Citalid – Citalid

Europe’s 2022 Energy Sector: the Cyber Threats landscape

This report is a joint CITALID and Sekoia.io analysis pertaining to cyber activities targeting the energy sector in 2022 in Europe. It is based on open sources reports and includes both our investigations and analysis. Information cut-off date is 22 February 2023.

The energy sector faces multiple risks, including in cyberspace, being an attractive target for multiple threat actors. Possible risks posed by cyber threats notably include cascading effects on the physical layer, which makes this vertical particularly critical.
The Russo-Ukrainian conflict and its implication for the energy supply worldwide impacted cyber malicious activities targeting the energy vertical, notably originating from State-nexus threats as well as hacktivists groups.
Cyberespionage campaigns originating from Russia and Ukraine targeting energy-related entities were increasingly observed and / or reported, notably driven by strategic intelligence collection.
Russia-nexus intrusion sets were observed resuming destructive and disruptive cyber campaigns targeting the energy vertical.
China-affiliated intrusion sets continued targeting energy entities, notably entities operating in the South China Sea, including involved European stakeholders.
Lucrative-oriented cybercrime groups and other dark web threat actors continued carrying out campaigns impacting the energy sector during 2022. The slight increase in number of attacks highly likely mirrors the natural growth of the cybercrime threat in recent years.

The energy sector context in 2022

The energy sector remains particularly vulnerable to cyber threats, notably due to two identified structural risks being the complexity of information systems implemented in this sector, including Information Technology (IT) and Operational Technology (OT) networks and solutions, in a context of digitization of activities and IT/OT convergence, as well as third party risk, both increasing the exposure to threat, with possible effects on the physical layer.

In 2022, the energy sector was at the heart of concern in Europe, notably in the light of the Russo-Ukrainian conflict. In this context the energy vertical was targeted by multiple offensive cyber enabled operations, including espionage, disruption, sabotage and information operations. Of particular interest, hacktivist threats, although less advanced, demonstrated a growing interest in disruption operations, notably impacting the energy vertical.

The European energy sector also faced lucrative-oriented cyber malicious campaigns, mostly double extortion attacks operated by Ransomware-as-a-Service (RaaS) groups, and hack-and-leak operations.

Cyberespionage activities continuously support State-aligned strategic interests

Energy is a subject matter and vertical of interest for cyberespionage activities, notably pertaining to strategic data collection and industrial espionage.

Between December 2021 and March 2022, Dragonfly (aka BROMINE), a Russia-nexus intrusion set was observed exfiltrating data from a nuclear safety organisation. Interest for nuclear energy-related entities was also demonstrated on the physical layer, as Russian troops seized the decommissioned Chernobyl nuclear power plant and the Zaporizhzhia Nuclear Power plant. It continued through the conflict, as Calisto notably targeted three nuclear research laboratories in the U.S. in a credential stealing campaign in August and September 2022. Google TAG researchers link this activity to the visit of United Nations inspectors to Ukraine’s Zaporizhzhia nuclear power plant in Russian-controlled territory. Additional Russia-nexus cyberespionage activities include EMBER BEAR (aka SAINT BEAR) targeting personnel involved in Ukrainian energy, Sandworm targeting an energy provider in Ukraine in March 2022, and Gamaredon observed unsuccessfully targeting a NATO refining company later this year. Aligned with Russian activities, the Belarus-nexus intrusion set UNC1151 targeted multiple Ukrainian government websites including those of energy ministries. In parallel, Ukraine-nexus intrusion set Cloud Atlas was reported targeting the Russian energy sector since at least December 2021. Since June 2022, multiple persistent campaigns focused on the energy sector in Belarus and in Russia were observed.

Throughout 2022, China-nexus intrusion sets continued targeting the energy vertical globally. Between November 2021 and April 2022, APT31 was observed targeting the Russian energy sector. This activity is congruent within the timeframe of ongoing negotiations between Russia and China to increase their energy alliance, notably through a new gas pipeline, as well as China’s considerations to increase their investment in Russian energy companies to secure Beijing’s energy supply, and allow Russia to mitigate the impact from lower energy sales to Europe. China-nexus intrusion sets also targeted European companies involved in the South China Sea region energy projects. This included APT40’s targeting of the German company Skyborn Renewables GmbH. during the ScanBox campaign carried out between April 2022 and June 2022, and Mustang Panda targeting a Swiss organisation in the energy and engineering sector in September 2022. Of note, the South China Sea is not only a site for oil and gas exploitation, it is also a critical logistics route for oil and natural gas imports, transporting energy resources through strategic choke points, such as the Strait of Malacca. Switzerland appears to be a country of particular interest for Chinese renewable energy investments, and supplies. The PRC also started prioritising green energy opportunities through the Green Silk Road project since 2021, as part of its own goal of reaching carbon neutrality by 2060 and to display a good record in the frame of UN’s 2030 Agenda for Sustainable Development Goals. We assess that China’s decarbonization strategy is almost certainly already a driver for cyberespionage campaigns originating from China. Of note, China continuously demonstrated its interest in the energy vertical, including nuclear energy, an interest recently renewed in the Global Security Initiative. Energy targeting by China-nexus will almost certainly continue at a global scale in the short to medium term. It is plausible these campaigns notably pertain to intellectual property theft.

