Aucune startup n’est trop petite ou trop récente pour être la cible de la cybercriminalité. Les pirates informatiques dirigent désormais des startups à part entière, expérimentant et itérant leurs tactiques afin de pouvoir détecter chaque vulnérabilité et les exploiter. De ce fait, les dirigeants de startups doivent être plus vigilants que jamais dans leur démarche de sécurité.
Dans une entrevue avec BetaKit, Kevin Magee, chef de la sécurité de Microsoft Canada, a partagé les six tendances que tous les dirigeants de petites entreprises et de startups doivent connaître.
1. Les cybercriminels pensent maintenant comme les fondateurs de la technologie
Les cybercriminels sont souvent décrits dans les médias comme des pirates informatiques solitaires travaillant à exploiter une petite faille dans votre système pour voler de l’argent avant de s’enfuir dans la nuit numérique. Mais ce n’est plus le cas : l’écosystème du chapeau noir a évolué au point où des hackers dirigent des entreprises entières dédiées à l’exploitation.
Dans ce nouvel écosystème, les cybercriminels utilisent les mêmes techniques de piratage de croissance que les startups. Magee a déclaré qu’il existe même des forums d’examen pour les outils, le support client externalisé et les réseaux de pigistes dans le monde de la cybercriminalité.
« Vous êtes confronté à toute une industrie qui essaie de vous extorquer de l’argent de différentes manières », a déclaré Magee.
2. Les entrepreneurs ont une arme secrète
La sophistication croissante des cybercriminels révèle également une arme secrète pour les entrepreneurs : si l’écosystème de la cybercriminalité utilise des méthodes de growth hacking conçues par des entrepreneurs, cela signifie que les entrepreneurs peuvent en tirer profit. Étant donné que les entrepreneurs ont conçu le manuel de piratage de croissance, ils peuvent utiliser ce même manuel pour déjouer les cybercriminels et créer des protocoles de cybersécurité plus puissants.
« Les entrepreneurs ont inventé la tactique », a déclaré Magee. « Cela signifie que vous pouvez penser comme l’adversaire de plusieurs façons. »
3. La taille et l’âge n’ont pas d’importance pour les pirates informatiques
Magee a déclaré que l’une des plus grandes erreurs commises par les startups est de supposer qu’elles ne sont pas une cible car elles sont petites. Cependant, cela peut en fait faire de vous une cible encore plus grande. Magee a déclaré que les jeunes startups sont particulièrement vulnérables aux cyberattaques, car elles n’ont généralement pas mis en place une infrastructure adéquate. Les petites entreprises établies sont également moins susceptibles d’investir dans la cybersécurité que les grandes entreprises. Ainsi, même si vous avez moins à voler, votre entreprise peut être relativement plus facile et plus rapide à attaquer.
Comme la plupart des initiatives critiques, la sécurité doit commencer par le haut. Mais dans ce cas, ça va plus haut que le PDG : ça doit commencer par le conseil d’administration.
Bien qu’être jeune et petit expose votre entreprise à un plus grand risque, Magee a déclaré que le côté positif est que vous êtes également plus facile à protéger car « il y a moins de surface d’attaque » pour les cybercriminels. Les startups bénéficient également d’une culture des opérations agiles, qui les aide à évoluer plus rapidement une fois que la sécurité devient une priorité.
« C’est une chance de ne pas tomber dans les vieilles habitudes ou les vieux schémas », a déclaré Magee.
4. Assurez-vous de penser à la CIA de vos données
Dans le monde de la sécurité, on parle beaucoup de données CIA : confidentialité, intégrité et disponibilité. Les pirates ont d’abord attaqué la disponibilité des données. Si vous cliquiez sur un e-mail de spam, il téléchargerait un ransomware sur votre ordinateur qui emporterait vos données. Le pirate vous facturera alors pour restaurer l’accès aux données. Les attaquants ont ensuite évolué pour cibler la confidentialité. Les pirates informatiques voleraient des fichiers et vous doxeraient en les partageant en ligne, ou déteniraient des informations contre rançon sous la menace de les révéler.
