Portrait du Mois Mai 2023

Le Portrait du mois par Finance Innovation

Propos recueillis par Marie Cornet-Ashby 

Diplômé de l’ESSEC Business School et ingénieur informatique de l’École Centrale Paris, vous vous êtes spécialisé dans la sécurité informatique offensive ?

Maxime Cartan : j’ai suivi un double cursus, je suis ingénieur de l’École Centrale de Paris et diplômé de l’ESSEC. Cette orientation résulte de mon intérêt marqué pour la technologie, l’entrepreneuriat, la gestion des risques, et la stratégie financière. Je me suis vraiment enrichi au sein de ces écoles de très haut niveau, également sur les volets du développement personnel et entrepreneurial.

Par ailleurs, j’étais passionné par l’informatique, et je m’y investissais aussi pleinement sur mon temps libre. En témoigne, ma première expérience professionnelle au sein d’une PME : Lumenogic LLC qui proposait de l’intelligence collective pour les entreprises et les gouvernements, en faisant des prédictions et des anticipations géopolitiques sur la base de probabilités, dans une démarche participative. Finalement, j’ai été rattrapé par ma passion initiale : la sécurité informatique ! Pour valider mes compétences, j’ai passé des certifications, notamment l’OSCP (Offensive Security Certified Professional) spécialisée dans la sécurité offensive qui consiste à penser comme l’attaquant, mais pour le bénéfice défensif.

Puis vous faites la rencontre d’Alexandre Dieulangard au centre opérationnel de l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) pour lequel vous collaborez.

Pouvez-vous revenir sur vos expériences respectives au sein de l’ANSSI ?

Maxime Cartan : ce parcours s’est avéré très bénéfique, j’ai intégré l’ANSSI en 2015. Ma fonction d’Analyste en Cyber Threat Intelligence (CTI : processus d’identification et d’analyse des cyber-menaces), représentait un intérêt extrêmement fort en termes de contenu, et me permettait aussi d’être à un poste d’observation unique du cyberespace français et international ! Et le temps compte « double » au sein de l’ANSSI (avec 500 collaborateurs à l’époque), du fait de la richesse, de la fréquence et de la diversité des sujets traités…

C’est aussi au sein de l’Agence Nationale de la Sécurité des Systèmes d’Information que j’ai eu la chance de rencontrer Alexandre…

Alexandre Dieulangard : je suis Juriste spécialisé en droit des affaires, et en droit de la Propriété Intellectuelle & des Nouvelles Technologies. Passionné par la sécurité informatique dès mon parcours de droit, j’avais orienté mon cursus (et aussi mon mémoire) sur des problématiques liées aux données à caractère personnel, notamment dans le contexte d’attaques informatiques. Puis, j’ai été diplômé en géopolitique de l’École Normale Supérieure (Ulm) – Sorbonne. Par la suite, attiré par l’entrepreneuriat, j’ai lancé une agence web proposant également de la sécurité informatique. Puis, j’ai collaboré dans une entreprise européenne d’intelligence économique en tant qu’ Analyste en cybercriminalité.

J’avais déjà ce rêve de rejoindre le Centre opérationnel de l’ANSSI. En 2012, j’ai intégré le bureau en charge de la coordination au sein du centre opérationnel de l’ANSSI dont l’objectif était de vulgariser et de contextualiser le fait cyber, notamment d’un point de vue géopolitique et stratégique ! Il s’agissait à l’époque, de pallier un problème récurrent : rendre le fait technique cyber intelligible afin de mettre les décideurs en capacité de décider.

Au sein de mon équipe, j’étais en charge de la situation opérationnelle. Notre mission était de rendre compte aux plus hautes Autorités de l’État, des opérations de cyberdéfense menées par l’ANSSI. Je suis devenu Chef de bureau de cette équipe qui s’appuyait tant sur l’analyse d’informations en source ouverte que de renseignements en provenance, du centre opérationnel, de partenaires institutionnels et internationaux. Nous étions le vecteur d’agrégation et de communication auprès des Autorités, un travail d’équipe avec très haut degré de qualité exigée et un devoir de confidentialité total. Ce bureau est passé de trois personnes à plusieurs dizaines à mon départ en 2017… La mission a été prouvée, et le travail réalisé !

Le lancement de votre start-up Citalid fin 2017 avec votre co-fondateur est-elle née d’un constat, d’une attente, et aussi peut-être d’un besoin sectoriel ?