In 2022, Iran-nexus intrusion sets, including Lyceum, UNC3890, and MuddyWater were observed continuing targeting the energy sector, notably in Italy, and Russia. We assess that the Russo-Ukrainian conflict was another driver for Teheran’s targeting of the energy vertical in 2022, notably to keep pace with the shift the conflict represented for the global energy market. Of note, in October 2022, Russia and Iran signed a memorandum of understanding for energy cooperation, specifically an oil-gas swap. However energy-related entities based in Israel and Saudi Arabia consistently remain primary targets of Iranian cyberespionage activities. Additionally, we assess the maritime dispute between Israel and Lebanon, notably pertaining to the Karish gas field, as well as gas pipeline discussions between Israel and Turkey are likely to be drivers for continuous Iran-nexus regional cyberespionage activities targeting energy-related organisations and individuals, possibly including involved European stakeholders.

Additional State-nexus cyberespionage campaigns targeting the energy vertical include North Korea-nexus Kimsuky, Lazarus, and Andariel intrusion sets. The latter was reported targeting an unidentified engineering firm involved in the energy and military sectors, as well as energy providers in Canada, Japan, and the United States between February and July 2022.

Sabotage activities highly shaped by the Russo-Ukrainian conflict

As energy was a topic of particular tension between European countries and the Russian Federation, cybersecurity researchers expected the vertical to be a target of interest for destructive cyber operations targeting European and Ukrainian entities originating from Russia, along the same lines as cyber campaigns supporting the annexation of Crimea in 2014. As reported by MSTIC, Russia-nexus intrusion sets’ campaigns targeting the Ukrainian energy sector and nuclear-related entities accounted for respectively 8% and 3% of Russia originating State-nexus activities in 2022. While this represents a significant part of critical infrastructures targeting, Sekoia.io, CITALID and fellow cyber researchers expected even more reported activities. We assess that energy being a possible leverage in the Euro-Russian relationship, this vertical was plausibly part of Russia-nexus intrusion sets’ remits. In April 2022, ESET reported on a malicious cyber campaign by Sandworm targeting an unnamed Ukrainian energy provider’s electrical substation, with the malware Industroyer2, a variant of the Industroyer malware used against Ukraine by the same intrusion set in 2017. In addition to Industroyer2, this intrusion set leveraged destructive malware families. Based on CERT-UA information, the attack was thwarted. In March 2022, a malicious cyber campaign against the Viasat KA-SAT network, attributed to Russia by the UK and U.S. governments notably impacted the operations of 5,800 wind turbines in central Europe. To date, this is the only occurrence of a cyber operation targeting Ukraine with assessed cascading disruptive effects. We assess it is almost certain that physical access to energy-related infrastructures by Russian forces in Ukraine notably contributed to a lesser reliance on cyber means. Of note, to the best of our knowledge, and as the extent of the operational impact of cyber campaigns is difficult to assess, the most impactful attacks against Ukraine’s energy-related entities and infrastructures originating from Russia in the context of the Russo-Ukrainian conflict were kinetic (i.e., missile strikes).

Other observed activities include public declarations warning against reconnaissance efforts, allegedly conducted for follow-up destructive attacks, such as the FBI notice reporting on scanning activities against five U.S. energy companies originating from Russia. Of note, and to the best of our knowledge, there is no indication of targeted destructive campaigns against U.S. energy-related entities previously carried out by Russia-nexus intrusion sets. In April 2022, U.S. CISA released an advisory to warn against existing offensive capabilities specifically designed to target Industrial Automation and Control Systems called PIPEDREAM (aka INCONTROLLER). While no activity leveraging PIPEDREAM was neither reported in open sources at the time of writing, nor officially associated to a specific nexus or intrusion set, this toolset is consistent and congruent with past Russia-associated IACS-related malware. Of particular concern is the apparent focus of scanning activities targeting the Netherlands, including XENOTIME and KAMACITE scanning activities targeting Netherlands-based LNG terminals In November 2022, and the more recent identification of a Russian ship, suspected of mapping the Dutch wind parks in the North Sea by the MIVD, the Dutch military intelligence agency. While we assess it is unlikely Russia will proactively target NATO energy infrastructures in sabotage campaigns, it is plausible these activities pertain to the operational preparedness environment in a context of escalation that would transpire in cyberspace.

State-nexus activities targeting the energy vertical in 2022

State nexus intrusion sets targeting the energy vertical in 2022 4 1843x2048 1

Figure 1. State-nexus activities targeting the energy vertical in 2022.

Rise in disruption campaigns indicate an increased structuration of hacktivist groups

The energy industry faced a significant increase in operations conducted by self-claimed hacktivists groups. This activity is deeply circumstantial and mainly fueled by the outbreak of the Russia-Ukraine conflict. For the most part, these hacktivist campaigns consisted in DDoS (Distributed Denial of Service), data disclosure operations, and defacement. Significant incidents included the data disclosure of emails from MashOil and oil pipeline company Transneft, and from Gazprom Linde Engineering joint venture, both claimed by the Anonymous nebula. In August, pro-Russia self-claimed hacktivist group, People’s Cyber Army conducted DDoS campaigns against State-owned Ukrainian nuclear operator Energoatom. In October, another pro-Russia hacktivist group, Xaknet, claimed they conducted a DDoS attack against Ukraine’s high-voltage transmission lines operator Ukrenergo.

As of the date of writing, the energy industry continues to be actively targeted. In February 2023, Anonymous Italia claimed a DDoS against the Russian gas company Norilsk gazprom and electricity company Arktik Energo. Since February 2023, pro-Russia self-claimed hacktivist group NoName057(16) carried out nationwide DDoS campaigns targeting energy operators including pipeline operators, power plants, refineries and distributors in Poland, Slovakia, Lithuania, Estonia, Italy and the United-Kingdom. Observed impacts were generally low and limited to nuisances.

