Cybersécurité : les risques spécifiques aux start-up (et leurs solutions !)

Publié le

Sujet éminemment sensible, la cybersécurité est pourtant un enjeu dont on parle relativement peu : si plus d’1 entreprise française sur 2 a vécu au moins une cyberattaque en 2021 (baromètre de la cybersécurité en entreprise CESIN 2022), les victimes en parlent rarement… 

Pour aborder ce nouvel enjeu des entreprises, nous avons réuni à la Galion House le 14 juin une vingtaine de membres ou de CTO autour d’un panel de choix : Erwan Keraudy, fondateur de Cybelangel qui traque les données laissées par les entreprises sur le web et son directeur de l’IT Security, Maxime Arandel; Benjamin Netter, fondateur de Riot, qui forme les collaborateurs à la cybersécurité ; et enfin David Tortel, associé au sein des équipes cybersécurité de Deloitte après plusieurs années à travailler sur ce sujet aux ministères de la Défense et de l’Intérieur et à l’ANSSI.

L’objectif : dresser un panorama des risques propres aux entreprises de la Tech, ainsi que les solutions concrètes à mettre en œuvre. 

ÉTAT DES LIEUX DU RISQUE CYBER

Une explosion des types d’attaques et de risques

Selon David Tortel, les menaces ont beaucoup évolué depuis 5 à 10 ans. Elles sont devenues multiforme et évolutives, allant de l’espionnage industriel au « ransom ware » ou prise en otage des systèmes d’information, et concernent autant les individus que les entreprises ou les gouvernements : l’état d’urgence a été récemment décrété au Costa-Rica après une cyberattaque qui a bloqué de nombreux systèmes critiques de l’Etat. 

Cette extension des risques a été rendue possible par la conjonction de 3 facteurs : 

  • l’augmentation des vulnérabilités due aux assets exposés sur internet par les individus inconscients du risque ; 
  • la prolifération d’un arsenal numérique qui permet d’exploiter de manière industrielle ces vulnérabilités ; 
  • la capacité des attaquants à monétiser les données recueillies ou à faire pression sur la victime.  

Quel est le risque N°1 ?

Le risque dépend du business model de l’entreprise.

Parmi les risques les plus courants :

  • Le vol de data a 3 conséquences majeures :
    • Porter atteinte à la réputation de l’entreprise dès que le vol est connu
    • La mettre en danger si son business model dépend de sa data 
    • Idem pour la propriété intellectuelle
  • Les fausses factures présentées par des hackers qui se font passer pour un prestataire. Cela ne bloque pas le fonctionnement de l’entreprise mais peut lui coûter cher. 
  • Une double peine : le risque réglementaire, avec des amendes imposées par le régulateur après un vol de data.

Quelle spécificité des risques pour les start-up par rapport aux grands groupes ?

Les attaquants sont très opportunistes : les start-up présentent des valorisations importantes, mais ne prennent pas les moyens de se protéger, en faisant l’impasse sur beaucoup de protections importantes.  

D’autant que les annonces de levées de fonds à grand renfort de presse font des start-up des cibles de choix : il faut anticiper le risque avant l’annonce d’une levée ou d’une cession. Yahoo a ainsi perdu 7% du montant de la vente, soit 350M$ au moment d’une cession. Pour une startup cela peut représenter potentiellement la mort de l’entreprise : 80% des entreprises attaquées – que ce soit par phishing, ransomware ou insider threat – déposent le bilan dans les 6 mois après l’attaque. 

Quelle attention les investisseurs portent-ils au risque cyber ?

L’impact est important aux yeux des investisseurs : 83% des investisseurs sont prêts à renoncer à l’achat ou invest d’une société si elle a subi une cyberattaque.

À partir de la serie B, les premières questions des investisseurs portent sur la cybersécurité. 

Les actions à mener à ce moment-là :

  • recruter un spécialiste du sujet. 
  • obtenir une certification Soc2 : cela prend 6 mois et coûte 20K, mais permet d’éviter les questionnaires cybersécurité. 

PRÉVENTION ET SOLUTIONS

Comment allier sécurité et agilité ? Comment adapter une organisation en hypercroissance et en remote au risque cyber ? 

Les normes de cybersécurité peuvent gêner l’agilité : la sécurité a un coût en termes de formation des salariés, de facilité d’utilisation des outils. Il faut trouver le bon équilibre.

Par ailleurs plus on recrute de personnes, plus le risque est grand d’avoir des personnes qui, en cas de conflit, peuvent vouloir porter préjudice à l’entreprise. 