Maxime Cartan : nous avons commencé à échanger avec Alexandre à l’ANSSI. Et forts de nos complémentarités et de nos aspirations profondes communes, nous avions la conviction de l’efficacité de notre collaboration sur un besoin que nous avions clairement identifié à l’ANSSI. Il s’agissait d’un certain déni des dirigeants dans le risque cyber, et de réelles incompréhensions entre des équipes techniques (difficulté à communiquer leur savoir-faire et à défendre les enjeux pourtant stratégiques de leurs postes) et leurs dirigeants.

En combinant ce constat avec notre passion pour la cyber-sécurité, nous avons créé Citalid avec Alexandre en 2017 !

Dès janvier 2018, Citalid a eu la chance d’être sélectionnée par le cabinet de conseil international Wavestone pour son programme d’accélération des start-ups appelé « Shake’Up ». Nous bénéficions alors d’un accompagnement dédié de nos premiers locaux partagés avec nos deux stagiaires, et nous commençons à commercialiser notre solution en 2018 !

L’approche technologique de Citalid est primée aux Assises de la Sécurité 2018, puis remporte le Grand Prix du Jury lors du FIC 2020. Vous bénéficiez alors d’une première levée de fonds de 1,2 M€ auprès d’Axeleo Capital et de BNP Paribas développement…

Maxime Cartan : Citalid remporte le Prix de l’Innovation du Jury et le Prix du Public (avec la reconnaissance de 300 RSSI) de l’édition 2018 des Assises de la Sécurité.

Alexandre Dieulangard : ces deux prix ont été un accélérateur exceptionnel, de par la visibilité offerte (à travers la mise à disposition d’un stand aux Assises de Monaco) et les opportunités commerciales et stratégiques qu’ils ont suscités pour notre société.

Maxime Cartan : en 2018 grâce à ces distinctions, nous avons réalisé notre première levée de fonds de 1,2M € auprès de deux fonds d’investissement : Axeleo Capital et BNP Paribas développement.

Alexandre Dieulangard : ces investisseurs ont été de véritables « sparring partners ». 

Maxime Cartan : Citalid a résisté à la crise sanitaire de la Covid-19, en gérant avec prudence, tout en poursuivant son développement sur la partie R&D, et notamment vers le secteur de l’assurance qui, nous le savions déjà à l’époque, s’inscrivait naturellement dans notre orientation future. En 2020, Citalid remporte le Prix du Jury de l’édition 2020 du Forum international de la Cybersécurité (FIC). En en 2021, Citalid est en très bonne santé économique avec des recrutements cruciaux au sein d’une équipe de 18 personnes !

Citalid propose une plateforme SAAS, véritable outil d’évaluation et de pilotage des risques cyber, permettant de quantifier les risques financiers et de les minimiser en améliorant la stratégie cyber-sécurité des entreprises ?

Maxime Cartan : le risque cyber présente des caractéristiques uniques : il est nouveau, avec assez peu de données de profondeur historique, et aussi complexe à modéliser du fait qu’il soit très technique. De plus, il est d’origine humaine, avec des attaquants s’adaptant extrêmement vite aux mécanismes de défense compte tenu de leurs intérêts financiers…

Notre positionnement réside donc dans une approche d’analyse et de stratégie de la gestion de ce risque pour les entreprises. Notre solution se fonde sur des données mises à jour régulièrement en lien avec l’évolution des menaces et propose des recommandations tant de sécurité informatique qu’assurantielles permettant de limiter les risques encourus par les sociétés.

La plateforme SAAS (ou le logiciel) suit différentes étapes quant à notre proposition de services. Déjà, celle de capter la réalité d’une société (c’est-à-dire son contexte économique et business), à travers la collecte de données en source ouverte que l’on va agréger et des questionnaires métiers adressés aux entreprises. Le processus est assez semblable à une évaluation du niveau de sécurité de l’entreprise, avec la possibilité de se connecter à des solutions de sécurité de son propre réseau, permettant d’alimenter de façon dynamique son niveau de défense. Dès ce diagnostic « business et de cybersécurité » interne de l’entreprise finalisé, Citalid évalue grâce à des technologies d’intelligence artificielle brevetées son exposition au risque, nous permettant de fournir une évaluation financière des risques de pertes liées aux menaces cyber. Par la suite, nous intervenons dans l’aide à la décision en rendant cette analyse opérationnelle et actionnable. Notre objectif est d’aider les entreprises à construire une stratégie optimale d’investissement, par des actions de sécurité (pour minimiser les expositions risques), et aussi une couverture adéquate d’assurance en cas de préjudice cyber.