NoName05716s DDoS claim against Lithuanian energy company Ignitis Gamyba

oName057(16)’s DDoS claim against Lithuanian energy company Ignitis Gamyba. SEKOIA.IO Figure 2. NoName057(16)’s DDoS claim against Lithuanian energy company Ignitis Gamyba

Hacktivists’ active targeting of the energy sector is essentially aimed at undermining public’s trust in government and companies’ capacity to protect critical systems and ultimately erode public support for the belligerents through the media coverage of their activity. None of these campaigns aimed at durably disrupting the targeted organisations but rather at maximising the volume of impacted targets. Thus, self-claimed hacktivist intrusion sets essentially focus on highly symbolic and critical sectors such as government, energy, defence and telecommunications. Ideology driven operations against the energy industry were also encouraged and facilitated through the involvement and instrumentalization of hacktivist resources by belligerent States. The creation of the IT army of Ukraine as announced by Vice Prime Minister Mykhailo Fedorov on 26 February 2022 institutionalised this dynamic early in the conflict.

In January 2023, the IT Army of Ukraine claimed to have access to information belonging to the Russian gas company Gazprom. This claim occured a few months after the Main Directorate of Intelligence at the Ministry of Defense of Ukraine (GURMO) conducted cyber operations against Gazprom. In September 2022, Mandiant assessed that pro-Russia self-claimed hacktivists groups including Xaknet, Infoccentr and CyberArmyofRussia_Reborn coordinated data disclosure operations with intrusion sets associated with the Russia Main Intelligence Directorate (GRU). While the precise nature and scale of this coordination remains uncertain (from information sharing to possibly false flag operations), we assess it is almost certain the purpose is to enable higher scale operations to portray civil engagement to the conflict and generate spontaneous, active, and profound support.

Throughout 2022, hacktivists groups were also notably observed increasingly interested in targeting Operational Technology (OT) to conduct disruptive activities, which represents a noticeable shift in these groups’ activities. Hacken.io, a contributor of the IT Army of Ukraine advertised being interested in submission of vulnerabilities notably pertaining to Russian ICS, energy, oil and gas sectors, as part of their initial offensive cyber program. Further examples include the claimed compromise of the Russian oil distribution company Severnaya’s OT systems by NB65, a member of the Anonymous nebula, in February 2022. The same intrusion set encrypted Gazregion’s systems in April 2022 and claimed the compromise of several OpenSCADA devices. In July 2022, Team OneFist, a self-claimed hacktivist group supporting Ukraine, claimed to have compromised several Russian cities electrical control systems and to have deleted data on targeted devices. In August, the same intrusion set also claimed to have conducted a campaign targeting 39 transformer data collectors across Russia and against the Khanty-Mansiysk city natural gas system.

Team OneFists Operation Smoke against a PS 249 substation 1

Team OneFist’s Operation “Smoke” against a PS-249 substation. SEKOIA.IO Figure 3. Team OneFist’s Operation “Smoke” against a PS-249 substation

Related TTPs analysis show that these campaigns take advantage of poorly secured environments, actively scanning for exposed devices in countries of interest and compromising infrastructures using valid accounts (default or weak credentials), or by exploiting public facing applications. Impacts varied from data destruction to encryption and defacement. This activity sets a precedent for self-claimed hacktivist groups with seemingly higher capabilities who have had the opportunity to develop new tools and to experiment with the compromise of critical infrastructures, in some instances seeking disruptive effects. We assess that this evolution is structural and is likely to have long term effects on the global level of hacktivist threats.

Likewise, several vendors envisioned these dynamics as the beginning of a new era of hacktivism. While Estonia incidents (2007) and the Russia-Georgia conflict (2008) also capitalised on hacktivist resources, this ongoing conflict projected it at a much higher scale. Moving away from the traditional model of unstructured and decentralised collectives, this conflict is witnessing the emergence of hierarchical groups, aligned with political agendas, possibly supported by State-nexus resources, and capable of conducting large-scale coordinated campaigns.

Info ops align on State-nexus agenda

Out of the overwhelming number of information operations surrounding the Russo-Ukrainian conflict, those pertaining to its impact on the energy sector notably included claims that the rise in energy prices following the conflict in Ukraine is a result of the ‘Great Reset’. European countries were particularly targeted by disinformation claiming that civil society would encounter energy shortage susceptible to political and social unrest. Czechia and Germany were notably targeted by info ops originating from China, as well as originating from Russia. Of note, it is highly likely these two European countries would be primary audiences for information operations, as Czechia was 97% reliant of Russian gas, and Germany was 60% dependent on Russian LNG, notably through NordStream. As previously mentioned, we observed hacktivist groups increasingly claiming access and / or disruption of OT assets, notably in the energy vertical. In June 2022, the pro-Palestinian hacktivist group GhostSec shared video evidence of an exposed interface of ELNet, an energy meter and electrical power meter at Israel-based MATAM high tech park being accessed by the group. According to the group, they gained access to five similar IoT devices in different locations and modified the settings to switch the lights off in all five of them. In September 2022, the same group claimed to have access to Israeli-based Berghof PLC devices. However, investigations by OT cybersecurity researchers at OTORIO indicate that GhostSec almost certainly does not have ICS-related capabilities. We assess this activity is almost certainly part of info ops efforts.

Cybercriminal opportunistic campaigns continue to impact the energy vertical

Over the past year, we identified 34 instances of ransomware groups engaging in malicious campaigns on the energy sector in Europe, compared to 30 known attacks in 2021. This includes data collected from dark web ransomware extortion sites and open source data. The observed incidents notably involved activities pertaining to the electricity supply and distribution, electricity generation and distribution, professional services specialised in the energy sector, storage and transport of energy products, oil and gas services, logistics services to the oil industry, and renewable energy solutions.

