comptes clients de la solution.
« La philosophie d’EBIOS RM est de se mettre dans la peau de l’attaquant afin d’identifier la façon dont il va attaquer. On crée des scénarios d’attaque tout simplement en dessinant des graphes d’attaque. L’un des différenciants de notre solution est l’ergonomie et la simplicité avec laquelle on va créer ces graphes. » précise-t-il.

La solution implémente la méthodologie EBIOS RM, mais aussi l’ISO 27005, deux modèles qui convergent aujourd’hui.

Egerie a implémenté la méthode FAIR

Autre acteur très actif sur le marché français des solutions de gestion de risque, Egerie.

Lors du FIC 2023, Jean Larroumets, cofondateur et PDG d’Egerie soulignait : « Notre plateforme permet aux entreprises de mesurer leur exposition au risque cyber, mais surtout être capable de le faire jusqu’au niveau financier. On ne peut plus piloter une stratégie cybersécurité sans avoir d’informations sur l’exposition financière au risque cyber car une direction générale prend ces décisions sur la base de données financières. »

Pour évaluer cette exposition au risque, Egerie a implémenté la méthode FAIR (Factor Analysis of Information Risk) qui a été intégrée à la plateforme. « Sur la base des risques quantifiés, on conçoit des programmes de sécurité avec leurs budgets, puis on les décline en plans d’action opérationnels. Le problème de cette approche top-down d’évaluation des risques macro, c’est qu’ils ne sont pas contextualisés. Or le risque opérationnel d’une entreprise dépend de son système d’information. » précise Jean Larroumets.

Une autre approche est qualitative : l’expert part des assets qui constituent le système d’information, puis répertorie les mesures de sécurité et les scénarios des menaces auxquelles l’entreprise doit faire face. La position d’Egerie est de rapprocher ces deux approches et partir de cette modélisation du risque technique pour aboutir à une information viable à destination du décideur.

Gestion de risque cyber: un secteur d’innovation

Concurrent d’Egerie et d’All4Tec, Citalid mise sur son origine, le monde de la Cyber Threat Intelligence, pour se démarquer et délivrer des analyses de risques personnalisées en fonction du contexte IT de l’entreprise.

« Venir du monde de la Cyber Threat Intelligence est un atout » argumente Maxime Cartan, co-fondateur et CEO de Citalid.

« Il s’agit d’une donnée extrêmement dynamique, qui reste encore assez complexe à transformer en analyse de risque. Cette expertise nous permet aujourd’hui de produire des analyses dynamiques propres à chaque entreprise et qui permet surtout de pouvoir faire des simulations pour chaque technique d’attaque, de chaque attaquant connu. Cela nous permet de délivrer des recommandations beaucoup plus fines tout en passant à l’échelle, c’est-à-dire non pas délivrer une recommandation détaillée machine par machine, comme le ferait une solution de gestion des vulnérabilités, mais fournir des recommandations d’investissement personnalisées à l’échelle de l’entreprise. » ajoute-t-il.

Le marché de la gestion de risque cyber est encore loin d’être saturé par les grands éditeurs et l’innovation y est encore forte. Ce marché suscite toujours la création de start-up, à l’image de Tenacy ou encore de C-Risk.

Créée par Christophe Forêt et Tom Callaghan, les fondateurs de l’antenne parisienne du FAIR Institute, C-Risk a fait le choix de ne pas développer une nouvelle solution de gestion de risque, mais de s’appuyer sur les offres existantes, notamment celles de ServiceNow, MetricStream, LogicGate ou encore Egerie afin d’exploiter la méthodologie FAIR pour créer une offre de quantification du risque Cyber (CRQ).

Autre approche choisie par Cyril Guillet, PDG et fondateur de Tenacy  : se positionner en tant que plateforme du management de la Cybersécurité au sens large. « Nous ne sommes pas des experts ISO 27005 ou EBIOS RM, mais nous savons nous interconnecter avec des solutions spécialisées comme Citalid. Là où nous estimons être très performants, c’est sur notre moteur de collecte d’informations va piloter en temps réel la réduction du risque. Pour cela, nous nous connectons à l’ensemble des produits de sécurité, comme un EDR/XDR/MDR, un outil d’analyse de l’Active Directory ou Azure AD, etc. » explique-t- il.

La gestion du risque cyber embrasse de multiples domaines très différents, depuis des aspects techniques très pointus comme des aspects purement financiers et de management des investissements. Un secteur clairement encore en cours de maturation tant du côté des offreurs que des entreprise.

Solutions logicielles EBIOS Risk Manager labellisées par l’ANSSI