ATOUT RISK MANAGER N°32

NOS PARTENAIRES DOSSIER RÉDACTIONNEL COORDONNÉ ET RÉALISÉ PAR HANNIBAL+ POUR LE SERVICE COMMERCIAL DE LA FFE disponibles sur la plateforme (ISO, NIST, CIS, Office365, …), et il est désormais nativement importable pour tous les clients de Wavestone. La technologie de quantification du risque de Citalid, cœur de l’innovation portée par la start-up, a ensuite généré automatiquement plusieurs métriques qui ont pu être exploitées par la Maison Hermès en roadshow, en bonne intelligence avec son courtier. Pour des raisons évidentes de confidentialité, l’ensemble des exemples présentés ci-dessous sont fictifs. • Exposition annuelle pour chaque scénario de risque - Ex : exposition annuelle moyenne de 30 M€ pour un scénario de rançongiciel, combinant une fréquence de ciblage moyenne de 10 fois par an (80%de chances d’être ciblé entre 1 fois et 30 fois par an), un taux de succès moyen des attaquants de 3 % et une perte moyenne par sinistre de 100 M€ (80 % de chances de perdre entre 50M€ et 250 M€) • Pertes financières maximales subies en cas de sinistre - Ex : 500M€ de perte maximale pour un sinistre de rançongiciel, avec analyse de métriques d’actuariat comme la Value at Risk et la Tail Value at Risk associées • Évolution du niveau de défense grâce au travail réalisé depuis plusieurs années par les équipes sécurité, et projection post-roadmap d’investissements cyber avec simulation du ROSI (Return on Security Investment) associé - Ex : amélioration projetée de la maturité de 30 % post-roadmap, induisant une réduction moyenne de l’exposition annuelle de 50 % • Évolution de la cartographie des risques sur les axes fréquence-taille de sinistre, en comparant la version actuelle avec la version projetée post-roadmap - Ex : diminution de la fréquence de sinistre rançongiciel de 40 % grâce à l’amélioration du niveau dematurité défensive, et diminution de la taille de sinistre associée grâce à l’amélioration des sauvegardes et du PCA • Simulation de plusieurs polices assurantielles pour comprendre leur impact sur la réduction de l’exposition financière aux risques cyber - Ex : pour un plafond de 50 M€, une franchise de 1 M€ et des conditions prédéfinies (pertes assurées, exclusions, etc.), la stratégie d’assurer le risque résiduel du groupe présente un ROI positif si la prime reste inférieure à 2M€ Conclusion La démarche proposée par Citalid a permis au RSSI de laMaisonHermès de remplir globalement leurs objectifs. Ce premier MVP a posé les premières briques d’un pilotage dynamique et quantifié des risques cyber et de la roadmap. « L’engagement et l’expertise de Citalid nous ont permis d’obtenir un premier résultat satisfaisant très rapidement. Leur accompagnement et leur capacité à faire évoluer la solution dans des délais courts ont grandement facilité l’ingestion des données dans la plateforme et la production des premières analyses. L’intégration du référentiel d’évaluation de maturité cyber à l’outil permet de respecter nos process existants et facilite le maintien à jour des informations. Le principal bénéfice reste en premier lieu l’aide au pilotage de notre roadmap, et la capacité à présenter une nouvelle approche quantifiée de maîtrise de nos risques aux assureurs. » Julien BACHELET, RSSI Groupe d’Hermès Suite au succès de ce projet innovant, que la start-up reproduit d’ores et déjà avec d’autres entreprises françaises, les prochaines étapes de la collaboration HermèsCitalid sont : • l’automatisation de la mise à jour du profil de défense du groupe, notamment via un connecteur avec un outil de monitoring utilisé par Julien BACHELET ; • l’intégration dans l’analyse de la chaîne d’approvisionnement du groupe, le modèle Citalid permettant de simuler l’exposition indirecte induite par les fournisseurs et prestataires critiques (ex : les façonniers) ; • la fluidification de l’échange des informations nécessaires à la souscription d’assurance pour simplifier le roadshow d’assurance 2022, en travaillant notamment avec des assureurs et courtiers équipés de l’outil d’actuariat Citalid for Insurers. ATOUT RISK MANAGER N°31 I HIVER 2021-2022 79

RkJQdWJsaXNoZXIy MTU2MTAzNg==