00:00Good morning business, le pitch.
00:02À 6h15 sur BFM Business et sur AMC Live, le pitch ce matin c'est avec Mathieu Bernard.
00:07Bonjour, vous êtes le fondateur et directeur général de Galink.
00:10Une minute pour pitcher et on débriefe.
00:12En 2025, 45% des entreprises ont subi une cyberattaque via leur fournisseur.
00:18L'exemple emblématique c'est le constructeur automobile Jaguar.
00:216 semaines d'arrêt, 2 milliards de pertes, un prestataire qui a été compromis.
00:24Face à ce risque qui explose, les réglementations se durcissent.
00:27Nice, Nice 2, Dora en Europe, qui demandent aux entreprises d'évaluer la maturité cyber de leurs fournisseurs.
00:33Mais c'est un processus qui est inefficace, qui peut prendre jusqu'à 20 heures.
00:36Et vous imaginez bien quand vous avez des dizaines ou centaines de fournisseurs, c'est impossible à suivre.
00:40Galink résout ce défi opérationnel et on développe un agent IA dédié à ce risque.
00:45Via notre plateforme, il va contacter les fournisseurs, envoyer les bonnes exigences, analyser les réponses
00:50et décider si oui ou non on peut travailler avec ce fournisseur.
00:52Aujourd'hui, on a des dizaines de clients dont le Fonds d'investissement anticocapital,
00:56l'assurance Apicy ou encore le retailer Jules.
00:59Et avec Galink, il transforme le fardeau fournisseur en un pilier de défense cyber.
01:04C'est intéressant parce que ça retourne un peu la charge de la preuve.
01:07Il faut que le fournisseur prouve qu'il est en capacité de se défendre sur les questions cyber
01:12pour pouvoir travailler avec un grand donneur d'ordre.
01:14Ça devient un enjeu business important.
01:17Oui, c'est un enjeu business très important parce qu'aujourd'hui,
01:19les grands donneurs d'ordre ont une vraie maturité cyber.
01:21Ils maîtrisent bien ce qu'ils ont chez eux.
01:23Mais de plus en plus, ils travaillent avec des entreprises externes
01:26qui, elles aussi, vont avoir soit accès à des données sensibles,
01:28vont avoir accès au système d'information,
01:30peuvent être critiques aussi pour les opérations du business.
01:31Donc, si jamais ce fournisseur ne fonctionne plus,
01:33potentiellement, le business peut s'arrêter.
01:34Donc, c'est normal, c'est important aujourd'hui
01:36que ces entreprises montent un bon niveau de maturité cyber.
01:38Et je dirais même, les entreprises aujourd'hui
01:40qui sont capables de montrer ça ont un avantage compétitif.
01:43Et c'est un enjeu business, en fait, de pouvoir montrer
01:45que sur cette partie-là, on est capable d'assurer.
01:47Exactement.
01:48Anthony ?
01:48Du coup, votre IA, comment est-ce qu'elle demande des preuves ?
01:51Quel type de preuves elle demande aux entreprises,
01:53enfin aux fournisseurs ?
01:54Et comment est-ce qu'elle lui fournit ?
01:55Ça passe par une plateforme et donc,
01:57on donne les documents que l'IA nous demande, finalement ?
01:59Oui, exactement.
02:00Toute la logique du process, c'est d'abord, évidemment,
02:02d'identifier les fournisseurs,
02:04de comprendre leur niveau de criticité,
02:05donc l'importance qu'ils représentent pour moi.
02:07Et en fonction de ces éléments-là,
02:08on va poser différents types de questions.
02:10Et c'est via une plateforme.
02:11Ils vont poser des questions en fonction du référentiel du client.
02:15Ils vont poser ces questions.
02:16Est-ce qu'ils sont certifiés ?
02:17Est-ce qu'ils ont des pen-tests ?
02:19Est-ce qu'ils ont une politique de risque ?
02:20Un contact cyber ?
02:20Enfin, c'est le client qui va décider.
02:22Et l'IA, sur ces bases-là, sur ces critères-là,
02:24qui correspondent aux exigences de notre client,
02:25va analyser les réponses et dire si oui ou non,
02:27ça correspond à leurs exigences.
02:28Donc, c'est comme un audit humain, finalement,
02:30sauf que c'est l'agent IA qui réalise l'audit.
02:32C'est exactement la même chose.
02:33C'est exactement la logique.
02:33C'est de l'audit, finalement, de l'audit documentaire.
02:35Et toute la logique derrière,
02:36c'est de comprendre en fonction d'une situation donnée,
02:38d'une politique de risque donnée,
02:40est-ce qu'il y a des écarts entre ce que fait le fournisseur
02:41et moi et mes exigences ?
02:43Et de travailler avec le fournisseur,
02:44pour venir aussi à votre question,
02:45sur réduire ces écarts qui vont améliorer la vie de tout le monde.
02:48Eva, ça permet aussi un gain de temps de combien ?
02:50Et est-ce qu'il y a d'autres bénéfices ?
02:52Oui, un des gros gains, c'est le gain de temps.
02:54Un de nos clients, passé deux jours par fournisseur,
02:56aujourd'hui, il passe deux heures.
02:57Et donc, les bénéfices par rapport à ça,
02:59c'est un, le gain de temps, c'est très bien,
03:01mais ça permet aussi d'élargir la surface de visibilité des fournisseurs.
03:05Avant, peut-être qu'ils avaient 10 % de leurs fournisseurs analysés,
03:06aujourd'hui, ils en ont 30, 40 %.
