EGERIE analyse les risques financiers liés aux risques cyber

Créée en 2016 et avec une première levée de fonds en 2019, EGERIE s’est imposée rapidement pour asseoir sa position de leadership en France sur le sujet de l’analyse du risque cyber. Aujourd’hui, avec plus d’une centaine de collaborateurs, un siège social et un centre de R&D à Toulon, et deux implantations à Paris, notamment sur le Campus Cyber, l’entreprise envisage de développer prochainement des filiales en Europe, en Allemagne dans un premier temps.

La levée de fonds 2023

En janvier 2023, EGERIE a levé 30 millions d’euros pour permettre aux dirigeants d’analyser et quantifier les risques financiers liés aux risques cyber. Ce tour de table a réuni des investisseurs spécialistes de l’assurance et de la cybersécurité (Tikehau Capital, Open CNP, la Banque des Territoires et TIIN Capital) « c’est une très grosse levée de fonds en pure player cyber, ces fonds étrangers et européens donnent une coloration internationale et européenne à l’entreprise, et une forte crédibilité pour attaquer le marché européen » explique Jean Larroumets.

Le pilotage de la performance de la cybersécurité

En effet, la plateforme d’EGERIE permet de comprendre et d’évaluer le risque cyber pesant sur les métiers, et de calculer le retour sur investissement des actions prises pour atténuer ce risque.

« L’objectif est donc de déployer ce type d’approche du pilotage de la performance notamment en Allemagne, Royaume-Uni, Italie, Espagne, pays nordiques et de devenir leader au niveau européen du Cyber Risk Management ».

Avoir connaissance et conscience du risque cyber

Objectif « aider les entreprises et leurs dirigeants à prendre connaissance du risque cyber dans lequel ils sont et déployer une stratégie de cybersécurité éclairée sur la base de cette information ».

Trop longtemps perçu comme un risque technologique, ce risque cyber doit être compris et appréhendé, désormais, par la Direction Générale. « C’est en train de changer. Il faut utiliser un langage accessible et qui parle aux Directions Générales, c’est-à-dire gestion de budget, gestion financière, pertes financières. Il faut transformer cette perception du risque technique cyber en un risque financier qui doit permettre d’arbitrer ce risque ». L’impact est fondamental.

Si la prise de conscience est de plus en plus forte, précisément avec les cyberattaques mondiales impactant l’économie, l’accélération est une réalité.

Faire évoluer la réglementation

Pour accélérer cette prise de conscience, les réglementations sont aussi en train d’évoluer (cf loi de programmation militaire / Opérateurs d’Importance Vitale). « Il est essentiel de ne pas imposer mais de voir à quoi on est exposé, de mettre en place des mesures pour ne pas mettre en péril l’entreprise, et démontrer la pertinence de la mise en place d’une démarche cybersécurité en arbitrant le risque ». Cette approche génère des investissements en cybersécurité après évaluation, ce qui est vertueux.

La réglementation cyber évolue, notamment avec la directive NIS 2 qui élargit ses objectifs et son périmètre d’applicabilité pour plus de protection, en ce sens elle renforce la cybersécurité du marché européen. En France, de nombreuses entreprises et administrations sont donc soumises à cette nouvelle règlementation. Evolution aussi avec la réglementation DORA pour la résilience opérationnelle numérique.

Ainsi, « la réglementation est en train de s’inverser. Plutôt que d’imposer des listes d’exigences à appliquer, la première des règles est que la Direction Générale doit mesurer son état cyber, son risque cyber et arbitrer des mesures de sécurité pour investir et diminuer son exposition. On passe de la conformité et l’infantilisation à la responsabilisation des directions générales ».

L’analyse de risque cyber sert donc à faire remonter le risque technique d’origine cyber et évaluer son impact sur l’activité de l’entreprise. Ce système est désormais décisionnel.