Ransomware activities impacting the energy 1

Ransomware activities impacting the energy sector in 2022. Source: SEKOIA.IO Figure 4. Ransomware activities impacting the energy sector in 2022.

The energy sector is exposed to the increasing trend of multiple extortion ransomware attacks. Impacts on these environments, such as encryption, can affect the continuity of critical operations on a national level and have widespread consequences on large communities. Also, data exfiltration can lead to the collection, selling and exploitation of sensitive data such as intellectual property. We add to that financial and reputational damage.

Almost all the observed cases involved the use of data exfiltration and double extortion technique, resulting in follow-up campaigns and contributing to hinder monitoring efforts by the cybersecurity community.

Based on our observations, groups including LockBit, BlackCat, RagnarLocker, Cuba and Hive were the most active collectives carrying out ransomware campaigns impacting the energy sector. Most of these groups operate under the Ransomware-as-a-Service (RaaS) model in lucrative campaigns. We observed the BlackCat ransomware group, composed of Russian speaking affiliates, claiming an increasing number of ransomware attacks targeting critical energy infrastructures in Western Europe in 2022. The group’s victimology notably includes the Italian oil company Eni and the electricity and natural gas supplier Creos Luxembourg SA. BlackCat also claimed responsibility for the campaigns against the German oil and gas storage company Oiltanking and the oil trading firm Mabanaft. Of note, while the timing was congruent, there is no evidence of a link between the BlackCat ransomware attacks and the Russo-Ukrainian conflict, and the events are to be considered as circumstantial. Based on victims’ public statements, the reported damages were minor and did not impact their operational flows.

We assess that ransomware activities affecting the energy sector are still opportunistic by nature. Of note, it is highly likely ransomware threat actors rely on the criticality of energy-related activities to ensure their ransom demands are met, and even request a higher ransom. We assess the energy sector will remain a prime target for highly organised cybercrime actors including ransomware groups.

Based on open source reports, stolen credentials are the most used initial intrusion vectors to conduct ransomware attacks and data breaches. We observe remote access for multiple companies in the energy sector are commonly sold on cybercrime forums and marketplaces. Veracity of these statements must be ensured, as data accuracy might be compromised on the cybercrime platforms, and energy actors need to monitor it closely to detect early evidence of intrusions.

Sale of a remote access to a Spanish energy company on XSS forum. SEKOIA.IO

Figure 5. Sale of a remote access to a Spanish energy company on XSS forum

Conclusion

The energy sector’s risk exposure to cyber threats is structural and mostly due to its criticality. Identified risks notably include third party risk and the OT/IT convergence. Additionally it is particularly susceptible to be impacted by geopolitical dynamics.

We assess cyber malicious campaigns including cyberespionage, disruptive, lucrative and destructive activities impacting the energy vertical will continue in the short term.

We further assess the ongoing Russo-Ukrainian conflict will almost certainly continue to be a strong driver for offensive cyber activities in the short term, notably for State-nexus and hacktivists intrusion sets.

Hacktivists are likely to continue their ongoing structuring. Support garnered by these intrusion sets by civil society and possibly State-related entities, as well as the increasing level of advancement of their capabilities will possibly durably impact the cyber threat landscape in the short term.

We also expect to continue observing cyber activities targeting the energy sector originating from China-nexus intrusion sets, notably for industrial espionage and intellectual property theft, highly likely targeting European entities involved.

It is our assessment that while still highly opportunistic, cybercriminal activities will continue impacting the energy vertical, notably through ransomware and hack-and-leak operations.

April 2023 By Citalid - Cyber Risk Quantification 0 Comments

Report

Cyber and geopolitical dynamics of the Russia Ukraine war – Part 2

While Moscow projects its regional power ambitions in Ukraine, the extension of NATO and the installation of military bases in Eastern Europe is thus designated by Russia as a direct threat to its vital interests and a betrayal of the commitments made by the United States in February 1990 (non-enlargement of NATO to the East). Tensions accelerated in April 2021 when Russia assembled its armed forces on the Ukrainian border. Their number reached 100,000 men by the end of the year. The diplomatic machine got bogged down after NATO refused the security guarantees proposed by Russia (non-membership of Ukraine in NATO and limitation of personnel and equipment deployed in Eastern Europe).

Download now the report on the Cyber and geopolitical dynamics of the Russia Ukraine war part 2!

February 2023 By Citalid - Cyber Risk Quantification 0 Comments

Report

Cyber and geopolitical dynamics of the Russia Ukraine war – Part 1

On the night of February 23-24, 2022, Russian troops entered Ukraine from the eastern, northern (Russian and Belarusian) and southern (Crimean) frontlines as a “peacekeeping” operation, according to the Russian government. The invasion occurs a few days after the Kremlin recognized the independence of the separatist regions of Donbass (Luhansk and Donetsk). The conflict broke out at a time of increasing independence from Moscow (Orange Revolution of 2004, Maidan Revolution of 2014) and a gradual rapprochement with the Western powers (European Union and NATO). This dual dynamic had been the catalyst for the annexation of Crimea in 2014 after the removal and exile of pro-Russian Ukrainian President Viktor Yanukovych. Ukraine remains the scene of a struggle for influence between NATO and Russia. While Moscow projects its regional power ambitions in Ukraine, the extension of NATO and the installation of military bases in Eastern Europe is thus designated by Russia as a direct threat to its vital interests and a betrayal of the commitments made by the United States in February 1990 (non-enlargement of NATO to the East). Tensions accelerated in April 2021 when Russia assembled its armed forces on the Ukrainian border. Their number reached 100,000 men by the end of the year. The diplomatic machine got bogged down after NATO refused the security guarantees proposed by Russia (non-membership of Ukraine in NATO and limitation of personnel and equipment deployed in Eastern Europe).

