Security by design : une stratégie payante pour les entrepreneurs

Les enjeux de cybersécurité sont encore trop souvent perçus comme étant liés aux grandes entreprises alors que les plus petites structures ont tout intérêt à intégrer une approche security by design pour leur propre protection mais aussi pour apporter toutes les garanties nécessaires à de potentiels investisseurs.

Aujourd’hui encore, alors que le sujet fait régulièrement la une des médias, lorsque l’on pense cybersécurité on pense trop souvent aux risques de piratages des données de grandes entreprises ou de grandes structures publiques. Le sujet est rarement associé aux plus petites structures alors que celles-ci ont tout autant besoin de se former et de s’équiper. Une étude réalisée par Verizon en 2019 a ainsi permis de démontrer que 43% des victimes de cyberattaques sont des structures de tailles moyennes. Même les créateurs de start-up – et ce dès le stade de la conception de leur projet – ont en effet le plus grand intérêt à intégrer ces enjeux. Il en va de leur crédibilité mais aussi de la construction du futur de leur entreprise et de son évolution sur son marché quelle qu’en soit la nature.

L’intégration d’une stratégie de cybersécurité ne doit plus être une option

Tout d’abord dans une logique de coût : intégrer la cybersécurité au stade de la création et du développement du projet d’entreprise reviendra toujours moins cher à l’entrepreneur qu’une mise en place tardive sur un projet qui aura pris de l’ampleur et dont une partie risquera d’avoir à être revue. Les coûts des mesures de sécurisation d’un produit ou d’un service peuvent ainsi être jusqu’à dix fois moins importants entre une intégration dès la conception du projet d’entreprise et une intégration a posteriori. Au même titre qu’une dette technologique, la dette cybersécurité est complexe et couteuse à effacer…

Par ailleurs, intégrer dès le départ les bonnes pratiques et donc former précocement ses équipes tout en s’appuyant sur une architecture applicative sécurisée permettra de créer un socle de confiance propice – au fur et à mesure du développement de l’entreprise – au maintien d’un bon niveau de sécurité.

Savoir anticiper les dangers induits par les nouveaux usages

Tout projet innovant a vocation à développer de nouveaux usages, nouveaux usages qui entrainent dans leur sillage de nouveaux risques qu’il est primordial de savoir anticiper. C’est par exemple le cas des voitures connectées ou autonomes pour lesquelles la possibilité de mise à jour à distance crée une nouvelle menace sur laquelle il ne sera pas possible de faire l’impasse.

Et certaines start-up ont malheureusement fait les frais de ce manque d’anticipation sur les aspects liés à la cybersécurité. Récemment la start-up Fidzup, spécialisée dans les campagnes marketing géolocalisées, a ainsi été contrainte de déposer le bilan après neuf ans d’activité suite à une mise en demeure de la CNIL qui accusait l’entreprise de géolocaliser ses clients sans les en avoir informés ou avoir recueilli leur consentement.

La sécurité : argument imparable pour séduire clients et investisseurs

Actuellement, une grande quantité de start-up sont des offreurs SaaS et sont donc structurellement vulnérables. Cette vulnérabilité pourra malheureusement être un frein à leur rachat, les investisseurs étant particulièrement attentifs au niveau de sécurité et à la confiance qu’ils peuvent attribuer dans les solutions qu’ils rachètent. Ils sont ainsi de plus en plus nombreux à faire auditer les start-up sur les aspects de cybersécurité en amont d’un rachat ou d’un investissement.   

En effet, les offres SaaS étant directement accessibles sur le web (à l’opposé des solutions dites on-premise), leurs clients cibles (souvent de grands comptes) vont avoir une exigence de sécurité afin que l’intégration de ce nouveau service SaaS ne vienne pas mettre à défaut toute la politique de sécurité de l’entreprise. Leur capacité à séduire et donc à évoluer sur leur marché dépendra de leur capacité à répondre à ces exigences.

A cela, vient s’ajouter le fait que la start-up SaaS a par nature développé une solution s’appuyant sur un savoir-faire technologique dans lequel réside son principal avantage concurrentiel et qui fait partie de son patrimoine. Elle se doit de le protéger pour garder son avance sur ses principaux concurrents. Ce point sera également scruté par les investisseurs.