La sécurité n’est pas vraiment la priorité d’une jeune entreprise. Pour le vivre au quotidien en tant qu’entrepreneur, on est davantage concerné par la survie de sa boîte que par le respect des dernières directives de la CNIL. Sauf que… les priorités sont en train de changer. Dans les coulisses de la startup-up nation, on entend de plus en plus parler de certifications SOC 2, de formation de ses collaborateurs, de Secure by Design, et même du sujet des cyberattaques dans les médias généralistes.
Chez Cyrius, on gère ces problématiques au quotidien auprès de CTO et responsables sécurité de startups / scale-ups. Je souhaite donc partager notre expertise à ce sujet, et rendre la sécurité la plus accessible possible pour les start-ups de toutes tailles. L’objectif de cet article est de vous donner les clés concrètes et actionnables pour poser les bases de votre posture de sécurité.
Mais d’abord, pourquoi se préoccuper de ma sécurité en tant que start-up ?
Le risque est réel et sous-estimé
Le risque est sous-estimé pour les structures de notre taille, mais bien réel. Le motif n°1 des cyber criminels est le profit délirant généré par les attaques, qui surpasse celui du trafic de drogue à l’échelle mondiale. Les hackers en ont après notre argent et sont pragmatiques. Après avoir privilégié les grandes entreprises de par leur capacité à payer des rançons importantes, ils visent désormais la masse des PME bien moins protégées chez qui ils pourront trouver une rentabilité de volume (90% des entreprises sont de petite taille).
Sauf qu’à la différence d’une PME familiale inconnue du grand public, les start-ups disposent d’un éclairage médiatique conséquent (et le recherchent !). Une startup, c’est souvent des articles de presse, une communication constante, des levées de fonds très relayées… Qui dit levée de fonds dit trésorerie, donc potentielles rançons ou moyens de chantage. Si j’étais hacker, Crunchbase serait mon CRM !
Il est également important de savoir que les employés sont la cause première d’un problème de sécurité, que ce soit un ransomware délivré par email ou une faille de données. Or, même si les populations d’ingénieurs connaissent a priori les enjeux cyber, la majorité des salariés de startups n’ont pas conscience du risque – et comment les blâmer ? Bien souvent les fondateurs eux-mêmes ne s’en préoccupent que peu. Les startups sont peu préparées au risque cyber, et c’est justement ce qui en fait des proies faciles pour des criminels.
Qu’est-ce que je risque concrètement ?
L’actif le plus prisé d’une startup, ce sont ses données. Toutes les informations sur vos utilisateurs, clients, partenaires, sont autant d’éléments qui font le bonheur des forums de hackers.
Le coût actuel d’identifiants de Remote Desktop Protocol (le logiciel qui permet de se connecter à distance au réseau de l’entreprise) est de $5 en moyenne sur le Dark Web, ce qui signifie que l’accès à vos données est plus facile que jamais. Quand ces dernières sont dérobées et mises en vente, il n’est pas difficile d’en deviner la provenance. Ce qui nous amène au risque principal associé à une fuite de données : l’atteinte à votre réputation.
Imaginez la réaction de vos clients s’ils apprennent que les données de leurs employés se retrouvent dans la nature par votre faute. Et que dire de votre réputation auprès de vos prospects ! C’est ce qu’a appris dans la douleur la medtech myNurse, contrainte à l’arrêt de ses opérations après une faille de données exposant des informations sensible sur ses utilisateurs. La confiance est suffisamment difficile à gagner pour être détruite de la sorte.
En dernier lieu, les startups sont aussi susceptibles d’être touchées par des attaques plus classiques. La fraude au président ; l’émission de fausses factures ; l’immobilisation de vos machines par un ransomware ; ou simplement une amende de la CNIL (comme celle qu’a vécue Nestor)… Ces menaces n’épargnent pas les petites structures, et sont autant de problématiques que vous n’avez pas envie de gérer.
Les opportunités créées par la sécurité
Tout n’est pas noir pour autant, et une posture de sécurité pensée tôt dans la vie d’une startup peut être un élément clé de son succès. De plus en plus de clients exigent de leurs fournisseurs des preuves quant à leur bonne conduite cyber, surtout pour les comptes enterprise que les startups cherchent tant à séduire. Une certification telle que l’ISO 27001 ou le SOC 2 (surtout aux U.S.) est une preuve tangible que vous prenez la sécurité au sérieux, et un énorme avantage concurrentiel. Comme le décrit Matthieu Remy, CTO chez Amalia : “Pour certains deals, on a gagné par rapport à la concurrence sur le fait qu’on avait la certification et une meilleure sécurité qu’eux. Et pour certains grands comptes, on n’aurait même pas été shortlistés sans ça.” En plus de vous offrir une meilleure tranquillité d’esprit, investir dans sa sécurité peut donc être un catalyseur commercial.