Download now the report on the Cyber and geopolitical dynamics of the Russia Ukraine war part 1!

February 2023 By Citalid - Cyber Risk Quantification 0 Comments

Report

Dynamiques cyber et géopolitique de la guerre Russie Ukraine – Épisode 1

Dans la nuit du 23 au 24 février 2022, les troupes russes entrent en Ukraine par les fronts Est, Nord (russe et biélorusse) et Sud (Crimée) au motif d’une opération de « maintien de la paix » selon le gouvernement russe. L’invasion survient quelques jours après la reconnaissance par le Kremlin de l’indépendance des régions séparatistes du Donbass (Luhansk et Donetsk).

Le conflit éclate alors que Kiev fait état d’une volonté d’indépendance croissante vis-à-vis de Moscou (révolution orange de 2004, révolution de Maïdan de 2014) et d’un rapprochement progressif avec les puissances occidentales (Union européenne et OTAN). Cette double dynamique avait été le catalyseur de l’annexion de la Crimée en 2014 après la destitution et l’exil du président ukrainien pro-russe Viktor Ianoukovytch.

L’Ukraine reste le théâtre d’une lutte d’influence entre l’OTAN et la Russie qui y projette ses ambitions de puissance régionale. L’extension de l’OTAN et l’installation de bases militaires vers l’Est […]

Téléchargez dès maintenant l’étude sur les dynamiques géopolitique et cyber de la guerre Russo-Ukrainienne partie 1 !

February 2023 By Citalid - Cyber Risk Quantification 0 Comments

Report

Dynamiques cyber et géopolitique de la guerre Russie Ukraine – Épisode 2

Téléchargez dès maintenant l’étude sur les dynamiques géopolitique et cyber de la guerre Russo-Ukrainienne partie 2 !

February 2023 By Citalid - Cyber Risk Quantification 0 Comments

Report

Analyse de la stratégie cyber et géopolitique du Vietnam

Étant en pleine ascension à l’aube de la « Quatrième Révolution Industrielle », le Pays du Dragon dispose de plusieurs atouts pour peser dans le monde qui se dessine.

Pensant l’après Covid, Hanoï investit dans de nouvelles technologies comme la voiture électrique ou l’intelligence artificielle tout en encourageant l’implantation d’entreprises étrangères sur son territoire. Ainsi, le renforcement du tissu éducatif est une priorité au même titre que la consolidation d’une politique de cyberdéfense nationale.

Toutefois, le puissant voisin chinois incite à la retenue et au développement de stratégies alternatives. Paradoxalement, cette position de « faible au fort » satisfait le Vietnam tant celui-ci excelle dans l’art de la subversion. Le MOA APT 32 ne serait, à ce titre, qu’un « outil » moderne dans la guerre asymétrique.

En parallèle, le pays multiplie les partenariats sur la scène internationale pour ne pas revivre l’isolement des années 80. Après avoir été membre du Conseil de Sécurité des Nations Unies en 2020 et 2021, le pays a renouvelé son attachement au multilatéralisme lors de la 76^ème Assemblée Générale des Nations Unies en septembre dernier. Pour reprendre les mots de l’ancien Premier ministre Vu Khoan, il tâche de poursuivre une diplomatie efficace en « définissant des objectifs reflétant à la fois ses intérêts intimes et les tendances de l’époque ».

Cependant, si le PCV a jusqu’à présent fait preuve de capacités d’adaptation, il devra se garder d’un immobilisme dans sa gouvernance qui pourrait ternir la cohésion nationale et rebuter les jeunes talents.

Téléchargez dès maintenant l’analyse de la stratégie cyber vietnamienne !

January 2023 By Citalid - Cyber Risk Quantification 0 Comments

Report

Analyse de la stratégie cyber de l’Iran

Si l’Ukraine a souvent été qualifiée « de laboratoire cyber » de la Russie, alors l’Iran a sans nul doute été le laboratoire cyber des États-Unis et de certains de leurs alliés. C’est dès lors en réaction à une série d’attaques dévastatrices et souvent hautement sophistiquées que le pouvoir iranien a rapidement dû développer ses propres capacités cyber pour tenter de se défendre, mais aussi utiliser ces nouvelles compétences, acquises à marche forcée contre ses adversaires, pour affirmer sa puissance dans le cyberespace.

L’impératif est triple pour la République Islamique. Il s’agit d’être capable de se défendre pour protéger ses infrastructures critiques et leurs capacités liées (notamment nucléaires), de surveiller les forces d’opposition à l’intérieur et l’extérieur du pays susceptibles de déstabiliser le régime tout en réduisant l’influence occidentale et enfin d’affirmer ses capacités en matière de Lutte Informatique Offensive (LIO) sur la scène internationale.

Téléchargez dès maintenant l’analyse de la stratégie cyber de l’Iran !

January 2023 By Citalid - Cyber Risk Quantification 0 Comments

Blog post

Citalid lève 12M€ et s’impose comme le tiers de confiance européen de la cyberassurance

Il s’agit de la plus importante levée de fonds de la cyber insurtech française. Mené par Seventure Partners, ce tour de table va permettre à Citalid d’unir les communautés cyber et assurantielle pour assurer la résilience de l’écosystème européen.

