Levée de fonds, pilotage de la performance, stratégie d’analyse de risque, règlementations, mais aussi perspectives 2023, retour sur ces sujets avec Jean Larroumets, Président et Fondateur EGERIE, éditeur leader de l’analyse et du pilotage des risques cyber en Europe.
EGERIE analyse les risques financiers liés aux risques cyber
Créée en 2016 et avec une première levée de fonds en 2019, EGERIE s’est imposée rapidement pour asseoir sa position de leadership en France sur le sujet de l’analyse du risque cyber. Aujourd’hui, avec plus d’une centaine de collaborateurs, un siège social et un centre de R&D à Toulon, et deux implantations à Paris, notamment sur le Campus Cyber, l’entreprise envisage de développer prochainement des filiales en Europe, en Allemagne dans un premier temps.
La levée de fonds 2023
En janvier 2023, EGERIE a levé 30 millions d’euros pour permettre aux dirigeants d’analyser et quantifier les risques financiers liés aux risques cyber. Ce tour de table a réuni des investisseurs spécialistes de l’assurance et de la cybersécurité (Tikehau Capital, Open CNP, la Banque des Territoires et TIIN Capital) « c’est une très grosse levée de fonds en pure player cyber, ces fonds étrangers et européens donnent une coloration internationale et européenne à l’entreprise, et une forte crédibilité pour attaquer le marché européen » explique Jean Larroumets.
Le pilotage de la performance de la cybersécurité
En effet, la plateforme d’EGERIE permet de comprendre et d’évaluer le risque cyber pesant sur les métiers, et de calculer le retour sur investissement des actions prises pour atténuer ce risque.
« L’objectif est donc de déployer ce type d’approche du pilotage de la performance notamment en Allemagne, Royaume-Uni, Italie, Espagne, pays nordiques et de devenir leader au niveau européen du Cyber Risk Management ».
Avoir connaissance et conscience du risque cyber
Objectif « aider les entreprises et leurs dirigeants à prendre connaissance du risque cyber dans lequel ils sont et déployer une stratégie de cybersécurité éclairée sur la base de cette information ».
Trop longtemps perçu comme un risque technologique, ce risque cyber doit être compris et appréhendé, désormais, par la Direction Générale. « C’est en train de changer. Il faut utiliser un langage accessible et qui parle aux Directions Générales, c’est-à-dire gestion de budget, gestion financière, pertes financières. Il faut transformer cette perception du risque technique cyber en un risque financier qui doit permettre d’arbitrer ce risque ». L’impact est fondamental.
Si la prise de conscience est de plus en plus forte, précisément avec les cyberattaques mondiales impactant l’économie, l’accélération est une réalité.
Faire évoluer la réglementation
Pour accélérer cette prise de conscience, les réglementations sont aussi en train d’évoluer (cf loi de programmation militaire / Opérateurs d’Importance Vitale). « Il est essentiel de ne pas imposer mais de voir à quoi on est exposé, de mettre en place des mesures pour ne pas mettre en péril l’entreprise, et démontrer la pertinence de la mise en place d’une démarche cybersécurité en arbitrant le risque ». Cette approche génère des investissements en cybersécurité après évaluation, ce qui est vertueux.
La réglementation cyber évolue, notamment avec la directive NIS 2 qui élargit ses objectifs et son périmètre d’applicabilité pour plus de protection, en ce sens elle renforce la cybersécurité du marché européen. En France, de nombreuses entreprises et administrations sont donc soumises à cette nouvelle règlementation. Evolution aussi avec la réglementation DORA pour la résilience opérationnelle numérique.
Ainsi, « la réglementation est en train de s’inverser. Plutôt que d’imposer des listes d’exigences à appliquer, la première des règles est que la Direction Générale doit mesurer son état cyber, son risque cyber et arbitrer des mesures de sécurité pour investir et diminuer son exposition. On passe de la conformité et l’infantilisation à la responsabilisation des directions générales ».
L’analyse de risque cyber sert donc à faire remonter le risque technique d’origine cyber et évaluer son impact sur l’activité de l’entreprise. Ce système est désormais décisionnel.
Téléchargez cette ressource
Guide des Solutions Cloud & Services Managés Simplifiés
Comment capitaliser sur son existant tout en bénéficiant, dès à présent, des promesses de flexibilité et de scalabilité du cloud ? Découvrez les bonnes pratiques pour répondre aux défis de simplification du Cloud dans ce nouveau TOP 5.
Réussir une bonne analyse de risque
L’analyse de risque n’est pas qu’une affaire d’experts, loin de là, et la cybersécurité ne doit pas être appréhendée que par les équipes cybersécurité.
Aussi « une bonne analyse de risque est une évaluation et pour qu’elle soit pertinente, il faut aller chercher l’information. Ce que nous proposons dans notre plate-forme, c’est une approche permettant aux équipes cyber d’aller récupérer de façon distribuée une information auprès des différents acteurs, parties prenantes dans l’entreprise (responsables métiers…). Le fait d’aller chercher l’information auprès d’eux les responsabilise sur leur part de risques au sein de l’entreprise, et les incite à passer à l’action ».
Ainsi, la bonne analyse de risque capte non seulement l’information auprès des parties prenantes et leur restitue la bonne proportion des risques qu’ils doivent porter, mais aussi, elle permet de responsabiliser chacun !
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Renforcer son niveau de maturité en cyber-résilience
- Jeux Olympiques 2024 dans les coulisses de la gestion des équipement IT
- Top 10 des technologies émergentes pour 2024
- Libérer les potentiels inexploités pour répondre à la pénurie de compétences techniques
- Les RSSI sont de plus en plus à l’aise avec le risque
