Ecrit en collaboration avec Cyrius, plateforme collaborative contre les menaces internes. Promotion EDHEC Entrepreneurs S21 - Future 40 Station F (2022)
De quoi parle-t-on ?
Pourquoi est-ce important ?
Les start-ups disposent d’un éclairage médiatique conséquent (…) : des articles de presse, une communication constante, des levées de fonds très relayées… Qui dit levée de fonds dit trésorerie, donc potentielles rançons ou moyens de chantage. Si j’étais hacker, Crunchbase serait mon CRM !
Achille Morin Lemoine, CEO de Cyrius
La cybersécurité est un enjeu important pour les startups. Elle permet de :
➡️ Limiter des risques de plus en plus présents : les attaques augmentent d’année en année et ces menaces peuvent mettre en péril la survie d’une startup.
Concrètement, l’actif le plus prisé d’une startup, ce sont ses données, et l’accès à ces données est de plus en plus facile. La fuite de ces données peut avoir des conséquences dramatiques, et pour les parties prenantes, et pour l’activité de la startup, comme en témoigne l’arrêt brutal des opérations de la startup myNurse (Techcrunch, 2022).
➡️ Se démarquer de la concurrence : une posture de sécurité peut être un avantage concurrentiel et les fonds de VC se penchent de plus en plus sur la maturité cybersécurité de leurs investissements.
3 actions à mettre en place dès maintenant
1️⃣ Se former et sensibiliser son équipe à ces enjeux
Le risque est bien réel : plus d’une entreprise sur deux (60%) fait faillite dans les 18 mois suivant une attaque (source).
Afin de limiter le risque humain, la formation de l’équipe aux enjeux de sécurité est essentielle. En particulier, les équipes doivent être régulièrement testées par des simulations de phishing : 91% des attaques commencent par un e-mail.
2️⃣ Mettre en place des “bonnes pratiques” pour limiter les risques
Un gestionnaire de mot de passe (comme Dashlane ou 1Password) permet de s’assurer de la robustesse de ses mots de passe et facilite le partage d’identifiants entre membres d’une même équipe (pour mettre fin aux identifiants tous identiques et qui trainent sur un document ou sur slack…)
C’est le le fameux bouton “Se connecter avec Google” (ou autre). Il simplifie grandement le processus de connexion car l’utilisateur n’a pas besoin de créer un nouvel identifiant.
Cependant, le compte central depuis lequel toute l’équipe va se connecter à chaque fois devient encore plus sensible, puisqu’il concentre les accès à d’autres services… C’est pourquoi l’utilisation d’un gestionnaire de mot de passe reste nécessaire.
Cela réduit de 99% les risques d’accès illégitimes. C’est le système utilisé par les services bancaires, qui envoient une notification sur un autre canal (SMS, app…) afin de valider une opération.
Elle est parfois perçue comme contraignante par les équipes donc à défaut de le paramétrer sur tous les services, il est recommandé de l’activer pour les comptes les plus importants (par exemple les outils de messagerie). A noter que la majorité des outils que l’on utilise au quotidien disposent d’un système de MFA à activer dans les réglages.
→ Pour d’autres bonnes pratiques, consulter l’article “Le 101 de la sécurité en start-up : 10 actions clés”
3️⃣ Formaliser ces bonnes pratiques dans une charte informatique
⚖️ La charte informatique est un document juridique qui précise comment les ressources informatiques internes (système d'information) d'une entreprise doivent être utilisées.
Elle précise donc quels sont les outils que les salariés vont devoir utiliser et comment doit être faite l'utilisation de ces derniers.
La charte est remise à tout collaborateur à son arrivée dans l'entreprise et jointe au règlement intérieur. Elle permet de créer une culture de sécurité en interne dès l'entrée des employés dans l'entreprise.
📚 Pour aller plus loin
📖 Le 101 de la sécurité en start-up : 10 actions clés (Cyrius)
📝 Modèle de politique de sécurité des données (Apiday)
Modèle en anglais 🇬🇧 proposé par Apiday
📝 Modèle de charte informatique (Coover)
✍️ Ils ont contribué à l’écriture de cette fiche
Cyrius se positionne sur la gestion du risque humain en cybersécurité grâce à une plateforme qui sécurise le collaborateur de son arrivée dans l’entreprise à son départ.