Alexandre Dieulangard : le travail de nos analystes en Threat Intelligence est de suivre la victimologie de ciblage sectoriel, géographique et technologique des entreprises visées par des attaquants informatiques. Puis de les transposer dans le contexte de nos clients, en probabilité d’attaques potentielles afin que ceux-ci bénéficient de simulations de scénarios de risque cyber en lien direct avec la réalité de la menace informatique.

Maxime Cartan : Citalid est un outil unique de pilotage du risque cyber qui recommande de façon dynamique les stratégies de sécurité et d’assurance les plus pertinentes à mettre en œuvre pour ses clients… Et à ce titre, Citalid est un peu le copilote du RSSI pour les risques cyber en entreprise, à travers une évaluation précise sur ce risque et le ROI potentiel simulé de ses actions.

Notre plateforme accessible en SAAS, propose des tableaux de bord directement alimentés par les résultats de nos simulations algorithmiques s’appuyant sur des technologies d’intelligence artificielle. Les scénarios de risques classiques (rançongiciels, espionnage, etc.) pour une entreprise sont automatiquement calculés et calibrés par la plateforme. Dans certains cas particuliers, nos experts du cyber-risque sont en capacité de travailler à la demande de nos clients sur des scénarios dédiés. Les risques de compromission par les fournisseurs (via la supply chain) sont aussi modélisables. Quant à la menace interne, elle nécessitera un travail plus spécifique conjoint avec l’entreprise.

Alexandre Dieulangard : un autre axe de différenciation est notre capacité à intégrer des simulations d’assurance cyber optimales. Aujourd’hui, nous sommes les seuls à modéliser une police d’assurance cyber, et son impact sur le risque.

Maxime Cartan : la vision plus technique de ce différenciant est notre adaptabilité grâce à l’intelligence artificielle, comme à titre d’exemple ce projet avec le réseau Relyens donnant naissance à un produit de cyberdéfense adapté au secteur hospitalier.

Pouvez-vous revenir sur les différentes fonctionnalités de la plateforme proposée par Citalid ?

Maxime Cartan : la première est celle de visualisation et de reporting sur le risque. Il s’agit concrètement de visualiser de manière agrégée pour l’entreprise (ou business unit par business unit), l’exposition financière du risque. La plateforme met à disposition des tableaux de bord permettant à la fois le pilotage, l’aide à la décision et la remontée d’informations des équipes techniques vers les décideurs. Elle référencie les différents risques et les pertes financières réparties par sinistre, et elle permet aux clients de vérifier la pertinence associée de la couverture de leurs assurances.

La deuxième se concentre dans la décision donc l’action. Cela signifie le pilotage sur le reporting, à travers une feuille de route avec des recommandations (solutions de sécurité ou d’assurances) priorisées par Citalid, permettant une réduction des risques, et incluant les projets d’investissements de nos clients. Dès les projets déployés et simulés, ces derniers font l’objet d’évaluations.

Alexandre Dieulangard : le troisième volet est celui du Threat Intelligence Center c’est-à-dire un point de situation dynamique sur les menaces informatiques dans le monde. Nos clients ont à disposition notre base de menaces informatiques, leur permettant de visualiser sur différentes temporalités, l’état de la menace d’un point de vue international. Aujourd’hui, c’est un état de situation, et demain grâce à notre R&D nous nous dirigeons vers l’anticipation.

Notre faculté à avoir connecté la Threat Intelligence à l’analyse de risques et de fournir une évaluation des risques cyber représente une vraie valeur ajoutée.

Citalid s’adresse-t-elle à des secteurs en particulier ?

Alexandre Dieulangard : Citalid s’adresse historiquement à des grands comptes qui ont un certain niveau de maturité, et à minima un besoin de pilotage de leur sécurité et de leur risque cyber. Nous collaborons aussi avec de nombreuses ETI, certaines PME et des acteurs institutionnels. Les secteurs du luxe, du retail, de la finance et de l’assurance représentent une part importante de notre activité.Concernant l’accessibilité de la plateforme, même si celle-est assez facile de compréhension et d’usage, il est primordial de soutenir pleinement nos clients. Des experts de Citalid sont ainsi dédiés à cet accompagnement premium sur l’intégration de leurs données et l’utilisation des fonctionnalités avancées proposées par notre plateforme SAAS. 