Paris, le 12 oct 2022 – Citalid, start-up française pure player de la quantification financière des risques cyber, dévoile ce jour une levée de fonds (Série A) de 12M€ menée par Seventure Partners aux côtés de Relyens, Albingia, Fiblac et de ses investisseurs historiques Axeleo Capital (AXC) et BNP Paribas Développement.

Citalid a été lancée en 2018 par Maxime Cartan et Alexandre Dieulangard, tous deux spécialistes du renseignement sur les cybermenaces bénéficiant d’une expérience de premier plan au centre opérationnel de l’ANSSI (autorité nationale de cyberdéfense française). Pionnière de la « Cyber Risk Quantification » (CRQ), elle a construit sa légitimité auprès de la communauté cyber, qui a récompensé son innovation à de multiples reprises^[1].

En 2020, la start-up a été sélectionnée par le gouvernement français dans la cadre du programme Grand Défi pour fédérer l’ensemble de l’écosystème du risque cyber, du RSSI à l’assureur en passant par le Risk Manager. Elle aide déjà plusieurs assureurs et courtiers à concevoir et tarifer des polices d’assurance adaptées à chaque client. Ses innovations dans ce domaine viennent d’ailleurs d’être plébiscitées par la Direction Générale du Trésor dans son rapport sur la cyberassurance.

Structurer le marché de la cyberassurance

En 2021, plus d’une entreprise française sur deux (54 %) aurait fait l’objet d’une cyberattaque et, à l’échelle européenne, celles-ci ont connu une augmentation de 68 % par rapport à 2020. Les assureurs cherchent encore la bonne façon d’évaluer ces risques nouveaux et dynamiques, sur lesquels les données sont aussi rares que rapidement obsolètes. C’est l’un des principaux messages du rapport LUCY de l’AMRAE, qui constate que l’évolution de la rentabilité sur ce secteur joue aux “montagnes russes”.

La cyberassurance est donc le marché de demain pour les assureurs, et ce n’est que le début de l’aventure ! Le volume des primes représente déjà 9 milliards de dollars dans le monde en 2021, et est projeté à plus de 20 milliards de dollars en 2025. Pour saisir cette opportunité commerciale tout en répondant aux exigences croissantes de solvabilité imposées par les régulateurs, les acteurs de l’assurance doivent à la fois quantifier le risque de leurs clients et leur propre exposition.

« Aux États-Unis, des entreprises comme CyberCube ou Cyence (rachetée $275m par GuideWire) accompagnent déjà les assureurs et réassureurs. En Europe c’est Citalid qui mène la charge, et nous disposons d’atouts majeurs par rapport à notre concurrence américaine ! » déclare Maxime Cartan, Président et co-fondateur de Citalid.

Transformer les données cyber en métriques financières

En effet, face à une menace qui évolue à un rythme effréné, la réponse ne peut être que technologique. Grâce à des innovations issues de 5 ans de R&D impliquant la communauté cyber, les 35 cyber alchimistes de Citalid ont conçu le seul moteur de calcul du risque dynamiquement alimenté par des données terrain sur l’état de la menace. En transmutant ces données techniques, l’entreprise parvient à automatiser la production des métriques financières nécessaires aux actuaires comme aux Risk Managers.

La solution SaaS de Citalid croise à la fois le contexte d’une organisation, ses menaces, ses enjeux business et son niveau de maturité cyber externe (exposé à Internet) comme interne. Elle permet déjà à de nombreuses grandes entreprises et ETI européennes d’évaluer de façon complète, fiable et transparente leur exposition, de prioriser leurs stratégies de défense et d’assurance, puis de simuler les retours sur investissements (ROI) associés.

« Bien que le risque cyber soit un enjeu business majeur, peu d’entreprises l’évaluent à sa juste valeur. Nous nous réjouissons d’apporter notre soutien à Citalid qui permet aux entreprises non seulement d’évaluer les risques mais aussi de modéliser leurs impacts financiers » déclare Ludovic Denis, Seventure Partners.

« Nous sommes ravis de poursuivre l’aventure Citalid aux côtés d’une équipe qui a su grandir et convaincre plusieurs dizaines de grands groupes. Les assureurs ont besoin de solutions pour les guider sur le casse-tête des enjeux cyber et la plateforme de Citalid s’intègre parfaitement dans cette logique. » complète Mathieu Viallard, General Partner chez Axeleo.

Assurer la résilience et la souveraineté de l’écosystème européen

Rappelons-le, le Conseil de l’Union européenne a adopté en 2021 les conclusions de la Commission européenne et le Service européen pour l’action extérieure (SEAE) sur la stratégie de cybersécurité, soulignant que celle-ci était essentielle à la construction d’une Europe résiliente. Citalid est au cœur d’enjeux majeurs de résilience et de souveraineté européenne.

« Nous sommes convaincus que la quantification des risques cyber, au même titre que l’analyse et l’anticipation de la menace, est un enjeu critique de souveraineté. En mettant l’accent sur tel ou tel axe défensif, les critères d’assurabilité sont en effet un vecteur d’influence puissant pour orienter les futurs développements de la filière cyber. » estime Alexandre Dieulangard, Directeur Général et co-fondateur de Citalid

Par ailleurs, les menaces cyber comme leurs impacts financiers diffèrent fortement entre les États-Unis et l’Europe. Disposer d’une technologie de pilotage des investissements cyber par les risques conçu par un acteur européen et calibré avec des données adaptées est donc un enjeu majeur de résilience dans tous les secteurs critiques, dont celui de la santé.

