Aller au contenu
FortaRisks
Tous les piliers

Cinq piliers, un score de risque

Un score de risque compréhensible sur 9 domaines de risques TI et 51 catégories. Le moteur corrèle automatiquement posture, menaces, exposition et risque tiers, avec un scoring inhérent et résiduel, un registre de risques vivant et un reporting prêt pour le board, dans des calculs traçables et personnalisables.

Demander une démoFaire le tour produit

5

Piliers corrélés

30 sec

Briefing board

30/60/90

Trajectoire en jours

Une boîte noire ne tient pas devant un CFO.

Si vous ne pouvez pas montrer comment un score de risque a été construit, vous ne pouvez pas défendre le budget qui en dépend.

Une valeur visible

Des résultats que votre équipe ressent.

  • 2 000 alertes à 5 actions

    Un seul feed d'actions classé sur cinq piliers.

  • Briefing board en 30 secondes

    Arrivez au comité avec la réponse prête.

  • Pas de boîte noire

    Chaque score décomposable et traçable.

Capacités clés

  • Posture sur 9 domaines de risques TI, 51 catégories

    Une taxonomie structurée et compréhensible de votre risque TI, pas une boîte noire : 9 domaines déclinés en 51 catégories que vous pouvez lire, défendre et traiter.

  • Évaluation, intégration et preuves automatiques

    Les signaux des cinq piliers sont ingérés et scorés automatiquement, avec collecte de preuves par contrôle, sans ressaisie manuelle ni gestion de tableurs.

  • Registre de risques vivant

    Chaque risque est identifié, attribué et traité (accepter, atténuer, transférer ou éviter) et suivi jusqu'à la résolution, pas enterré dans un rapport statique.

  • Scoring inhérent et résiduel

    Assignez des contrôles à chaque risque pour calculer les scores inhérent et résiduel, et voyez exactement ce que vos contrôles vous apportent.

  • Calculs transparents et décomposables

    Chaque score se décompose en ses entrées et son calcul exact (CVSS, EPSS, KEV, exposition, ciblage sectoriel, couverture des contrôles, criticité des actifs), défendable ligne par ligne devant un CFO.

  • Personnalisable selon vos besoins

    Adaptez les domaines, catégories, pondérations, seuils et rapports prêts pour le board aux besoins spécifiques de votre organisation. Le moteur s'adapte à vous, pas l'inverse.

Un seul feed d'actions sur les cinq piliers.

Le moteur fusionne chaque pilier en un seul feed d'actions classé, pour que votre équipe sache toujours le prochain coup à jouer.

Trois moments. Trois utilisations différentes du moteur.

  • Cas 1

    Le matin du CISO (8h00)

    Vous arrivez au bureau. Vous ouvrez l'Action Feed. Vous voyez 7 actions priorisées pour aujourd'hui. La première : « Patch CVE-2025-XXXX sur frontend-prod-01.acme.ca. Acteur : BlackBasta cible votre secteur. Effort estimé : 3 heures. Réduction de risque : 12 points. » Vous assignez à votre équipe. Vous passez à la deuxième. En 15 minutes, votre journée est cadrée.

  • Cas 2

    La veille du comité (réunion mensuelle)

    Vous demandez au copilot : « Génère le briefing comité du mois ». Le copilot produit un PDF de 8 pages en 30 secondes : score de risque global décomposé par pilier, trajectoire 90 jours, top 5 actions exécutées, top 3 à venir, coût évité estimé. Chaque chiffre est sourcé dans la plateforme. Vous arrivez au comité avec un document que vous pouvez défendre ligne par ligne.

  • Cas 3

    Pivot menace (alerte CISA dans la nuit)

    CISA publie une nouvelle KEV à 2h00 du matin. À 2h15, l'AI Risk Engine recalcule automatiquement les scores des actifs concernés. À 2h20, votre webhook Slack reçoit l'alerte avec la liste des actifs vulnérables, leur exposition, leurs propriétaires. À 8h00 quand vous arrivez, l'Action Feed du jour intègre déjà la nouvelle priorité. Vous n'avez pas attendu le rapport hebdomadaire.

Ce qui est inclus

Entrées

  • Posture & compliance
  • Threat intelligence
  • Attack surface
  • Third-party risk
  • CVSS, EPSS, CISA KEV, MITRE ATT&CK

Sorties

  • Decomposable risk score
  • 8-page board briefing in 30 seconds
  • 30 / 60 / 90 day trajectory
  • 5-level relationship graph

L'AI Risk Engine est inutile sans les 4 autres piliers.

C'est ce qui le différencie d'un moteur de scoring standalone. La qualité de la priorisation dépend directement de la qualité, de la fraîcheur et de la corrélation des signaux qui l'alimentent. Voici ce que chaque pilier apporte au moteur.

  • CTI → AI Risk Engine

    Le moteur reçoit les 30 M+ signaux/jour, les 1 500+ acteurs trackés, les CVE enrichies (CVSS + EPSS + KEV). Sans ce signal, l'IA ne sait pas si un CVE est activement exploité. Elle traiterait un CVSS 9.8 jamais exploité comme un CVSS 6.5 dans la KEV CISA.

  • EASM → AI Risk Engine

    Le moteur reçoit les 100+ types de findings, le scanner OT/ICS, la cartographie d'exposition externe. Sans ce signal, l'IA ne sait pas si l'actif vulnérable est exposé sur Internet. Elle ne peut pas distinguer un risque théorique d'un risque exploitable demain matin.

  • TPRM → AI Risk Engine

    Le moteur reçoit le score continu de chaque tiers critique, leur dérive, leurs alertes. Sans ce signal, l'IA ne voit que vos actifs directs. Elle manque les 30-60 % du risque cyber qui passent par votre supply chain.

  • Posture → AI Risk Engine

    Le moteur reçoit la maturité CMM de chaque contrôle, l'alignement aux 16+ cadres, la couverture par catégorie d'actif. Sans ce signal, l'IA ne sait pas si l'actif est défendu. Elle priorise un CVE critique sur un actif déjà bien protégé en bas de la liste.

Découvrez les autres piliers.

Questions fréquentes

Comment le moteur corrèle-t-il les cinq piliers ?

Chaque pilier produit des signaux structurés, ingérés dans un graphe de relations à cinq niveaux : actif vers service exposé vers vulnérabilité vers exploit disponible vers acteur de menace actif. Chaque score combine CVSS, EPSS, KEV, exposition réelle et ciblage sectoriel, et est entièrement décomposable.

La méthodologie de scoring est-elle une boîte noire ?

Non. Chaque facteur est documenté, les poids par pilier sont configurables, et chaque calcul est exportable avec sa décomposition complète.

Quel modèle d'IA alimente le copilot ?

Le copilot conversationnel s'appuie sur un LLM de pointe pour la compréhension, avec du retrieval sur votre graphe de risque. Le modèle ne voit jamais vos données brutes, seulement des résultats de requêtes structurées, et vos données restent au Canada.

À quelle fréquence le score est-il recalculé ?

De façon incrémentale à chaque événement entrant, avec un recalcul global quotidien. Les alertes critiques comme CISA KEV déclenchent un recalcul immédiat notifié sous 15 minutes.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.

Demander une démoFaire le tour produit