A l’heure du « tout digital » et dans le contexte de relance économique, la question du risque cyber est renforcé. La cybersécurité doit donc devenir un enjeu prioritaire pour les entreprises. Plus que jamais, leurs Systèmes d’Information (SI) sont la cible de nouvelles cyberattaques. Du hacking de haut vol en passant par des attaques d’institutions ou de médias, ces cyber-dangers n’épargnent pas l’entreprise et, à travers elle, le citoyen. Mais la cybersécurité, mise en scène par de nombreuses fictions, reste malheureusement en proie aux idées reçues. Et de nombreuses entreprises préfèrent faire l’autruche plutôt qu’adopter une démarche professionnelle et concrète. Afin de les sensibiliser aux enjeux réels de la cybersécurité et apporter une réponse concrète, Cybersecura est intervenu auprès des startups du Tarmac, annonçant par la même occasion le lancement de son offre CS-Community, dédié aux incubateurs de startups technologiques.
Start-up, PME, ETI… Tous les moteurs et véhicules d’innovation sont concernés et exposés aux menaces. Le constat est accablant : selon le rapport Hiscox sur la gestion des cyber-risques, 67 % des entreprises françaises déclarent avoir subi au moins une cyberattaque en 2019. La période, sans précédent de confinement que nous venons de traverser en Europe, ainsi que l’explosion du télétravail, nous rappelle la nécessité de disposer d’un réseau de communication électronique, disponible, performant et solide.
La cybersécurité devient peu à peu l’affaire de tous et l’on peut constater le renforcement d’un cyber-écosystème : cabinets de conseil spécialisé en cybersécurité, courtiers en assurances spécialisées, cabinets juridiques, prospèrent et se structurent… Pourtant, force est d’admettre que les start-ups, souvent par contraintes financières, orientation stratégique, ou par manque d’informations, ne se sentent qu’en partie concernées.
Or, accomplir quelques actions de cybersécurité juste avant les phases de lancement ou d’évolution des produits technologiques ne suffit pas. Non, utiliser un service d’hébergement cloud dit sécurisé ne veut pas dire que le produit technologique soit automatiquement sécurisé. Parmi les raisons les plus souvent évoquées par les startups technologiques, on trouve notamment ces 6 idées reçues…
Idée reçue n° 1 : « On est trop petit pour les hackers, ce n’est pas un sujet pour nous » / « Et si protéger sa PI était l’affaire de tous » ?
Selon le rapport Hiscox 2019, 47% des entreprises de moins de 50 collaborateurs ont été touchées par un cyber-incident. En effet, les hackers les considèrent comme des “proies” plus faciles que les grandes entreprises. D’autant plus que les hackers peuvent les “utiliser” pour rebondir et pirater plus “facilement” les systèmes d’information de leurs clients. D’ailleurs, d’après Cybersecura, on constate que dans 32% des cas, la Protection Intellectuelle (PI) est compromise ! Protéger sa PI et vendre un produit sécurisé est donc une nécessité, même pour les petits budgets.
Idée reçue n° 2 : « On n’a rien à cacher… » / « Et si on avait une vision holistique de la cybersécurité » ?
Si la question de la gestion des accès est importante, ce seul aspect limite mais ne suffit pas à éviter la fuite de données, notamment par des employés ou ex-employés mécontents. Encore un exemple de la vision parfois parcellaire de la cybersécurité. En effet, une application web mal protégée peut résulter également en une fuite de données vers des mains malveillantes. Donc il est nécessaire de se donner les moyens d’avoir une vision holistique de la cybersécurité afin de réduire efficacement la surface d’attaques de sa startup.
Idée reçue n° 3 : « On sait coder et notre CTO est carré ! » / « Et si la cybersécurité était aussi une question de gouvernance et de gestion des risques » ?
Aucun doute là-dessus. Pour autant, la cybersécurité ne se résume pas à faire des tests d’intrusion avant les mises en production d’un produit technologique. Puis à réaliser les actions de remédiation relatives aux failles trouvées. La cybersécurité, c’est aussi de la gouvernance, de la gestion de risques, de l’humain et de la technologie qui s’articulent tout au long du cycle de vie de votre startup et de ses produits technologiques. Tout en s’adaptant à sa taille et à son stade d’avancement. Faire de la cybersécurité presque uniquement avant les phases de mise en production, c’est risquer de lancer des produits technologiques gardant une surface d’attaque importante.
