Cet article vise à donner les 10 erreurs à éviter pour toute startup en matière de cybersécurité. Il est assez déconcertant de remarquer ces erreurs aussi bien dans des startups qu’au sein de certaines entreprises. En ayant fait ce constat nous avons décidé de rentrer un peu dans les détails et de permettre aux startupers de comprendre l'enjeu de la cybersécurité pour leur business et la confiance qu'elle apporte aux investisseurs et clients. Notre article se base sur celui de Aroua Biri - Les 10 erreurs de cybersécurité des startups technologiques, apparu en premier sur Maddyness.
Est-ce que vous vous reconnaissez, vous ou l’un de vos proches, dans l’un ou dans plusieurs des profils suivants ?
- Ceux qui sont convaincus qu’il est nécessaire de faire de la cybersécurité mais juste avant les phases de lancement ou d’évolutions des produits technologiques
- Ceux qui cantonnent la cybersécurité à des sujets spécifiques
- Ceux qui croient, dur comme fer, que leurs produits technologiques sont automatiquement quasiment protégés car ils utilisent des services d’hébergement Cloud dit sécurisés et/ou qu’ils utilisent un ou deux produits de cybersécurité.
- Ceux qui la considèrent comme un non-sujet et uniquement applicable s’ils reçoivent une demande explicite d’un client, d’un investisseur, d’un partenaire ou d’un régulateur.
Si oui, alors suivez nous dans ce guide des 10 erreurs de cybersécurité des startups !
Erreur 1 : “On fera de la cybersécurité juste avant les mises en production. Cela ne sert à rien avant ce jalon car les chantiers techniques sont en cours.”
La cybersécurité ne se résume pas à faire des tests d’intrusion avant les mises en production d’un produit technologique. Puis à réaliser les actions de remédiation relatives aux failles trouvées. Il s'agit de gouvernance, de la gestion de risques, de l’humain et de la technologie qui s’articulent tout au long du cycle de vie de votre startup et de ses produits technologiques. Tout en s’adaptant à sa taille et à son stade d’avancement. Faire de la cybersécurité presque uniquement avant les phases de mise en production c’est risquer de lancer des produits technologiques gardant une surface d’attaque importante. Car les résultats des tests d’intrusion sont contraints par les limitations de temps, de périmètre, d’accès, de méthodes et de compétences des “pentesters”.
Alors qu’une gestion au fil de l’eau de la cybersécurité permet une plus grande maîtrise du niveau de cybersécurité de votre startup. Et les coûts en termes de temps et d’argent peuvent être, contrairement à ce qu’on pense, très raisonnables surtout si on planche sur la cybersécurité dès la phase de conception.
Erreur 2 : C’est un non-sens de faire de la cybersécurité, on ne se sait pas encore si le produit va intéresser les clients.
La cybersécurité n’est pas une cerise sur le gâteau. Les clients font preuve de confiance lorsqu’ils utilisent votre produit technologique même si c’est un MVP (Minimum Viable Product – Produit minimum viable). Ils s’attendent, entre autres, à ce que leurs données soient protégées. Faire de la cybersécurité dès la phase de conception, c’est, entre autres, faire preuve de considération aux attentes de vos clients actuels ou que la meilleure façon de se mettre en conformité avec les réglementations en vigueur.
Erreur 3 : On est juste intéressé par la gestion des accès
Clairement, la question de la gestion des accès est importante. Mais lorsqu’on creuse le sujet, on se rend compte que c’est perçu comme “le” moyen d’éviter la fuite de données notamment par des employés ou ex-employés mécontents. Ceci est un exemple de la vision parfois parcellaire de la cybersécurité. En effet, par exemple, une application web mal protégée peut résulter également en une fuite de données vers des mains malveillantes. Donc il est nécessaire de se donner les moyens d’avoir une vision holistique de la cybersécurité afin de réduire efficacement la surface d’attaques de sa startup.
Erreur 4 : Ne pas tenir compte des normes internationales comme l'ISO 27001
Il est primordial de se conformer aux normes internationales comme l’ISO 27001 qui sont suffisamment agiles pour s'adapter aux contextes de startups. Prenez en compte le RGPD qui concerne la gestion des risques relatifs au droit fondamental d’une personne physique sur ses données personnelles. Mais allez plus loin avec des normes comme l’ISO 27001, entre autres, qui traitent de la gestion les données qui relèvent de la propriété intellectuelle et les données de production confiées par des tiers comme vos clients. Par ailleurs, le RGPD ainsi que des normes comme l’ISO 27001 répondent au principe des vases communicants. Ainsi, appliquer le RGPD permet de renforcer son niveau de cybersécurité mais n’est pas suffisant pour couvrir tous les points d’attention importants à adresser.