Maxime Cartan : nous travaillons de plus en plus avec les assureurs, à travers leur portefeuille d’entreprises assurées, et sur leur métier qui est la cyber assurance. Citalid avait à cœur d’être ce tiers de confiance, indépendant et objectif sur la quantification du risque. Notre outil va garantir à l’assuré une police d’assurance adaptée à son risque, et permettre aux assureurs de proposer la meilleure offre associée aux menaces identifiées de leurs clients.

Quelle est la typologie des collaborateurs de Citalid vous permettant ce niveau d’expertise dans la collecte d’informations du plus haut niveau technique et stratégique ?

Alexandre Dieulangard : aujourd’hui, la force de notre équipe est fondée sur la pluridisciplinarité de ses quarante profils passionnés qui participent à créer une alchimie unique ! Nous avons en effet tant des profils techniques : des développeurs, des Data Scientist, des analystes en Cyber Threat Intelligence, des experts de l’assurance cyber, qu’une équipe de choc d’un point de vue commercial, marketing, communication, avec des directeurs extrêmement compétents et talentueux dont des recrutements ont été décisifs pour Citalid. Notre direction administrative et financière est très efficace aussi.

Maxime Cartan : avec Alexandre, nous dirigeons la société de façon intuitive. L’équipe que nous avons construite au fil du temps avec exigence est une fierté, et nous serons soixante à la fin de l’année pour répondre aux besoins de nos clients ! 

En 2022, Citalid réalise une seconde levée de fonds notamment auprès de Seventure Partners d’un montant de 12 millions d’euros. Quelles sont désormais les futures étapes du développement de Citalid. S’inscrivent-elles dans des missions précises à court et moyen terme ?

Maxime Cartan : nous avons réalisé une levée de fonds de 12 millions d’euros menée par Seventure Partners, ainsi qu’auprès de Relyens, Albingia, la holding Fiblac et les investisseurs historiques de Citalid qui sont Axeleo Capital, BNP Paribas Développement.. Notre objectif, en faisant rentrer des assureurs au capital de Citalid, était de bénéficier de leur connaissance de l’assurance et de ses leviers pour débloquer le marché de la cyber-assurance.

Sur la partie internationale, nous avons une ambition forte. Notre projet est d’accélérer notre passage à l’échelle européenne avec rapidement une présence en Allemagne et la Région Dach et aussi en Angleterre.

Notre stratégie d’internationalisation passe également par des partenariats stratégiques, que ce soit avec des revendeurs à haute valeur ajoutée ou des assureurs comme Zurich avec lequel nous avons la chance de travailler dans le cadre du Zurich Innovation Championship, nous sommes une des 13 scale-ups sélectionnées sur 3500 à l’échelle mondiale.

Sur le développement de l’outil de Citalid, notre travail de R&D est continuel. Avec cette volonté affichée de toujours plus de transparence, de fiabilité et de rapidité dans les calculs. Deux autres aspects sont au centre de notre recherche et développement. D’une part, l’idée d’aller plus loin sur l’anticipation, (et cela signifie d’être encore plus en capacité d’anticiper l’évolution de la menace) et d’un point de vue plus assurantiel de l’agrégation du risque. Grâce à notre travail, on raisonne de plus en plus avec les assureurs au niveau de leurs portefeuilles d’entreprises. Cela signifiera de modéliser l’interdépendance des risques entre des centaines voire des milliers d’entreprises de portefeuilles d’assurances. Dans ce domaine, nous mettons en place des projets de recherche avec des grands acteurs universitaires, et nous investissons pour aller plus loin sur ces aspects-là.

Citalid à travers sa raison d’être repose sur une vision qui en définit les missions ?

Alexandre Dieulangard : Citalid prône la bienveillance interne et externe. Dans le domaine anxiogène de la sécurité, notre mission est que les entreprises vivent en toute confiance et sérénité avec le risque cyber. Cela en leur procurant des données pour des prises de décisions éclairées et justifiées sur ces menaces informatiques. La raison d’être de Citalid serait un pilotage rationnel du risque réel cyber.

Maxime Cartan : nous vivons dans un monde d’incertitudes, dont le risque cyber. Si la menace est réelle, Citalid propose une solution à travers des informations et des données, permettant aux entreprises de minimiser les menaces d’attaques informatiques potentielles. Au-delà d’aider les RSSI dont les fonctions sont cruciales au sein des sociétés, Citalid se veut être le tiers de confiance de pilotage du risque cyber…

Pour en savoir plus sur Citalid : https://citalid.com/

Source : Propos recueillis par Marie Cornet-Ashby pour Finance Innovation