« En considération de l’intensité des menaces ciblant les hôpitaux depuis la pandémie, Relyens se positionne avec de fortes ambitions stratégiques sur le pilotage, la prévention et l’assurance des risques cyber hospitaliers. Afin de développer une capacité innovante, dynamique, et pérenne de pilotage de ces risques à destination des acteurs du soin en Europe, Relyens a fait le choix de prendre part au financement de Citalid » explique Dominique Godet, Directeur Général du groupe Relyens.

Conseils sur l’opération :

Financier : Gimar & Co (Adrien Choquet)
Juridique : Jones Day (côté Investisseurs) et Me Joy Fant (côté Société)

A propos de Seventure Partners

Seventure Partners est un investisseur de long terme qui accompagne activement en capital les entreprises innovantes visant un impact positif sur l’homme, la société et la planète. Avec 900 M€ sous gestion* à fin 2021, Seventure est un leader Européen du capital innovation et investit depuis 1997 dans des sociétés à fort potentiel de croissance évoluant dans deux principaux domaines d’activité : : les Sciences de la vie (Santé & santé digitale, Nutrition, Alimentation, Nutrition, Blue Economy, Aquaculture, Animal & Agriculture, Sport & Bien-être …) dans toute l’Europe ainsi qu’en Israël, Asie et Amérique du Nord, et les Technologies digitales (FinTech, RetailTech etc…) principalement en France et en Allemagne.

Seventure accompagne le développement de sociétés depuis la création de l’entreprise (amorçage et premier tour), jusqu’à des tours de financement de capital développement (venture, growth, pre-IPO et IPO), avec des montants investis entre 500 K€ et 10 M€ par tour de financement, et jusqu’à 20 M€ par société.

Les fonds Digital Opportunities FundTM lancés en 2016 puis 2021 sont des fonds institutionnels de capital-risque soutenant les entreprises innovantes dans les domaines de la Fintech, de la Retailtech et les autres solutions digitales innovantes.

À propos de Relyens

Relyens accompagne plus de 34 000 clients et sociétaires dans 4 pays (France, Espagne, Italie, Allemagne) pour sécuriser leur activité et garantir la continuité et la qualité de leur mission d’intérêt général, au bénéfice des patients et des citoyens. A travers ses marques référentes Sham et Sofaxis, et une approche globale du Management des risques unique en Europe, le Groupe développe des solutions sur mesure et innovantes, combinant des offres de services et d’assurance.

En cohérence avec sa mission et ses valeurs mutualistes, Relyens s’appuie sur une politique d’investissement responsable qui favorise l’innovation et l’expertise, encourage le développement et le partage de bonnes pratiques, et participe à la création de valeur sur ses marchés. Avec 2,3 milliards d’euros d’actifs sous gestion, le Groupe soutient l’activité économique locale, l’immobilier éco-responsable, la recherche médicale, l’innovation scientifique et technologique, ainsi que les entreprises innovantes dans les secteurs de la Santé et des Territoires. Une démarche réaffirmée par la signature du label des Principes pour l’Investissement Responsable (PRI – Principles for Responsable Investment) et récompensée depuis 7 ans par le Label Transparence du média Instit Invest – Agefi.

www.relyens.eu

Twitter : @Relyens / LinkedIn : Relyens

A propos d’Axeleo Capital

Axeleo Capital est une société de capital-risque early stage (pre-seed, seed), créée en janvier 2017, qui investit en France et en Europe sur les thématiques suivantes : Enterprise Software, Cybersécurité, B2B Fintech, Crypto & Web 3.0, Proptech & Construction tech. Elle offre aux fondateurs de startups en amorçage un cadre d’accompagnement unique qui combine de l’investissement en capital depuis les phases pre-seed / seed, de l’accompagnement opérationnel et stratégique jusqu’à la série B et un écosystème actif de plus de 100 partners et mentors de haut niveau impliqués dans plusieurs success stories en France et en Europe. Axeleo Capital gère 135M€ à date sur des fonds VC thématiques et compte dans son portefeuille plus de 45 participations dont Alsid (cédé à Tenable), Cloudskiff (cédé à Snyk), Jenji (cédé à Silae), Trustpair, 365Talents, Cumul.io, Joko, Garantme Beantsock et Prello.

Pour en savoir plus : www.axc.vc.

^[1] Prix du public et prix du jury des Assises de la Sécurité en 2018, et prix spécial du jury de la start-up 2020 du Forum International de la Cybersécurité

October 2022 By Citalid - Cyber Risk Quantification 0 Comments

Blog post

Le Grand Défi Cyber soutient l’approche innovante de Citalid

Lancé à l’initiative du Secrétariat Général pour l’Investissement, le Grand Défi Cybersécurité s’inscrit dans le cadre de la stratégie nationale d’accélération de la cybersécurité annoncée par M. le Président de la République Emmanuel Macron en février 2021. En investissant plus d’un milliard d’euros, la France souhaite ainsi renforcer la cybersécurité des structures françaises et faire émerger des champions européens dans ce domaine.

Citalid a répondu présente pour relever ce défi et a été retenue aux côtés de 26 autres startup et PME innovantes !

Quelques mots sur Citalid

Fruit de 4 ans de R&D, la solution logicielle commercialisée par Citalid incarne la nouvelle génération de technologies de pilotage du risque cyber. Grâce à elle, les entreprises optimisent leurs investissements de cybersécurité et d’assurance en simulant la réduction du risque associée.

Notre mantra : « tout part de la menace ». Sans connaissance de la menace, pas d’aide à la décision dynamique. Grâce à notre base unique de Cyber Threat Intelligence (CTI) contextualisée et dopée à la géopolitique, nous avons réussi à rendre les analyses de risque dynamiques, quantifiées et actionnables.