03:08Et l'autre grosse valeur de l'IA,
03:10c'est cette capacité à harmoniser les analyses.
03:12Dans les grandes entreprises,
03:13quand il y a des dizaines, centaines de fournisseurs,
03:14pas mal d'équipes,
03:16forcément, le biais humain peut exister.
03:17Là, au moins, on sait que,
03:18quel que soit le fournisseur,
03:19on aura toujours une même base d'analyse
03:20sur laquelle on va pouvoir travailler dans le futur.
03:22C'est quoi votre vision sur le futur métier d'auditeur, alors ?
03:25Ça va être compliqué, non ?
03:27Ça va être un outil qui va se délire énormément.
03:29Aujourd'hui, la réalité,
03:29si on prend ce cas concret des risques fournisseurs,
03:31c'est que les équipes cyber n'ont juste pas le ressource
03:33ni les équipes pour le faire.
03:34S'il fallait le faire,
03:35il faudrait des dizaines de personnes,
03:36ce qui est impossible.
03:36Vous dites que c'est juste pas fait, en fait.
03:37C'est même pas un travail d'humain,
03:38aujourd'hui, c'est juste pas fait.
03:39C'est fait, mais c'est fait de manière assez manuelle
03:41et plus efficace.
03:43Même nous, on voit ça,
03:44c'est 80 ou 85 % des entreprises,
03:45aujourd'hui, ne sont pas forcément équipées
03:47ou outillées sur ce sujet,
03:47parce que c'est un risque qui ne fait que de grossir
03:49et sur lequel il y a de plus en plus de pression
03:50et qui est en forte croissance.
03:52On est sur des données,
03:53des sujets qui sont critiques.
03:54Comment ça se passe si votre IA se plante,
03:57hallucine,
03:57ce qui peut encore arriver ?
03:58Ça arrive de moins en moins souvent,
03:59mais ça arrive.
04:00Est-ce que c'est vous qui êtes responsable
04:02si une entreprise valide un fournisseur
04:05comme étant non risquée,
04:06alors qu'en réalité,
04:06elle était risquée
04:07parce que l'IA s'est plantée ?
04:08Oui, c'est un très bon point.
04:09Alors, sur l'IA,
04:10nous, comment est-ce qu'on la cadre,
04:15elle va pouvoir agir ?
04:17Elle va se concentrer uniquement
04:18sur certains points de contrôle
04:19qui vont être donnés par le client
04:20et aussi sur l'élément qu'elle va ressortir,
04:22les résultats qu'elle va donner
04:23sont aussi très cadrés.
04:25Donc, c'est quelque chose
04:25sur lequel on travaille
04:26et qui permet d'avoir un niveau de précision
04:28qui est très élevé.
04:29Aujourd'hui, quoi qu'il arrive,
04:30nos clients, ils ont quand même la main,
04:31ils ont toujours la main,
04:32ils peuvent suivre tous les logs,
04:33toutes les traçabilités
04:34de ce qui a été fait
04:35pour savoir quelle était la décision,
04:36pourquoi est-ce que cette décision a été prise.
04:38Et dans certains cas, d'ailleurs,
04:39ils vont se dire,
04:39ah, sur ce point-là,
04:40ok, j'ai une analyse, on va dire,
04:42objective,
04:42mais je connais ce client,
04:43je connais la personne,
04:44je vois le point,
04:45donc je vais pouvoir aller au-delà du sujet.
04:46Donc, quoi qu'il arrive,
04:47ça restera le client
04:47qui aura toujours la décision finale
04:48sur ce sujet-là.
04:49Mais effectivement,
04:50ce sujet de sécurité et de précision
04:51est super important.
04:52Et le fournisseur,
04:53il faut quand même
04:53qu'il soit ultra transparent
04:54dans ce qu'il donne ?
04:56Lui, il faut qu'il ouvre son capot, quand même.
04:59Oui, c'est une très bonne question
05:00parce que je dis souvent ça
05:01pour comprendre ce qui se passe
05:02chez un fournisseur,
05:03il faut aller regarder
05:03ce qu'il y a sous le capot
05:04et le seul moyen,
05:05c'est de lui poser des questions.
05:06Les fournisseurs,
05:07il faut qu'ils soient transparents.
05:08C'est aujourd'hui quand même
05:09des procédures
05:10qui sont assez normées.
05:11On se base sur des référentiels internationaux
05:13comme l'ISON 27001, par exemple.
05:15Donc, ils sont assez habitués
05:15à montrer ce type de document
05:16et au final,
05:17s'ils veulent faire du business,
05:18ils ont intérêt à être transparent.
05:19Oui, ils ont intérêt à être transparent.
05:20C'est une solution qui coûte combien
05:22par rapport aux audits classiques ?
05:23Sachant que là,
05:24c'est plus du contrôle continu.
05:25Oui, alors,
05:26c'est un abonnement
05:27qui va dépendre
05:28du volume de fournisseurs
05:29sur la plateforme
05:30et ensuite,
05:31sur la partie pluria,
05:32ça va être au résultat.
05:33Donc, si jamais vous envoyez
05:34une évaluation
05:34et que vous avez un résultat,
05:35c'est là-dessus qu'on facturera.
05:36Mais les coûts,
05:37ils sont divisés par 10
05:38que si vous faisiez
05:39par quelqu'un
05:39qui le faisait de manière manuelle.
05:41Merci beaucoup, Mathieu Bernard,
05:42d'être venu ce matin
05:43dans la matinale de l'économie
05:44pour nous parler de Galink.
Commentaires