D’autre part, les fonds de VC se penchent très tôt sur la maturité sécurité de leurs investissements potentiels. Cela arrive graduellement dès le tour de Seed, jusqu’à devenir une des préoccupations majeures sur les tours suivants. Selon son CTO Vincent Sattler, Yomoni a ainsi eu droit à un audit complet avant sa série B, afin de prouver sa bonne posture auprès des actionnaires. Cela est particulièrement valable pour les logiciels manipulant de la donnée sensible comme les fintech ou les medtech, mais de manière générale les investisseurs sont de plus en plus regardants sur ces enjeux. Maintenant que vous êtes convaincus, comment poser les bases en sécurité ?
Les 10 actions basiques
1. Utiliser un gestionnaire de mots de passe
Les mots de passe, c’est compliqué pour tout le monde. On en utilise plus de 100 en moyenne, qu’il faudrait idéalement tous différents et suffisamment robustes. Former des phrases de passe est un bon début, mais le mieux pour gérer et partager ses mots de passe en entreprise, c’est un gestionnaire. Ce logiciel génère automatiquement des mots de passe forts et uniques pour chacun de vos comptes, et les stocke en toute sécurité. Il réduit grandement le risque de réutilisation des identifiants, puisque le processus de création de compte est sans frictions. Plus besoin de se souvenir des mots de passe à rallonge ! Et malgré les affaires de brèche de données chez LastPass, ces outils sont reconnus pour leur fiabilité.
Un autre avantage du gestionnaire est qu’il permet de partager les mots de passe au sein des équipes de manière simple et sécurisée. Fini les identifiants qui traînent en clair dans un mail ou un canal Slack, et qui pourraient être utilisés à mauvais escient. (D’ailleurs si vous devez vraiment en partager et que vous n’êtes pas équipé de gestionnaire, passez par un canal privé et assurez-vous de supprimer les identifiants après coup).
Comment faire ? Chez Cyrius, on utilise Dashlane. Le tarif est accessible et l’outil est très simple d’utilisation. 1Password est également une référence, et Bitwarden est une excellente alternative open source.
2. Activer l’authentification multifacteurs (MFA/2FA)
Vous connaissez déjà la MFA (Multi Factor Authentication) avec les services bancaires. Le principe est simple : lors de la connexion à un service, vous recevez une notification sur un autre appareil ou du moins via un autre canal (SMS, app, validation biométrique par ex.). Ce n’est que quand vous validez l’opération que vous pouvez accéder à votre compte.
Bien que parfois perçue comme contraignante par les équipes, la MFA réduit de 99% les risques d’accès illégitimes. Car même si les identifiants sont compromis, l’accès est bloqué par un second protocole. Ce système n’est pas infaillible, en témoigne le scandale de l’attaque sur Uber l’année dernière qui avait été mené grâce à du “MFA bombing”. Il est néanmoins une solution facile à implémenter, qui vous met à l’abri de la majorité des tentatives de connexion malveillantes. Au mieux il faudrait le paramétrer sur tous les services, dans le pire des cas sur les comptes importants (outils de messagerie par ex.).
Comment faire ? La majorité des outils que l’on utilise au quotidien disposent d’un système de MFA à activer dans les réglages. Vous pouvez également l’imposer à vos équipes sur les suites de productivité comme Google Workspace et Microsoft 365. Sinon, inWebo et DUO sont des solutions spécialisées. Une approche différente est celle de Hypr, qui vise à démocratiser l’authentification dite “passwordless”. Il s’agit d’un autre protocole plus avancé qui limite les risques de MFA fatigue.
3. Privilégier la SSO (Single Sign-On)
On reste dans les mots de passe avec une brique complémentaire très efficace et simple à déployer, la SSO. Il s’agit d’un système d’authentification qui centralise la connexion de plusieurs comptes autour d’un seul service. C’est le fameux bouton “Se connecter avec Google” (ou autre) que l’on trouve souvent parmi les options de connexion. Il simplifie le processus car l’utilisateur n’a pas à créer ni retenir un nouveau mot de passe, ce qui élimine également le risque de réutilisation de ces derniers.
La contrepartie de cette solution est que le compte central depuis lequel vous allez toujours vous connecter devient encore plus sensible, puisqu’il concentre les accès à d’autres services. De plus, de nombreux sites ou services ne proposent pas encore la connexion via SSO. Il est donc recommandé de l’utiliser en parallèle d’un gestionnaire, pour sécuriser l’accès au compte principal et proposer une solution de secours quand la SSO est indisponible.