Notre ADN : générer des métriques financières adaptées aux exigences des décideurs, du COMEX à la direction financière en passant par l’assurance. À la fois Cybertech, Insurtech et Fintech, notre approche bayésienne, combinant des données et des modèles experts uniques sur le marché, ouvre la voie à une quantification robuste et dynamique de l’exposition financière au risque cyber.

Le projet MATRICE

Dans le cadre du Grand Défi Cyber, Citalid porte le projet MATRICE (Maîtrise Agile et Transverse des Risques et des Investissements dans le Cyber Espace). L’objectif de la MATRICE est de démocratiser le pilotage stratégique du risque cyber en permettant aux entreprises de toutes tailles :

d’identifier et de modéliser les menaces les plus susceptibles de les cibler, d’un point de vue stratégique comme tactique,
de simuler leur exposition financière aux risques cyber, directe mais également induite par les parties prenantes de leur écosystème,
de piloter un plan d’investissement de sécurité optimal pour réduire cette exposition, en prenant en compte leur appétence au risque et leur budget,
et de partager au mieux leur risque résiduel via une police d’assurance.

Notre conception d’un pilotage du risque cyber de bout en bout nécessite non seulement de permettre aux entreprises d’identifier et de simuler les investissements de sécurité optimaux, mais également de bénéficier de polices d’assurance adaptées pour partager au mieux leur risque résiduel, inévitable au regard de l’intensité de la menace.

C’est pourquoi, en considération du rôle clé des assureurs dans le pilotage du risque cyber, du séisme qu’ils ont subi en 2020 et du durcissement des conditions de marché qui en a résulté, le Grand Défi Cyber a également confié à Citalid la mission de débloquer le marché de la cyberassurance en Europe. Citalid dispose donc désormais d’une gamme de solutions de quantification destinées aux acteurs de la cyberassurance, courtiers comme (ré)assureurs, et de partenariats stratégiques dans le domaine.

Innovations technologiques

La collaboration entre Citalid et le Grand Défi Cyber a d’ores et déjà permis d’accélérer grandement la conception, le développement et le déploiement au service des entreprises de plusieurs innovations technologiques :

le développement d’un moteur de simulation propriétaire de « pentest théorique » capable de confronter à l’échelle l’ensemble des menaces susceptibles de cibler une organisation à sa maturité défensive et aux solutions de sécurité en place, pour en déduire la propagation potentielle de chaque mode opératoire d’attaque dans le SI ;
la capacité à générer des roadmaps d’investissements de sécurité optimales, adaptées aux menaces, budgets et appétit pour le risque de chaque entreprise et permettant de simuler le retour sur investissement / la réduction du risque associée à chaque action ;
la possibilité de simuler l’efficacité de sa police de cyberassurance sur son exposition au risque, ainsi qu’une toute nouvelle offre d’aide à la souscription et/ou au renouvellement en partenariat avec Inquest et plusieurs courtiers ;
le pilotage de l’exposition financière induite par l’écosystème d’une organisation, des tiers tels que ses fournisseurs, prestataires, etc. ;
la prise en compte complète des scénarios stratégiques, graphes de biens supports SI, etc. comme le recommande la méthodologie EBIOS Risk Manager de l’ANSSI ;
la possibilité de passer en un clic d’une analyse quantitative à une analyse qualitative et vice-versa, pour ceux qui ont des échelles qualitatives incontournables en interne ;
des bibliothèques de scénarios de risque sur-étagère toujours plus étoffées et précises pour affirmer toujours plus l’ADN de Citalid et ce qui fait notre différence : simplicité d’usage, transparence et profondeur d’analyse – illustrées par la capacité à pré-calculer automatiquement l’ensemble des paramètres d’une analyse de risque grâce à nos données de Threat Intelligence afin d’initialiser rapidement une analyse et d’éviter le syndrome de la feuille blanche, tout en laissant la liberté à nos clients de modifier et affiner nos recommandations ;
l’intégration de nouveaux référentiels de sécurité (questionnaires assurantiels, référentiels de partenaires comme Wavestone, etc.) et leur mapping sur les modèles Citalid, pour assurer la compatibilité la plus large possible avec les usages de nos clients.

Le Grand Défi Cyber, un soutien de taille pour Citalid

Déjà lauréate des prix de l’innovation du Jury et du Public aux Assises de la Sécurité 2018 et du prix du Jury de la startup du FIC 2020, le Grand Défi Cyber vient couronner la stratégie d’innovation de Citalid. Cette distinction nous conforte dans notre position de leader en Europe du pilotage des investissements par la quantification des risques cyber.

En plus d’être un signe fort de reconnaissance, le Grand Défi Cyber représente un soutien financier conséquent. Concrètement, Citalid bénéficie d’une subvention de 580 000 euros, qui nous sert notamment à renforcer notre R&D grâce au recrutement de 5 experts en Threat Intelligence, data science, développement ou encore assurance. Notre équipe d’une vingtaine d’alchimistes cyber continuera ainsi de transmuter les données techniques en métriques décisionnelles pour optimiser l’ensemble de la chaîne de valeur stratégique du risque en entreprise, de la quantification de l’exposition financière à son partage à la cyberassurance, en passant par sa réduction via des solutions de sécurité.

Citalid est fière d’être l’un des 27 lauréats du Grand Défi Cyber et compte bien contribuer activement à faire rayonner l’écosystème cyber français dans le monde.

Nous contacter : https://citalid.com/contact/

October 2021 By Citalid - Cyber Risk Quantification 0 Comments