sakkmesterke - stock.adobe.com

Citalid veut donner plus de valeur au renseignement sur les menaces

Fondée par des anciens de l'Anssi, cette jeune pousse entend aider les entreprises à modéliser leur exposition aux menaces informatiques et à quantifier le risque financier assorti. Le tout de manière hautement automatisée et en misant largement sur l'analyse linguistique. Mais pas uniquement.

C’est au printemps 2017 que Maxime Cartan et Alexandre Dieulangard, deux spécialistes du renseignement sur les menaces informatiques, ont quitté les rangs de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) pour créer Citalid.

En fait, c’est au sein du centre opérationnel de l’Anssi qu’a germé l’idée de la start-up. Si Maxime Cartan est ingénieur de formation, Alexandre Dieulangard a plutôt un profil de juriste spécialiste du droit des nouvelles technologies, complété par un parcours de géopolitique à l’Ecole Normale Supérieure. En travaillant ensemble, ils ont réalisé que « cette dimension pluridisciplinaire peut avoir une valeur ajoutée très concrète pour les entreprises. Car au-delà des éléments techniques, elle permet d’aborder les centres d’intérêt des attaquants, pour essayer d’anticiper ce qui pourra les faire passer à l’action ».

Avec Citalid, ils veulent donc proposer aux entreprises un tableau de bord d’analyse des cyber-risques. Pour cela, ils maintiennent une base de connaissance des menaces afin de présenter celles qui sont susceptibles de viser leurs clients, mais également comment s’en prémunir et, surtout, estimer le coût d’une attaque réussie.

Une analyse à trois composantes

La base de connaissances est au cœur de l’offre développée par Citalid. A ce jour, celle-ci est alimentée très majoritairement par des sources ouvertes, en s’appuyant notamment sur le projet Gdelt. Ce projet consiste en un vaste effort de collecte et d’analyse des publications sur Internet, dans une centaine de langues, en faisant notamment ressortir des données structurées sur des événements. A chaque événement, la plateforme de Citalid fait correspondre une matrice de risque pour en évaluer l’impact potentiel dans le cyber-espace. Mais ce n’est qu’une partie de l’approche, celle qui couvre les questions géopolitiques, économiques ou encore sociales.

A cela s’ajoute l’analyse des publications relatives aux menaces informatiques. Un partenariat avec l’Ecole Polytechnique a permis de développer des outils d’analyse automatique du langage. De quoi permettre l’actualisation semi-automatique de la base de connaissance relative aux menaces informatiques sur la base de ce qui est rendu public sur Internet. Cette analyse est l’occasion de recouper des éléments entre eux pour « faire ressortir des informations qui ne sont pas forcément immédiatement accessibles, mais qui sont susceptibles d’apporter une véritable valeur ajoutée ». Maxime Cartan souligne en outre que Citalid a commencé à investir dans la mise en place d’une équipe d’analystes interne pour investiguer et aller au-delà des seules sources ouvertes. Mais ce n’est pas tout.

Si le partage de renseignements techniques sur les menaces est aujourd’hui pléthorique, celui relatif aux cibles, modes opératoires ou tactiques des attaquants est moins structuré et accessible. Alors les fondeurs de Citalid prévoient également d’ouvrir une telle plateforme. Ses utilisateurs s’y créeront des cercles de confiance – internes à leur organisation, ou plus ouverts – avec lesquels ils pourront partager leurs renseignements. Les informations ainsi collectées pourront être utilisées dans les calculs d’exposition. L’objectif pour Citalid sera là de permettre à ses clients d’exploiter en sécurité de l’information non disponible en source ouverte, mais également de valider de telles informations.

La dernière composante de l’approche est financière. Les risques identifiés sont utilisés pour alimenter des scénarios d’attaque – prédéfinis ou personnalisés, notamment pour tenir compte de projets stratégiques du client – impliquant une ou plusieurs menaces, avec un ou plusieurs impacts, sur un ou plusieurs actifs susceptibles d’être visés. C’est la méthodologie FAIR, développée par l’Open Group, qui est là mise à contribution. Avec cela d’intéressant « qu’elle en prend en compte l’incertitude, par construction », précise Alexandre Dieulangard.

Un tableau de bord stratégique de l’exposition en continu

Citalid revendique une offre automatisée à 95 %, ce qui lui permet de se démarquer des analyses proposées par exemple par des cabinets de conseil : « les cyber-menaces évoluent très rapidement, à l’échelle de la semaine ou du mois, pas de l’année ou du semestre, ce qui est plutôt le rythme des analyses de cabinets de conseil », explique Maxime Cartan. Et de s’en voir donc complémentaire : « nous pouvons prendre en compte cette analyse ponctuelle et suivre l’évolution du risque en fonction des changements stratégiques de l’entreprise et des menaces ». En outre elle permet d'établir des analyses ponctuelles sur la base de scénarios qui permettront d’estimer le risque associé à un projet, par exemple. De quoi donner au RSSI ou au responsable de la gestion des risques des éléments tangibles à présenter à sa direction, notamment.

Les deux créateurs de Citalid visent en premier lieu les entreprises des secteurs des services financiers, de l’énergie et de la Défense, les grands groupes, mais également tout l’écosystème entourant, par exemple, les opérateurs d’importance vitale (OIV). Pour l’heure, la jeune pousse se concentre sur la France, mais elle espère pouvoir viser rapidement d’autres territoires en profitant du niveau élevé d’industrialisation de son offre.

Citalid a profité des programmes Shake’Up de Wavestone et Digital Launch Pad d’OVH. L’entreprise vient tout juste de recevoir la mention du public dans le cadre de la compétition pour le Prix de l’Innovation 2018 des Assises de la Sécurité.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)