Cyber Risk Quantification : nos prédictions pour 2025
Face à des cybermenaces toujours plus sophistiquées et des impacts aux conséquences économiques parfois lourdes, le pilotage du risque cyber est devenu un enjeu stratégique pour les entreprises. Dans ce contexte, la Cyber Risk Quantification (ou CRQ) s’impose comme un outil indispensable pour mieux comprendre, prioriser et réduire les risques liés à la cybersécurité.
En 2024, la CRQ a connu des évolutions significatives, notamment reflétées dans deux rapports produits par Gartner et Forrester. En décembre dernier, le « CRQ Solutions Landscape, Q4” de Forrester met en lumière l’importance croissante de la CRQ dans le pilotage des risques cyber, positionnant Citalid parmi les acteurs clés du marché grâce à son approche innovante et son leadership européen. Plus tôt dans l’année, Citalid était nommée pour la deuxième année consécutive dans le Gartner Hype Cycle for Cyber Risk Quantification, confirmant sa place parmi les pionniers de ce marché en plein essor.
Ces analyses soulignent à la fois le potentiel stratégique de la CRQ et l’intérêt croissant qu’elle suscite auprès des entreprises cherchant à renforcer leur maturité défensive.
Nos experts ont décrypté tout au long de l’année 2024 les évolutions et les tendances liées à la quantification du risque cyber et à ses applications concrètes : cyber assurance, conformité, gouvernance, communication, etc. Léo Coqueblin, Pouya Canet et Maxime Cartan se proposent de revenir sur ces enjeux clés.
De la Communication à la Gouvernance : La Nouvelle Ambition de la CRQ pour 2025
En 2024, la Cyber Risk Quantification s’est réellement illustrée comme un outil de communication indispensable pour les organisations, grâce au langage commun qu’elle permet d’instaurer au sein de toutes les parties prenantes de la stratégie de cybersécurité. Selon Gartner, trois des principaux cas d’usage de la CRQ concernent d’ailleurs la communication : communiquer avec les risk managers, communiquer avec le management et communiquer avec le board.
Ce langage commun est permis par la génération d’indicateurs financiers actionnables. « La CRQ permet de vulgariser l’appréhension du risque auprès d’un panel de parties prenantes, qui ne sont pas forcément connaisseurs », fait remarquer Léo Coqueblin, Head of Cyber Risk Strategy chez Citalid. La Cyber Risk Quantification permet de susciter la discussion concernant le risque cyber en mettant autour de la table tous les acteurs de l’entreprises, même ceux qui n’ont pas un profil technique. Elle leur permet de mieux comprendre l’impact économique du risque cyber sur l’organisation, et aiguille ainsi les décisions à prendre pour réduire l’exposition au risque en impliquant toutes les parties prenantes.
En tant qu’outil de gouvernance et grâce à l’implication qu’elle suscite, la CRQ est très bénéfique à l’organisation, en particulier dans certains usages qui seront mis en avant en 2025 tels que la mise en conformité ou la définition de l’appétence au risque.
L’IA Générative au Service de la CRQ : gain de temps et explicabilité seront au rendez-vous
Depuis 2022, l’intelligence artificielle (IA) générative a profondément transformé notre société, portée par des outils tels que ChatGPT. Cette technologie a rapidement trouvé des applications dans une multitude de secteurs, redéfinissant des processus complexes et ouvrant de nouvelles opportunités. En 2024, cette tendance a atteint le domaine de la cybersécurité, où l’intégration d’IA génératives dans les solutions de pilotage du risque cyber a connu un essor significatif. Ces outils permettent désormais de modéliser des scénarios d’attaque, d’anticiper les vulnérabilités et d’affiner les analyses de risque avec une précision et une rapidité sans précédent.
Si des plateformes telles que Citalid intègrent l’intelligence artificielle au sein de leurs moteurs de calculs depuis leur origine, notamment à des fins de prédiction (réseaux bayésiens), cette technologie n’a pas fini de révolutionner la quantification du risque cyber. Amélioration de la collecte de données, création d’interfaces entre l’homme et la donnée, évaluation de maturité cyber, aide à la compréhension des polices d’assurance, amélioration de la capacité de détection et d’anticipation de l’entreprise face aux menaces… les utilisations de l’IA dans le contexte de la Cyber Risk Quantification sont multiples.
Un cas d’usage particulièrement prometteur de l’intelligence artificielle générative réside dans sa capacité à améliorer la vulgarisation des données de sortie, un objectif central de la CRQ. “L’émergence de l’IA explicable promet de combler le fossé entre l’automatisation et la compréhension humaine, rendant les résultats de la CRQ plus transparents et accessibles aux décideurs”, explique Maxime Cartan, co-fondateur et CEO de Citalid.
En 2025, cette convergence entre IA et CRQ devrait renforcer le rôle de cette dernière en tant que “langage commun”, facilitant la communication et la prise de décision stratégique grâce à des insights plus clairs et mieux contextualisés.
Enfin, en ce qui concerne les données d’entrée – fournies par l’entreprise et nécessaires à l’analyse de risque en elle-même, l’IA générative devrait pouvoir faire significativement gagner en efficacité la saisie des informations, de multiples sources et formats.
