Start-up: de l'importance de la cybersécurité

Les cyber menaces qui pèsent sur les entreprises sont bel et bien réelles. Et l'ampleur et la virulence des attaques ne cessent d'augmenter.

Pourtant, peu de petites et moyennes entreprises (PME) réalisent qu'elles sont tout aussi à risque, sinon plus, que les grandes entreprises. En fait, rien qu'en 2022, 61 % de toutes les cyberattaques ont visé des petites entreprises. 

Pour une start-up, cela peut potentiellement signifier la mort de l'entreprise : selon le dernier rapport du CESIN, 80 % des jeunes entreprises attaquées, déposent le bilan dans les 6 mois suivant l'attaque, telle la start-up américaine CodeSpaces, contrainte de fermer ses portes après une attaque DDoS.

Les startups face au risque cyber

Les startups sont la plupart du temps perçues comme étant de petites structures, mais quel que soit leur taille, c’est surtout par leurs idées innovantes qu’elles sont reconnaissables, par leur croissance rapide et la priorité donnée à la R&D. Elles possèdent au début de leur cycle de vie, moins de fonds, leurs services et/ou produits sont en cours de développement ou d’amélioration. Leur focus est bien souvent ailleurs que sur la cybersécurité et la sûreté de leur système d’informations, pensant qu’elles sont peu intéressantes pour les hackers. 

Or, le rapport du CESIN de cette année est catégorique : le risque cyber concerne toutes les entreprises et les chiffres le prouvent : cela n’arrive pas qu’aux autres. En 2021, suite à une cyberattaque, 6 entreprises concernées sur 10 ont subi un impact sur leur activité, les principales répercussions étant une perturbation de la production (21%), et/ou une compromission des informations (14%), et/ou une indisponibilité du site web pendant une période significative. Trois éléments primordiaux pour une start-up, qui ne peut se permettre ni une perte de production, ni une répercussion sur sa réputation.

L’impact est de surcroît plus lourd sur les petites entreprises et les chiffres le prouvent : 43% “seulement” du nombre total des attaques touchent les startups, mais ces dernières représentent 69% des victimes. Elles sont donc moins attaquées mais plus exposées au risque.

Il n’y a donc pas plus infondé que cette croyance que les startups ne sont pas des cibles de choix pour une cyberattaque, et cela pour plusieurs raisons. 

Tout d’abord, la menace ne vient pas forcément de l’extérieur, une fuite de données par un geste maladroit d’un collaborateur peut vite arriver. La récente brèche de sécurité qui a touché Uber le prouve : aucune entreprise, aussi puissante soit-elle, n’est à l'abri. Il est donc important de rappeler que chaque membre a son rôle à jouer dans la cyber résilience de son entreprise. Il y a urgence à ce que toutes les entreprises, y compris les plus petites structures et startups proposent des formations afin de s’assurer d’un bon niveau de connaissance de tous les employés. Il en va de la survie des organisations !

Ensuite, beaucoup de startups ont un business basé sur la data. Un vol, une fuite ou un effacement du contenu de leurs bases de données est alors une double peine : l’activité est stoppée, et la réputation de l’entreprise est irrémédiablement entachée.

Enfin, ce sont des organisations qui ont une valorisation élevée, qui lèvent parfois des fonds très importants. Elles sont donc identifiables et visibles car mentionnées dans la presse. Ceci couplé à un manque de vigilance et ce peut être la catastrophe assurée. Ce sont donc des cibles de choix.

Comment protéger sa start-up ?

Malgré un éventuel manque de capital, s’assurer et financer la protection de son SI, de ses données et/ou de sa propriété intellectuelle représente un réel gain de temps et d’argent. A contrario, et sans cette protection en amont, les retombées négatives liées à une cyberattaque sont bien plus onéreuses.

De surcroît, mettre en place une protection face aux cyber risques est devenu un argument de sélection pour les fonds d’investissements. Investir dans la cybersécurité de sa start-up c’est donc assurer la pérennité de son projet entrepreneurial.

L’ANSSI, par sa présence au Campus Cyber, mais aussi l’organisation d’évènements dédiés, propose des outils en ligne disponibles pour aider les entreprises à former ses salariés à la cybersécurité. Ainsi, une partie des risques peut être appréhendée, notamment dans le cas de fraudes (phishing, arnaque au président…).

Pour ce qui est d’une protection plus poussée du système informatique d’une entreprise, plusieurs dispositifs peuvent être mis en place par la Direction du Système d’Information (DSI), reposant sur la détection et réponses d’incidents. Cela reste cependant technique pour les petites structures. Une solution possible pour allier tranquillité, expertise, sécurité et optimisation des coûts est l’externalisation de la sécurité de son SI auprès d’acteurs spécialisés, les célèbres solutions SaaS !

En conclusion, que le service ou le produit proposé par une start-up soit une application, une API (application programming interface) ou un produit disruptif, de nos jours toutes les entreprises possèdent un système informatique relié à Internet pour fonctionner. La mise en place d’une stratégie de cybersécurité est par conséquent indispensable afin d’être en capacité de se prémunir du risque cyber. Toute start-up doit à minima financer des outils internes voire l’externalisation auprès d’acteurs spécialisés en cybersécurité de sorte à assurer le maintien de l’activité quoi qu’il se passe. C’est là, l’unique façon de garantir l’objectif premier de toute start-up à savoir : être en mesure d’innover la conscience tranquille. Gageons que ce début d’année puisse voir la mise en place de véritables stratégies cyber au sein des entreprises, les plus puissantes comme les plus petites, car toutes sont fragiles face à la menace.