Fresenius, acteur majeur de la santé, partage son retour d’expérience sur la Quantification du Risque Cyber (CRQ) avec Citalid
Précurseur dans la quantification du risque cyber, Fresenius s’est appuyé sur Citalid pour atteindre un nouveau niveau de précision et de compréhension des menaces. Découvrez comment cette collaboration a transformé sa stratégie et renforcé son leadership en cybersécurité.
Alors que les cyberattaquants rivalisent d’ingéniosité pour atteindre leur cible, la quantification du risque cyber (ou CRQ pour Cyber Risk Quantification) devient une discipline incontournable des entreprises qui cherchent à adopter une démarche proactive de gestion des risques cyber. David Steng, Directeur Cyber Strategy & Performance chez Fresenius, acteur majeur de l’industrie de la santé, témoigne de l’impact significatif de l’adoption de la CRQ sur la stratégie de cybersécurité de son groupe, notamment au travers d’une connaissance fine de l’état du risque, d’une prise de décision éclairée et la mise en place d’un dialogue efficace avec les dirigeants.
Fresenius : Un géant de la santé face aux défis du risque cyber
Avec ses 175 000 collaborateurs et sa présence dans plus de 80 pays, Fresenius est un acteur majeur du secteur de la santé, avec un chiffre d’affaires atteignant 22,3 milliards d’euros. Pourtant, il y a seulement cinq ans, la gestion du risque cyber n’était qu’à ses balbutiements. Le groupe fonctionnait alors comme une holding avec quatre divisions indépendantes, sans vision unifiée du risque cyber. Ce dernier était alors perçu comme un risque technique.
Selon David Steng : « Les risques cyber sont des risques stratégiques, dont la réduction doit s’envisager sur le long terme. » Cette prise de conscience a mené Fresenius à définir une fonction de RSSI (Responsable de la Sécurité des Systèmes d’Information) au niveau du groupe et à instaurer un cadre commun de gestion du risque cyber. L’objectif : rendre le risque compréhensible de tous et améliorer la prise de décision en haut lieu.
La méthode FAIR, point de départ de la stratégie de CRQ de Fresenius
Dès 2020, David Steng s’intéresse à la méthode FAIR (Factor Analysis of Information Risk), créée par Jack Jones : un modèle d’analyse quantitative pour mieux quantifier le risque cyber d’un point de vue financier. En s’appuyant sur les fondamentaux de la méthode, Fresenius a pu mettre en place des rapports semestriels sur le risque cyber pour chaque division du groupe. Cependant, cette première approche de quantification restait limitée.
« Manuellement, on pouvait réaliser 10 à 15 scénarios de risque, mais cela ne suffisait pas pour un groupe de notre envergure et cette méthode ne pouvait pas passer à l’échelle pour des raisons de subjectivité », explique David Steng. En effet, chaque division était responsable de sa propre quantification, ce qui laissait place à des interprétations variées et des résultats difficilement comparables.
Fresenius a alors choisi de travailler avec Citalid, une solution SaaS européenne capable de quantifier financièrement le risque cyber de manière objective et scalable.
Contextualisation de la menace : une approche complète de la quantification du risque
Citalid se distingue notamment par sa capacité à associer la quantification des risques à des données de Cyber Threat Intelligence (CTI), et c’est ce qui a séduit Fresenius. « Citalid nous aide à comprendre les attaquants intéressés par notre secteur d’activité grâce à des données actualisées de cyber threat intelligence », précise David Steng. Cette approche permet non seulement de cartographier les scénarios de risque, mais aussi de définir des stratégies adaptées à la menace propre au contexte de Fresenius.
Grâce à des tableaux de bord et indicateurs actionnables, la plateforme Citalid aide Fresenius à identifier les menaces, évaluer leur impact financier potentiel et mesurer la maturité de sa posture défensive. Plutôt que d’utiliser des termes vagues comme “risque grave” ou “risque critique”, Citalid met des chiffres sur les risques. L’algorithme de Citalid, s’appuie sur des milliers de simulations pour évaluer la capacité de défense de l’entreprise face aux attaquants, permettant ainsi une évaluation précise du niveau de défense au regard de la menace.
Des bénéfices tangibles pour Fresenius
Les résultats de l’implémentation de Citalid ont été significatifs pour Fresenius, qui a pu répondre de manière efficace à plusieurs problématiques :
- Anticipation des menaces : Grâce à l’intelligence stratégique de Citalid sur les groupes d’attaquants, leurs méthodes et les fréquences d’attaque, Fresenius peut anticiper précisément et se prémunir des menaces qui lui sont propres.
- Optimisation des mesures de sécurité : La plateforme Citalid aide Fresenius à déterminer les contrôles les plus efficaces en matière de réduction du risque, avec une analyse coûts-bénéfice pour une évaluation du Retour sur Investissement du programme de cybersécurité.
- Quantification financière de l’impact : Grâce aux données sur les pertes potentielles et des simulations, Fresenius peut estimer les coûts d’un incident en cas de matérialisation du risque.
- Recommandations de sécurité : La plateforme Citalid réalise des simulations d’attaque “Red Team” pour tester la capacité de l’organisation à résister aux attaques. Citalid fournit ensuite des recommandations de sécurité personnalisées.
- Comparabilité et objectivité des données : Citalid réduit la subjectivité des analyses en appliquant des standards unifiés, permettant de générer des indicateurs et une comparaison entre les divisions de Fresenius.
David Steng met en avant un autre atout essentiel : « Avec Citalid, l’analyse du niveau de maturité est assez facile à faire. Nous avons utilisé le référentiel CIS, mais d’autres sont disponibles comme NIST ou ISO. » Cette flexibilité et cette compatibilité avec différents standards de sécurité facilitent l’adoption de la solution au sein des entreprises, grâce aux nombreux référentiels de sécurité pris en compte dans la plateforme.
Une gestion proactive du risque et un dialogue renforcé avec la direction de Fresenius
L’approche de quantification du risque cyber adopté par Fresenius en s’appuyant sur Citalid a non seulement amélioré la compréhension des risques au sein de l’organisation, mais elle a également permis d’instaurer un langage commun entre les experts cyber et les décideurs financiers.
David Steng confirme que cette approche a facilité les discussions stratégiques avec la direction : « La quantification permet aux dirigeants de définir un appétit au risque. » Cette compréhension commune permet aujourd’hui aux dirigeants de Fresenius d’intégrer le risque cyber dans leurs arbitrages budgétaires et leurs décisions stratégiques.
Citalid est un outil qui favorise le passage à l’action. « On s’est aperçu qu’en appliquant l’approche de Citalid, on passait moins de temps à essayer de comprendre nos risques, mais plus de temps sur la gestion des risques. », explique David Steng. Citalid a ainsi permis à Fresenius de passer à une approche proactive, dans laquelle chaque division du groupe est capable d’anticiper, d’évaluer et de prioriser ses initiatives de cybersécurité.
Une vision durable et évolutive de la gestion des risques
L’expérience de Fresenius démontre qu’une gestion proactive du risque cyber ne peut se limiter à des évaluations qualitatives ou à des outils génériques. En s’associant à Citalid, le groupe a repoussé les limites de la quantification du risque en combinant précision financière, intelligence des menaces et prise de décision stratégique. Ce partenariat illustre la voie à suivre pour les organisations de la santé et au-delà, souhaitant transformer le risque cyber en un avantage compétitif : une compréhension fine et contextualisée des menaces, alliée à une capacité à aligner expertise technique et vision business. Pour Fresenius, comme pour d’autres leaders, cette approche marque le début d’une nouvelle ère dans la cybersécurité.