Cyber Risk Quantification 2025 : la fin du règne des chiffres au profit de la décision
Si en 2024 la CRQ était encore considérée comme une discipline en quête de maturité, c’est qu’elle peut parfois intimider. A cause de la complexité des données d’entrée à modéliser (heureusement, l’IA est là !) mais aussi par celle des données générées. Que faire de ces indicateurs financiers ? Comment les justifier, à la virgule près ?
En 2025, la Cyber Risk Quantification ne devra plus être envisagée comme un outil qui génère des chiffres, mais comme un outil de passage à l’action. En effet, deux solutions de quantification peuvent délivrer des résultats d’impact financier qui diffèrent, ce qui s’explique par la construction des modèles de calcul propres à chaque plateforme. Tout comme les prévisions météorologiques, l’indicateur lui-même n’est pas une science exacte, mais une probabilité sur laquelle on peut s’appuyer dans le cadre d’une prise de décision.
Les chiffres délivrés par les solutions de quantification du risque cyber n’ont de sens que lorsqu’ils permettent de déclencher la bonne action dans un cas d’usage concret, pratique et objectivé. « Si on veut que cela évolue, il faut avant tout accepter le fait que le chiffre n’est pas la réponse finale. », conseille Léo Coqueblin.
La CRQ poursuivra sa conquête de toute la chaîne de valeur de l’assurance, notamment auprès des réassureurs
La quantification du risque cyber est en passe de s’imposer comme un pilier incontournable pour tous les acteurs de la chaîne de valeur assurantielle. Si elle gagne en maturité auprès des assurés, elle commence également à se propager parmi les courtiers et les assureurs. En 2025, ce seront les réassureurs qui devront s’y intéresser de près, en raison de leurs enjeux spécifiques liés à l’accumulation des risques cyber. Ces derniers nécessitent des solutions solides et adaptées pour une gestion efficace et une diversification des portefeuilles.
« Le sujet de la quantification a été mis en avant en 2024 du côté des assurés par des organisations professionnelles telles que l’AMRAE », souligne Pouya Canet. Cette démarche a trouvé un écho favorable auprès des courtiers et assureurs, car la quantification offre une meilleure compréhension du risque grâce à des indicateurs clairs, établissant ainsi un langage commun entre toutes les parties prenantes. En 2025, la Cyber Risk Quantification pourrait devenir un levier essentiel pour renforcer la relation de confiance entre assureurs et assurés, en leur permettant de concevoir des polices plus adaptées et alignées sur les besoins spécifiques des organisations.
Mais ce n’est pas le seul domaine où la quantification prouve son utilité. Les assureurs et réassureurs commencent également à l’exploiter pour gérer et diversifier les risques cyber de leurs portefeuilles. Dans ce cas d’usage en plein essor, la CRQ joue un rôle clé en facilitant une prise de décision éclairée, permettant de mieux répartir les risques couverts et d’optimiser leur pilotage.
Alors que la quantification du risque cyber en est encore à ses débuts dans le secteur assurantiel, son potentiel reste immense. En 2025, on peut s’attendre à l’émergence de nouveaux cas d’usage, portés par une adoption croissante de cette technologie par les professionnels du secteur. L’avenir de la CRQ est prometteur, avec un impact qui pourrait redéfinir les pratiques dans l’assurance et la réassurance cyber.
CRQ 2025 : l’âge de raison ?
En conclusion, la Cyber Risk Quantification (CRQ) s’affirme comme un levier stratégique majeur pour embarquer davantage de parties prenantes dans la cybersécurité. En 2025, son rôle dépassera la simple évaluation des risques pour devenir un outil clé de communication, favorisant une compréhension partagée des enjeux cyber à tous les niveaux de l’entreprise. Cette capacité à instaurer un langage commun permettra de responsabiliser l’ensemble des acteurs, des dirigeants aux équipes opérationnelles, et d’encourager des actions concrètes et ciblées.
L’intégration de l’intelligence artificielle générative jouera un rôle déterminant dans cette transformation. En exploitant son potentiel sur les données d’entrée et de sortie, l’IA permettra de simplifier la définition des analyses de risque tout en rendant les résultats plus accessibles et compréhensibles. À ce titre, une annonce prochaine de Citalid devrait marquer une étape clé, confirmant l’apport de cette technologie dans la démocratisation de la CRQ.
Cependant, pour atteindre son plein potentiel en 2025, la CRQ devra évoluer. Elle ne peut plus se limiter à une approche chiffrée parfois intimidante ou déceptive. Elle doit se positionner comme un véritable levier de décision et d’action, offrant des insights concrets pour guider les investissements, ajuster les priorités et renforcer la résilience face aux cybermenaces.
Enfin, l’expansion de la CRQ à l’ensemble de la chaîne de valeur du risque, des assurés aux réassureurs, est une excellente nouvelle pour la résilience économique des entreprises. En renforçant la collaboration entre les différents acteurs, elle contribue à un pilotage des risques plus efficace et à une meilleure anticipation des menaces.
2025 s’annonce donc comme une année charnière pour la CRQ. En s’imposant comme un standard incontournable, elle pourrait transformer durablement les pratiques des entreprises et des écosystèmes assurantiels, plaçant la cybersécurité au cœur de la stratégie des entreprises.
