● Journal du Net 📅 05/05/2026 à 13:31

Cybersécurité 👤 Pascal Coillet-Matillon

🏷️ Tags : cert pm rag rte

Ancien RSSI de Pentalog, Logan Fernandez a co-fondé Tales of Security en 2024. Cette jeune pousse bretonne développe une solution qui quantifie financièrement les risques cyber. Il explique pourquoi cette approche aide les RSSI à mieux défendre leurs budgets auprès des comités exécutifs. Logan Fernadez, cofondateur de Tales of Security. © Tales of Security JDN. La solution que vous avez cofondée, Tales of Security, permet de quantifier les risques cyber en euros. Comment avez-vous eu cette idée ? Logan Fernandez. Quand j'étais RSSI d'une grande entreprise, je devais exposer au comité exécutif (comex) les risques cyber auxquels elle était confrontée et demander un budget pour les éviter. Pour cela, j'utilisais la méthode traditionnelle que tout RSSI français connaît. Celle-ci évalue la gravité d'un risque et sa probabilité de survenir sur une échelle de 1 à 16, en fonction d'un certain nombre de critères plutôt subjectifs. Toutefois, je me rendais compte qu'elle ne me permettait pas d'attirer suffisamment l'attention des autres membres du comex pour leur demander un budget. Ils utilisaient un langage orienté business, quand moi je parlais un langage cyber et technique. Il fallait que cela change. Que reprochait le comex à cette méthode ? La valeur des risques cyber que j'indiquais était perçue comme trop subjective et abstraite par les membres du comex. En outre, ils ne comprenaient pas le vocabulaire très opérationnel que j'utilisais pour justifier mon choix de valeur. Par exemple, ils ne comprenaient pas pourquoi j'attribuais une valeur de 12 plutôt que 8 à tel ou tel risque. Il était donc difficile de proposer un budget pour éviter un risque qu'ils avaient du mal à quantifier. C'est pourquoi j'ai pris la décision de remplacer ces valeurs abstraites par des euros. Au moins, c'est concret et on se représente mieux la valeur du risque. En utilisant la même unité de mesure à la fois pour le risque et pour le budget, je voyais que j'avais enfin l'attention de tout le comex, car je parlais son langage. Surtout, cela me permettait de calculer le retour sur investissement et de lui démontrer que les budgets que je demandais permettaient à l'organisation d'économiser. En quantifiant les risques en euros, le RSSI convainc le comex que la cybersécurité n'est pas un coût mais un investissement. Avec quelle méthode le risque cyber peut-il être quantifié ? Il faut utiliser la méthode dite Factor analysis of information risk (Fair), qui a été créée aux Etats-Unis par un RSSI, Jack Jones, il y a plus de vingt ans. Contrairement à la méthode qualitative traditionnelle que j'utilisais, elle est quantitative. Elle décompose le risque en plusieurs facteurs mesurables et utilise les statistiques et probabilités pour quantifier financièrement le risque sur la base de scénarios logiques et vérifiables. La solution Tales of Security permet de simplifier sa mise en œuvre dans les organisations, en structurant l'analyse grâce aux données fournies. Concrètement, comment cette méthode procède-t-elle ? Plutôt que d'estimer la gravité du risque cyber de manière subjective, elle l'analyse sous des angles très pragmatiques pour estimer sa valeur financière. Par exemple, elle permet d'estimer la somme d'argent que le risque cyber coûte en productivité s'il survient. Pour calculer cela, on détermine donc le nombre de collaborateurs qui seront au chômage technique s'il survient, et pour combien de temps. On peut aussi mesurer l'impact de l'incident sur la perte d'exploitation grâce aux données dont dispose l'organisation, comme son chiffre d'affaires journalier. On peut aussi calculer les pénalités contractuelles que l'organisation doit payer à ses clients si le risque cyber l'empêche de fournir ses biens et services. Les pénalités légales aussi peuvent être quantifiées, comme les amendes de la Cnil en cas de non-respect du RGPD, etc. Cette méthode permet aussi de quantifier le coût d'un incident cyber en termes de réputation. Pour cela, on s’appuie sur des statistiques issues de cabinets d’assurance qui mesurent la baisse du taux de conversion de prospects à clients à la suite d’un incident majeur. En recoupant ces statistiques aux données des équipes commerciales et marketing, il est donc possible de mesurer le nombre de prospects qui ne deviendront pas clients. Le coût en termes de réputation peut ainsi être quantifié financièrement. Quels sont les retours de vos clients qui adoptent cette méthode ? Nos clients, qui sont surtout des PME importantes, des ETI et parfois de grandes entreprises, expliquent souvent que cette quantification du risque redonne du sens aux métiers de la cybersécurité. Le RSSI qui l'utilise ne se cantonne plus seulement à l'opérationnel. Il sert aussi les intérêts du business de son organisation et communique avec les autres métiers, comme ceux du marketing ou du commerce. Il prend donc plus conscience qu'il participe à la pérennisation de l'entreprise, sa mission première.

🔗 Lire l'article original 👁️ 1 lecture