Comment faire ? Comme pour la MFA, ce système peut-être déployé nativement sur des applications comme Google Workspace et Windows 365. Okta et OneLogin sont les mastodontes, FairTrust est un équivalent souverain.
4. Paramétrer les mises à jour automatiques
Autre action importante pour ne rien avoir à se reprocher. On a tous autre chose à faire que d’accepter la dernière MàJ sur notre iPhone, et d’expérience, les sollicitations de mise à jour sont souvent repoussées éternellement. Pourtant les mises à jour corrigent des failles de sécurité dans la majorité des cas, et le risque d’exploitation d’une faille augmente avec le temps passé sans effectuer la mise à niveau. Le conseil d’effectuer ses mises à jour est valable pour les OS et les logiciels comme les navigateurs, les appareils mobiles, et les librairies de code (on a tous entendu parler du cas Log4Shell). Configurer les mises à jour automatiques permet de se “nudger” dans le bon sens !
Comment faire ? La majorité des services proposent la MàJ automatique, que vous pouvez activer sur tous les comptes de vos utilisateurs via Google Workspace ou Microsoft 365. Les MDM (solution de gestion de flotte) le permettent également. Pour les librairies de code, Dependabot permet de maintenir vos dépendances GitHub à jour.
5. (Faire) utiliser un VPN pour les connexions WiFi publiques
On trouve du WiFi gratuit partout, que ce soit dans le Starbucks au coin de la rue, la coworking du bureau ou dans le train qui nous emmène en vacances. Son usage n’est pourtant pas sans risque : la facilité d’accès de ces réseaux sans besoin d’authentification permet à des individus mal intentionnés de se placer entre le point d’accès et votre machine. Ils peuvent facilement écouter l’intégralité des données (contenu de vos emails, identifiants et coordonnées renseignés, …) qui transitent sur le réseau. Il est même possible d’installer à distance des logiciels malveillants si le partage de fichiers avec le réseau est activé.
C’est là où l’utilité d’un VPN (Réseau Privé Virtuel) entre en jeu. Ce logiciel protège les données en transit en chiffrant le traffic. Un tunnel sécurisé est établi entre votre appareil et le point de connexion, ce qui supprime la possibilité de se placer au milieu. Il est particulièrement recommandé lorsqu’on doit se connecter aux services de l’entreprise. À défaut d’en acheter un, il faut au moins en proposer un à vos équipes et souligner le fait qu’il doive être utilisé pour les connexions non-chiffrées.
Comment faire ? J’utilise personnellement ProtonVPN, un logiciel suisse qui dispose d’un plan gratuit. CyberGhost est une autre option made in Europe. Dashlane propose également un VPN dans ses plans professionnels.
6. Sensibiliser ses équipes
La majorité des risques provenant d’une action malencontreuse des salariés, il est nécessaire de les former à ces enjeux. Cette exigence est nécessaire pour l’obtention de certifications, et fait partie des actions de base pour témoigner d’une bonne posture de sécurité. Comment s’y prendre concrètement ?
Dès leur entrée dans l’entreprise, les collaborateurs doivent être informés des pratiques en vigueur. Le mieux est de formaliser les bonnes pratiques dans une charte informatique (un exemple ici). Si vous souhaitez que la sensibilisation soit efficace, il faut ensuite s’assurer que les équipes soient régulièrement testées. Concernant la forme, il est préférable de privilégier des formats courts et interactifs. Un canal Slack “Sécurité” qui donne des conseils mensuels est déjà un premier pas ! Une plateforme de simulation de phishing est également recommandée, car elle permet d’entraîner les collaborateurs en situation réelle. L’objectif est de créer une culture sécurité le plus tôt possible en interne, pour que le respect des bonnes pratiques soit normalisé. Plus on s’y prend tôt, plus l’investissement est facile à mettre en place !
Comment faire ? Je ne peux que vous recommander d’utiliser Cyrius, la solution que l’on développe, qui vise à maîtriser le risque humain tout au long du parcours d’un employé. Arsen est une excellente solution de phishing également, tout comme Kamaé.