Comment prévenir les risques venant des collaborateurs ?

Selon Benjamin, le télétravail n’est pas un risque en soi : c’est plutôt le mélange vie pro/vie perso qui constitue une brèche de sécurité, car tous les collaborateurs ont des données professionnelles sur leur téléphone, avec une sécurité très relative. 

Quelques précautions élémentaires : 

  • Préparer les salariés : mentionner le risque dès l’on-boarding, sensibiliser, former aux réflexes de base, faire des trainings réguliers
  • Imposer la 2FA dans l’organisation
  • Préférer une flotte Mac, plus adaptée pour gérer les problématiques de cybersécurité
  • Avoir un droit de regard sur la donnée professionnelle qui se trouve sur les téléphones portables, et sur la sécurisation de celui-ci : il faut a minima exiger un mot de passe, voire une double authentification, retirer la data du téléphone s’il est perdu. Un moyen “simple” d’y arriver: les solutions de MDM basiques comme celle intégrée à Google Workspace.
  • L’off-boarding est plus important que l’on-boarding : il faut être en mesure de désactiver immédiatement les comptes au moment du départ. D’où l’importance de la fédération d’identité : utiliser une même adresse pour se connecter partout : le jour où on désactive un compte Google, on éteint aussi tous les services annexes. Il faut avoir une personne responsable de ces off boardings dans l’organisation.
  • Sensibiliser les développeurs aux risques d’utilisation des github publics
  • Attention à segmenter les accès et la donnée (fonctionner le plus possible sur le principe du “besoin d’en connaître”)
  • Porter une attention particulière aux rôles d’administrateurs et super-administrateurs des systèmes IT. Ne confier ces rôles qu’à des employés bénéficiant d’un très haut niveau de confiance, les auditer régulièrement.
  • Changer son nom sur linkedin (en rajoutant un accent, l’initiale d’un 2e prénom…) sur linkedin, pour identifier le phishing arrivant par ce canal.

Attention aussi aux prestataires : il faut réévaluer tous leurs process. Les avocats notamment sont des brèches identifiées. On ne peut pas contrôler opérationnellement un prestataire, mais il faut au moins se border opérationnellement.

Faut-il externaliser la fonction cybersécurité ? 

  • Attention à l’excès de confiance. L’évaluation de la sécurité est erronée : dans notre schéma mental, les portes de l’entreprise sont fermées et l’entreprise sécurisée, alors qu’il existe des failles, avec des documents confidentiels accessibles sur le Net. 
  • Il est essentiel de donner la responsabilité du sujet à quelqu’un et de nommer un collaborateur ou une collaboratrice responsable de la cybersécurité : le/la CTO est bien sûr la personne la plus indiquée. 
  • Externaliser ce qui peut l’être : training de phishing, antivirus…
  • En termes de prévention, il est important d’utiliser les playbooks fournis avec les logiciels tels que workspace ou windows 360, qui indiquent les précautions à mettre en place au moment de l’installation pour sécuriser leur système.

Quelles bonnes pratiques pour que son produit ne devienne pas un cheval de Troie ?

  • Il est important de dégager du temps pour que les développeurs puissent faire de la veille et de la mise à niveau (patching). C’est un investissement, qui doit passer avant la roadmap et le delivery.
  • Organiser des campagnes de pentesting ou faire appel à des services de Bug Bounty program
  • Pas facile à faire, mais penser à la sécurité dès la conception du produit
  • Auditer régulièrement les usages du produit, avec un système de logs et d’alerting comme Datadog
  • log4j : attention à la vulnérabilité dans une des briques les plus utilisées au monde (petit morceau de code)

Quid des assurances ? 

C’est un amortisseur, pas un parachute : il faut en prendre une mais elles ne couvrent pas les risques comme le ransom ware. C’est donc nécessaire mais pas suffisant.

La cyber-assurance est en pleine redéfinition en ce moment car les assureurs n’arrivent pas à évaluer financièrement le risque cyber.

Payer une rançon via une assurance pose aussi une question morale en entretenant le système et en finançant le terrorisme cyber.

Que faire en cas d’attaque ?

  • appeler la police, dont les effectifs comptent des négociateurs formés pour gérer le sujet.
  • Au besoin, mobiliser son réseau pour être pris en charge par des entreprises de réponse à incident et pouvoir escalader l’incident plus rapidement au sein de la police/gendarmerie
  • Prendre immédiatement les mesures de protection nécessaires conseillées par la police / les prestas mobilisés pour vous aider : il n’est pas rare de voir les attaquants se maintenir ou revenir dans le réseau