Idée reçue n° 4 : « On va d’abord trouver des clients, on verra après… » / « « Et si on augmentait sa capacité à attirer et fidéliser ses clients » ?
La cybersécurité n’est pas une cerise sur le gâteau. Les clients font preuve de confiance lorsqu’ils utilisent votre produit technologique, même si c’est un MVP (Minimum Viable Product – Produit minimum viable). Ils s’attendent, entre autres, à ce que leurs données soient protégées des hackers. Sans parler des impacts en termes financiers, image, juridique qu’une cyberattaque pourrait avoir sur votre startup. Toujours d’après Cybersecura, 38% des entreprises interrogées ont perdu des clients par un manque de sécurité perçu. Car attention, certains concurrents peuvent faire valoir ces arguments de cybersécurité et remporter des marchés ! Donc mieux vaut sécuriser l’ensemble de vos process AVANT de trouver des clients.
Idée reçue n° 5 : « On n’a pas fini le produit » / « Et si la cybersécurité by design était plus économique » ?
Là encore, faire de la cybersécurité dès la phase de conception, c’est faire preuve de considération aux attentes de vos clients actuels ou que la meilleure façon de se mettre en conformité avec les réglementations en vigueur. Par ailleurs, une conception amont prenant en compte la cybersécurité garantit une protection architecturale efficace et permet de gagner sur les coûts, aujourd’hui comme demain ! Il est en effet plus efficace de travailler à la sécurisation d’un produit avant d’opérer de mauvais choix ou avant une cyberattaque ! Sans compter que votre entreprise grandira en ayant intégré la culture cybersécurité dans son ADN. Donc oui, une architecture Secure by design coûte moins cher si l’on considère les gains en termes de temps et d’argent.
Idée reçue n° 6 : « On va d’abord trouver des fonds » / « Et si la cybersécurité augmentait la valorisation de sa startup » ?
Et si la cybersécurité vous permettait d’avoir une meilleure valorisation de votre startup ? La valorisation d’une startup est décidée au terme de négociations avec des investisseurs potentiels. Or, force est de constater que les risques et l’exposition des systèmes d’informations deviennent des indicateurs de sélection clés pour nombre d’investisseurs. 67% d’entre eux s’intéresseraient d’ores et déjà à ces critères !
CS-Access bys Cybersecura : une innovation de rupture en accompagnement de cybersécurité dédiée aux startups
Ces arguments tendent à prouver que la cybersécurité concerne aussi bien les startups que les grands groupes. Mais si, en réalité, il manquait une offre adaptée aux besoins spécifiques des startups ? C’est de ce constat que sont partis David ROZIER, Docteur en intelligence artificielle, et Saghar ESTEHGHARI, consultante experte en cybersécurité chez petits et grands comptes, les cofondateurs de Cybersecura, pour proposer une offre 100% dédiée aux startups.
Persuadés que la sécurisation du numérique ne doit pas être un privilège des grandes entreprises, leur volonté est d’accompagner les start-ups, qui disposent d’un budget serré, avec la même qualité que leurs clients grands comptes. C’est ainsi qu’ils ont conçu CS-Access, offrant la possibilité aux startups de gérer enfin le sujet de la cybersécurité à leur rythme, sans que le budget ne soit un obstacle, avec des experts à leurs côtés chaque jour.
Car aujourd’hui, l’enjeu de la cybersécurité est double : lutter efficacement contre la cybercriminalité à un instant T, mais aussi s’adapter en temps réel à l’apparition de nouvelles menaces. Phishing, arnaque au président, ransomware, spyware, trojan horse, cryptolocker, shellcode encodé ou polymorphe, botnet ou DoS… Les armes des hackers évoluent en effet en permanence !
Le Tarmac s’engage pour la cybersécurité de ses startups avec l’offre CS-Community de Cybersecura !