7. Appliquer le principe de moindre privilège
Les développeurs connaissent bien ce principe crucial en sécurité. Cependant, je constate trop souvent l’inverse en start-up : tous les documents sont accessibles à tout le monde par défaut (typiquement sur des bases de connaissance comme Notion). Le problème, c’est que ça complique la gestion des accès, surtout au départ d’un collaborateur (voir le point d’après). Toutes les failles de donnes ne sont pas forcément volontaires : en réduisant les accès, vous limitez aussi le risque d’erreur. À l’inverse, en permettant à tous d’accéder à toutes les données, vous nuisez à votre capacité à protéger ces dernières. Attention, il ne s’agit pas de limiter l’accès à l’information, très utile en ces temps de télétravail et de collaboration asynchrone. Il faut simplement garder en tête que tous les documents ne sont pas faits pour être partagés, et que le partage se fait au besoin, pas par défaut. Il faut porter une attention particulière aux comptes à privilège, plus sensibles par essence.
Comment faire ? Utilisez l’option des “groupes” dans votre outil de gestion de comptes (Google Workspace par exemple) pour déterminer des rôles et les permissions associées. Par exemple, seul dev@yourstartup.com peut accéder à tailwindui.com, seul team@yourstartup.com est invité aux meetings quotidiens, seul hr@yourstartup.com a accès à l’ATS, etc. Vous n’avez plus qu’à ajouter les utilisateurs dans les groupes auxquels ils ont besoin d’appartenir.
8. Être vigilant lors du départ d’employés
Qu’il y ait conflit lors du départ ou pas, il existe un risque que votre employé parte avec des documents sensibles, des données client, ou une partie de la codebase. Et avec la vague de licenciement qui touche le secteur de la tech, on n’a pas de mal à imaginer cette situation, qu’elle soit volontaire ou non. Vos données peuvent être compromises si elles tombent entre de mauvaises mains, il est donc important d’être vigilant à ce moment clé.
Il est recommandé de mettre en place une politique de départ qui inclut la suppression immédiate des accès à toutes les applications et données. Sans forcément utiliser un outil de gestion des droits, vous pouvez déjà lister les accès importants dont disposait votre collaborateur pour vous assurer qu’il ou elle n’est plus en mesure d’y accéder. En cas de données particulièrement sensibles, vous pouvez également demander à vos employés de signer un accord de confidentialité avant leur départ pour s’assurer qu’ils comprennent les obligations de confidentialité liées à leur poste.
Comment faire ? La gestion de cet enjeu sera d’autant plus facile si vous avez déployé un IAM, la SSO ou un gestionnaire de mots de passe. Sinon, il vous faut vérifier les accès à la main.
9. Contrôler la sécurité physique
Élément clé d’une PSSI (Politique de Sécurité des Systèmes d’Information), la sécurité physique est souvent absente de la réflexion des startups. Pensez à la quantité de gens qui transitent par nos espaces de travail ! Un pirate informatique ferait des ravages dans un WeWork… Pourtant, il est crucial de protéger ses actifs matériels, surtout dans le cadre de bureaux partagés.
Comment faire ? Quelques conseils élémentaires :
- Verrouiller sa session dès que l’on s’éloigne de son appareil.
- Ne pas laisser apparents des outils de stockage comme des clés USB ou des disques durs externes.
- Appliquer un strict contrôle des accès physiques (non, votre employé ne peut pas faire faire passer son cousin sur le rooftop du coworking avec son badge)
10. La Security by Design dans le produit
Si vous faites du SaaS, la sécurité de votre produit fait partie de vos préoccupations premières. Les développeurs sont généralement informés sur les bonnes pratiques de code, et ce n’est pas l’objet de cet article de creuser l’aspect technique, mais attention aux excès de confiance ! Les ingénieurs ne sont pas forcément sur tous les sujets de cybersécurité d’après mon expérience. Il faut porter une attention particulière sur les instances publiques et l’utilisation de l’open source – on retrouve trop souvent des secrets dans du code rendu public.
Pour s’assurer de respecter les meilleures exigences de sécurité, votre produit doit également passer des pentest (penetration test, ou test d’intrusion) réguliers. Enfin, il est nécessaire d’auditer votre produit avec une plateforme d’observabilité.
Comment faire ? Si vous souhaitez aller plus loin que l’application des bonnes pratiques, Datadog permet de tout monitorer, GitGuardian limite les risques liés aux secrets dans le code, et l’OWASP fait office de bible du développement sécurisé. Sans rentrer dans les détails, le modèle Zero Trust est l’idéal à respecter.
En conclusion
Il n’y a pas de risque zéro, mais l’objectif de ces mesures est de couvrir vite et bien les fondamentaux pour vous assurer la tranquillité d’esprit, faire valoir des arguments commerciaux, et solidifier votre dossier auprès d’investisseurs. Aucune de ces mesures n’est compliquée à mettre en place, en revanche vous en tirerez un bénéfice certain.
Je reste disponible par mail ou LinkedIn pour répondre aux questions.