Startups et sécurité des informations

24 Avr 2019

Les startups sont généralement créées par des personnes qui ont une idée de génie et veulent la concrétiser dès que possible. Le budget est serré, et les dépenses sont colossales à cause du développement du produit, de la promotion, et de tout le reste. Lorsqu’il s’agit de gérer leurs priorités, ces hommes d’affaires en devenir négligent souvent la sécurité des informations. Cet article explique pourquoi vous devriez éviter de vous retrouver dans cette situation.

Le bonheur d’un pirate informatique fait le malheur d’une startup

De nombreuses startups essaient de faire des économies en matière de sécurité, et croient qu’une petite entreprise ayant des ressources limitées n’intéressent pas les cybercriminels. La vérité est que n’importe qui peut être victime d’un cybercriminel. Tout d’abord, parce que plusieurs menaces informatiques sont menées à grande échelle, et leurs créateurs visent un large public pour atteindre un maximum de personnes dans l’espoir que certaines d’entre elles génèrent un rendement. Ensuite, les startups ne sont généralement pas bien protégées, et sont des cibles attrayantes pour les cybercriminels.

Alors que les grandes entreprises luttent parfois pendant des mois pour se remettre d’une attaque informatique, une petite entreprise pourrait tout simplement ne pas survivre. En 2014, les actions hostiles de cybercriminels ont provoqué la fermeture d’une startup qui s’appelait Code Spaces, un fournisseur d’accès avec des outils permettant une gestion commune des projets. Les pirates informatiques ont réussi à accéder aux ressources Cloud de l’entreprise, et ont détruit une grande partie des données clients. Les propriétaires du service ont récupéré toutes les données qu’ils ont pu, mais il leur a été impossible de récupérer une activité normale.

Des erreurs qui peuvent vous coûter cher, et même votre entreprise

Pour bien protéger votre startup, tout en ayant un budget limité, vous allez peut-être vouloir construire un modèle de menace avant de vous lancer. Cela vous permettrait de connaître les risques qui pourraient menacer votre entreprise. Cet article peut vous aider puisque nous allons parler des erreurs généralement commises par les nouveaux entrepreneurs.

1. Manque de connaissances sur les lois relatives au stockage et au traitement des données personnelles

De nombreux gouvernements essaient de préserver la sécurité de leurs citoyens. L’Europe a le RGPD, et les États-Unis ont plusieurs lois selon les états et les secteurs. Toutes ces lois s’appliquent, peu importe que vous les ayez lues ou non.

La peine encourue pour la violation d’une de ces exigences légales est variable, mais une quelconque négligence peut vous coûter cher : vous allez au minimum devoir payer une amende, et pas des moindres. Dans le pire des cas, vous allez devoir suspendre toute activité jusqu’à ce que vous ayez corrigé tous les éléments non conformes aux lois pertinentes.

Un détail encore plus important. La loi a parfois un champ d’action plus large que ce que vous pensez. Par exemple, le RGPD s’applique à toutes les entreprises qui gèrent les données des citoyens européens, même celles qui se trouvent en Russie ou aux États-Unis. La meilleure politique consiste à étudier la législation nationale, et celle de vos associés et clients.

2. Faible protection des ressources Cloud

De nombreuses startups reposent sur des services Cloud publics, comme Amazon AWS ou Google Cloud, mais tous n’utilisent pas les bons paramètres de sécurité pour ce genre d’espaces de stockage. Dans de nombreux cas, les conteneurs de données clients, ou du code d’application Web, ne sont pas protégés puisqu’ils n’ont que de faibles mots de passe. De plus, des liens directs permettent d’accéder aux documents internes de l’entreprise que les moteurs de recherche peuvent voir. Par conséquent, n’importe qui peut obtenir des données critiques. En voulant simplifier les choses, les startups laissent parfois d’importants documents accessibles à tout le monde sur Google Docs. Elles le font parce qu’elles oublient tout simplement de restreindre l’accès.

3. Manque de préparation face aux attaques DDoS

L’attaque par déni de service (DDoS) est une méthode efficace pour s’en prendre à une ressource Internet. Ces services sont relativement bon marché sur le darknet, ce qui permet à la concurrence et aux cybercriminels de pouvoir les acheter. Ils en ont besoin pour se cacher lorsqu’ils cherchent à réaliser des tentatives d’attaques hostiles plus sophistiquées.

En 2016, un service de portefeuille électronique de crypto-monnaie, Coinkite, a dû mettre la clé sous la porte à cause d’attaques DDoS permanentes. Selon les développeurs, ils n’avaient pas été tranquilles un seul moment depuis le lancement du service. Après avoir résisté pendant plusieurs années, l’entreprise a baissé les bras et s’est concentrée sur les portefeuilles physiques.

4. Manque de sensibilisation du personnel

L’humain est souvent le maillon faible d’une entreprise. Les pirates informatiques le savent parfaitement et se servent des astuces d’ingénierie sociale pour accéder au réseau professionnel, ou récupérer des informations confidentielles.

Ce manque de sensibilisation est encore plus dangereux pour les entreprises qui ont des travailleurs indépendants. C’est un véritable défi de contrôler les appareils et réseaux qu’ils utilisent pour travailler. Il est donc particulièrement important de motiver tous vos employés, et de les amener à adopter une attitude qui soit plus centrée sur la sécurité.

Comment votre startup peut se maintenir à flot ?

Pour maintenir votre activité, et éviter de vous exposer aux cybercriminels, faites particulièrement attention à la cybersécurité lorsque vous planifiez votre plan d’affaires :

  • Voyez quelles ressources doivent d’abord être protégées, et quels outils de sécurité vous pouvez vous permettre dès la phase initiale. En réalité, les frais engendrés par les dispositifs de sécurité ne sont pas si importants.
  • Utilisez des mots de passe forts pour protéger vos dispositifs et comptes professionnels. Notre solution Kaspersky Small Office Security inclut la fonction Kaspersky Password Manager. Cet outil génère des mots de passe robustes et les conserve dans des coffres-fort chiffrés. Ne négligez pas l’authentification à deux facteurs. Cette option est presque omniprésente de nos jours, et elle est particulièrement efficace.
  • Examinez minutieusement les lois relatives au stockage des données des pays avec lesquels vous pensez travailler, et assurez-vous que la charge de travail de votre entreprise, relative au stockage et au traitement d’informations personnelles, soit aux normes. Nous vous conseillons, dans la mesure du possible, de faire appel à un avocat pour connaître les pièges et dangers de chaque marché.
  • Surveillez de près la sécurité de services tiers et des logiciels. Le système collaboratif de développement que vous utilisez est-il bien protégé ? Votre fournisseur d’accès est-il sûr ? Existe-t-il une quelconque vulnérabilité dans les librairies open-source que vous utilisez ? Ces questions devraient vous sembler aussi importantes que les biens du consommateur du produit final.
  • Sensibilisez vos employés à la cybersécurité, et encouragez-les à chercher plus de renseignements. Si votre entreprise n’a pas d’expert en cybersécurité en interne, ce qui est généralement le cas d’une startup, trouvez quelqu’un qui s’y intéresse un minimum, et qui pourrait commencer par consulter régulièrement notre blog.
  • N’oubliez pas l’infrastructure de protection informatique. Nous disposons d’une solution spécialement pensée pour les jeunes entreprises ayant un budget limité. Elle vous permet d’avoir une surveillance automatique de la sécurité de vos postes de travail et de vos serveurs, et d’offrir des paiements en ligne sécurisés. Elle ne requiert aucune compétence en administration.