Erreur 5 : On est sécurisé parce que notre hébergeur Cloud est dit sécurisé ou/et qu’on utilise un ou deux produits de cybersécurité.
Il existe un certain nombre de services d’hébergement Cloud qui font sérieusement de la cybersécurité. Mais utiliser un tel service d’hébergement Cloud ne veut pas dire que le produit soit automatiquement sécurisé. C’est un bon début mais cela ne suffit pas. Imaginez que l’interface d’administration de votre produit soit accessible via des mots de passe faibles. Ou que des hackers manipulent vos collaborateurs, via des e-mails, dans le but d’accéder à votre interface d’administration ?
Erreur 6 : On n’a pas mis de clauses de cybersécurité dans les contrats avec nos sous-traitants mais on a confiance en eux
La confiance n’exclut pas le contrôle. Et oui, vous avez tout à fait le droit et même le devoir d’inclure des clauses de cybersécurité dans les contrats avec vos sous-traitants. Il y va de la cybersécurité de votre startup ainsi que de la cybersécurité de vos clients. En effet, les hackers peuvent utiliser vos failles de cybersécurité pour rebondir et pirater les systèmes d’information de vos clients. Avec les conséquences très fâcheuses que cela pourrait avoir pour toute la chaîne de responsabilité.
Erreur 7 : On est trop petit pour les hackers, ce n’est pas un sujet pour nous
Selon le rapport Hiscox 2019, 47% des entreprises de moins de 50 collaborateurs ont été touchées par un cyber-incident. En effet, entre autres, les hackers les considèrent comme des “proies” plus faciles que les grandes entreprises. D’autant plus que, comme spécifié précédemment, les hackers peuvent les “utiliser” pour rebondir et pirater plus “facilement” les systèmes d’information de leurs clients.
Erreur 8 : On fera de la cybersécurité si on reçoit une demande explicite de l’une de ces parties prenantes : clients, investisseurs, partenaires et régulateurs
Tôt ou tard, et c’est de plus en plus tôt, vous aurez des clients, des partenaires, des investisseurs ou des régulateurs qui vous demanderont où vous en êtes d’un point de vue cybersécurité. Vous ne pouvez pas vous permettre de leur dire : “Veuillez nous laisser un message avec vos doléances et nous reviendrons vers vous, au mieux, dans quelques semaines une fois qu’on aura fait de la cybersécurité”. Par ailleurs, faire de la cybersécurité, dès la phase de la conception, vous aidera, entre autres, à détecter rapidement les failles. Ce qui vous fera économiser beaucoup de temps, d’argent par rapport aux coûts de remédiation relatifs à la détection de failles juste avant la phase de lancement.
Erreur 9 : Nous avons des clients et personne nous a demandé notre niveau de cybersécurité. Donc pourquoi en faire ?
Ici, on insiste encore une fois sur la notion de confiance. Même si ce n’est pas explicitement exprimé par les clients, ils s’attendent à ce que vous ne mettiez pas leurs données à la merci des hackers. Sans parler des impacts en termes financiers, image, juridique qu’une cyberattaque pourrait avoir sur votre startup.
Erreur 10 : Nous sommes en phase de levée de fonds et les investisseurs ne nous ont pas posé des questions sur notre cybersécurité. Donc pourquoi en faire ?
Et si la cybersécurité vous permettait d’avoir une meilleure valorisation de votre startup ? La valorisation d’une startup est décidée au terme de négociations avec des investisseurs potentiels et les perspectives en termes de marché pour les startups sérieuses en termes de cybersécurité sont plus crédibles et variées. Par ailleurs, le “Centre pour la cybersécurité” du “World Economic Forum” a élaboré des principes et un cadre d’évaluation de la due diligence en matière de cybersécurité pour la communauté des investisseurs. Ce qui, entre plus de l’appétence grandissante de l’AMF (L’Autorité des marchés financiers (AMF) pour la cybersécurité, va conduire de plus en plus d’investisseurs à mettre le sujet de la cybersécurité sur la table des négociations lors de la valorisation des startups.
En résumé, la cybersécurité vous concerne et vous veut du bien. Alors, allez-y, sécurisez vos startups et le plus tôt le mieux.
Source : Maddyness – Le Magazine sur l’actualité des Startups Françaises