Maintenant, Magee a déclaré que les pirates informatiques venaient pour l’intégrité des données. Il existe un nouveau risque que des pirates informatiques s’introduisent dans une base de données et modifient des informations privées, par exemple en modifiant les statuts de vaccination dans une base de données hospitalière ou en modifiant la cote de crédit d’une personne. Magee a expliqué que ce type d’attaque d’intégrité pourrait entraîner des dommages importants à la vie de quelqu’un, créant des opportunités privilégiées pour extraire une rançon.
5. La sécurité commence au-dessus du PDG
Comme la plupart des initiatives critiques, la sécurité doit commencer par le haut. Mais dans ce cas, ça va plus haut que le PDG : ça doit commencer par le conseil d’administration.
Magee a expliqué que les membres du conseil d’administration ne font souvent pas partie de l’infrastructure de sécurité d’une entreprise et peuvent utiliser des e-mails personnels pour des informations hautement confidentielles sur l’entreprise. En plus d’être eux-mêmes un risque pour la sécurité, ils sont également essentiels dans la définition du programme stratégique de l’entreprise. S’ils délivrent une directive « la croissance avant tout », elle dit tacitement au PDG de prendre des raccourcis ou d’ignorer les priorités à long terme afin d’atteindre une croissance à court terme.
6. La cybersécurité doit apprendre de la comptabilité (non, vraiment)
À la suite du krach boursier de 1929, le secteur de la comptabilité a développé les principes comptables généralement reconnus (PCGR). Ces normes indiquaient clairement ce qui était exigé d’une entreprise pour rester financièrement conforme, à la fois en tant qu’organisation et lors du traitement des informations client. Par exemple, les normes comprenaient le concept selon lequel une personne rapprocherait un bilan tandis qu’une autre vérifierait l’exactitude et la conformité du fichier, ce qui réduisait considérablement la fraude financière.
Magee pense que la même chose doit se produire en matière de cybersécurité, car l’industrie manque actuellement d’un ensemble similaire de normes généralement acceptées. Par exemple, le même professionnel de l’informatique qui fournit un correctif de sécurité au portail client de l’entreprise est celui qui certifie que le correctif a été correctement mis en œuvre. Mis à part les acteurs malveillants, ce processus laisse une place importante à l’erreur humaine et à des vulnérabilités massives.
« [GAAPs] a bien fonctionné pour endiguer la fraude en comptabilité financière. Nous devons réfléchir à la manière de procéder en matière de sécurité », a déclaré Magee.
Les solutions émergentes reposent sur des ressources partagées
Bien qu’il n’existe actuellement pas de PCGR pour la cybersécurité, de nombreuses entreprises commencent à se rendre compte qu’elles n’ont pas à travailler seules. Les solutions émergentes de cybersécurité exploitent des sources partagées et s’appuient sur la technologie plutôt que sur les humains pour évoluer.
Magee a déclaré qu’il est plus facile que jamais de partager des ressources de sécurité grâce aux avancées de l’infrastructure cloud. Les entreprises peuvent s’appuyer sur un fournisseur de cloud, de sorte qu’elles bénéficient des investissements de sécurité de ce fournisseur ainsi que des leurs. Et les professionnels de la cybersécurité conçoivent déjà des normes sur qui doit accéder à quelles informations et comment le travail doit être validé.
« Une nouvelle génération de professionnels de la cybersécurité adopte une première approche des principes et de l’esprit d’entreprise face aux défis non seulement de défendre, mais aussi de créer et de maintenir des organisations résilientes », a-t-il déclaré. « Cela nécessite d’investir et de développer des technologies de rupture exploitant des éléments tels que l’IA et le SOAR (Security Orchestration, Automation and Response) spécialement conçus pour la défense. »
Cet investissement conduira non seulement à des entreprises plus sûres, mais aussi à des opportunités commerciales.
« De nouvelles solutions et startups commencent à émerger avec des technologies vraiment perturbatrices qui permettent et responsabilisent les défenseurs tout en créant des entreprises rentables et prospères », a déclaré Magee.
Image caractéristique avec l’aimable autorisation d’Unsplash.