L’objectif de CS-Access est donc de répondre aux besoins spécifiques des startups en leur proposant une offre complète via leur plateforme, comprenant :
- De la visibilité sur les failles de sécurité via un audit-flash de diagnostic à distance, effectué sur un mode déclaratif, avec une séance de travail en commun et la production d’un rapport de diagnostic.
- Des réponses expertes et réactives à leurs questions sur les failles et les contre-mesures
- Une mise à jour trimestrielle des audits, car les produits et les infrastructures évoluent en permanence
- Un coaching expert mensuel pour concevoir et implémenter de nouveaux produits
- Une formation régulière des collaborateurs par webinaires, abordant différents sujets techniques et organisationnels de cybersécurité.
- Des tarifs négociés auprès d’éditeurs de solutions logicielles ou hardware partenaires, afin de faire des économies sur vos acquisitions de solutions matérielles ou logicielles, avec une réduction tarifaire négociée dépendante du partenaire.
Ainsi, pour aider ses startups à concevoir une stratégie appropriée, adopter les mesures pertinentes pour leur domaine et leurs produits, stabiliser dans leur culture d’entreprise le « Secure Development Lifecycle », le tout à un rythme compatible avec leurs cycles de développement, le Tarmac a décidé de s’engager aux côtés de Cybersecura dans une démarche de sensibilisation et d’accompagnement à la cybersécurité. Car la cybersécurité touche à de nombreux aspects, de l’infrastructure IT aux produits et ses composants.
Le Tarmac accompagne en effet des startups de l’IoT, devant à fois sécuriser la solution Cloud, en analysant l’architecture incluant les communications et le stockage, mais aussi les appareils (évaluer la sécurité du firmware, des composants physiques, la robustesse de disponibilité). L’incubateur a donc bien conscience des enjeux stratégiques pour celles-ci face à la cybersécurité. D’autant plus que les algorithmes d’Intelligence Artificielle (IA), qui se répandent de plus en plus, peuvent déclencher des actions critiques : la sécurité doit être considérée comme une problématique centrale (s’assurer que ce sont les données d’input attendues, sans aucun doute d’intégrité, assurer la confidentialité des données à forte valeur, protéger et avoir les moyens d’identifier toute modification indue de l’algorithme, identifier l’authenticité des résultats du modèle, mais aussi les règles de sécurité aval). C’est ainsi que le Tarmac a décidé de bêta-tester l’offre CS-Community de Cybersecura, destinée aux incubateurs de startups.
TiHive séduit par l’accompagnement de Cybersecura, que la team qualifie de « véritable partenariat »
La cybersécurité est en effet un sujet clé pour la jeune startup deeptech qui vient de décoller du Tarmac. Développant une technologie de rupture, TiHIve génère également de nombreuses datas qu’elle échange avec ses clients. Aujourd’hui, la jeune pousse ne manque pas de mettre en avant ces aspects de cybersécurité face à ses clients ou ses investisseurs.
Si Hani Sherry, le CEO de TiHIve, parle d’un partnership, mettant en avant la disponibilité et la flexibilité de l’équipe Cybersecura, Clement Jany, son CTO arrivé en mars 2020, confirme la bienveillance et le côté rassurant dont fait preuve l’équipe d’experts en cybersécurité. « Cybersecura nous a accompagnés sur toutes les phases de sécurisation de l’architecture IT, du choix du matériel jusqu’à la configuration, en passant par la mise en place et le déploiement », explique Clément. « Ils nous ont expliqué les enjeux RGPD de manière simple et fluide avec des guidelines. Ils ont mis ce travail à notre portée pour nous rendre compliant RGPD. Sur la partie produit critique, nous déployons de nombreux petits objets via Sigfox, la 4G, etc. par rapport aux usines dans lesquelles nous travaillons. La prochaine étape sera de sécurité la partie end user. Leur accompagnement s’adapte parfaitement à notre roadmap et aux milestones qui restent à franchir, notamment par rapport à nos engagements européens. Leur travail a donc eu une valeur indirecte mais réelle dans l’equity ! », s’enthousiasme-t-il.