Même après d’importantes collectes de fonds et une traction importante, les chefs de file des startups doivent se concentrer autant que possible sur les revenus et la croissance. Dans de nombreux cas, cela signifie mettre d’autres considérations opérationnelles comme la cybersécurité en veilleuse. Malheureusement, un niveau élevé de publicité après la collecte de fonds, associé à des protocoles de sécurité laxistes, signifie une saison ouverte pour les cybercriminels.
Dans une interview avec BetaKit, Kevin Magee, directeur de la sécurité de Microsoft Canada, a expliqué pourquoi les dirigeants de startups doivent penser différemment à la cybersécurité et comment ils peuvent donner la priorité à la sécurité sans affecter le potentiel de croissance.
La cybersécurité est un problème de valeur commerciale
La sécurité est souvent discutée à contrecœur dans les startups, considérée comme un centre de coûts potentiel sinon une distraction par rapport à des priorités plus élevées. Cependant, c’est un élément essentiel de la survie des startups. Une seule fuite de données pourrait détruire la confiance avec les premiers clients, et aiguiser un marché potentiel. Un pirate informatique intelligent pourrait épuiser les ressources d’une entreprise amorcée avant que quiconque ne remarque que quelque chose ne va pas. La solution, a déclaré Magee, est de penser la cybersécurité différemment.
«Limiter les pertes est tout pour une startup», a déclaré Magee, ajoutant que les dirigeants des startups devraient penser à la cybersécurité comme un moyen de protéger l’entreprise pendant sa croissance.
Magee a conseillé aux startups de se concentrer non pas sur les flèches des attaques de cybersécurité, mais sur l’archer.
Le problème avec le fait d’éliminer le travail de sécurité en tant que centre de coûts, a déclaré Magee, est qu’il ne tient pas compte du coût d’opportunité des affaires perdues en raison d’une mauvaise opération de sécurité. De nombreuses entreprises et gouvernements évaluent les protocoles de sécurité d’une startup avant d’acheter, ce qui signifie que les startups pourraient perdre des contrats d’approvisionnement à la ligne d’arrivée si leur sécurité n’est pas à la hauteur.
De plus, les VC et même les investisseurs non institutionnels vérifient désormais les protocoles de sécurité d’une startup avant d’investir. Ils connaissent les amendes qu’une entreprise peut encourir pour ne pas respecter les réglementations en matière de confidentialité ou de conformité et le risque financier énorme d’une violation. Magee a indiqué qu’il peut être difficile pour les fondateurs de start-up de concevoir que leur entreprise soit piratée, mais que faire sauter le processus de diligence avec un client ou un investisseur est un problème beaucoup plus tangible à éviter.
Concentrez-vous sur l’archer, pas sur la flèche
Pour les startups qui prennent la cybersécurité au sérieux, Magee a expliqué que beaucoup essayaient de planifier toutes les «flèches» possibles: les différents types d’attaques auxquelles elles pourraient être confrontées, telles que les ransomwares ou une escroquerie de phishing par e-mail. Cependant, Magee a déclaré que la meilleure façon de construire un portefeuille de risques réussi est de penser aux «archers»: les types d’attaquants qui pourraient vouloir les données ou les ressources dont vous disposez.
Un bon portefeuille de risques doit identifier les plus grandes menaces pour votre entreprise – par exemple, une société de recherche sur les vaccins peut faire face à des menaces d’acteurs nationaux qui tentent d’obtenir une formule de vaccin, tandis qu’une marque de commerce électronique DTC peut faire face à des menaces d’individus essayant de voler de l’argent ou matériaux – puis commencez à élaborer une approche à deux volets pour augmenter votre base de cybersécurité:
- Développez vos défenses pour qu’il soit plus difficile ou plus coûteux de pirater vos systèmes.
- Sécurisez vos écosystèmes internes afin que même si une zone est violée, les autres zones de l’entreprise restent sécurisées.
L’idée est de faire plus de mal à votre entreprise qu’il n’en vaut la peine pour l’archer de vous choisir comme cible.
À titre de référence, Magee a recommandé quelques bonnes pratiques, telles que l’identification multifactorielle et la gestion des identifiants privilégiés sur un modèle de confiance zéro. Il a également mis en garde toutes les entreprises contre l’idée que l’argent seul peut garantir la sécurité, les encourageant à se concentrer d’abord sur les risques les plus prioritaires, comme tout autre défi commercial.
«Je ne pense pas que vous puissiez vous sortir de ces problèmes», a déclaré Magee.
Construire une culture de la sécurité avec l’empathie numérique
Malheureusement, la sécurité au sein des entreprises, grandes et petites, est souvent un jeu de nom et de honte: les violations sont un exemple de quelqu’un qui «gâche» plutôt qu’une opportunité de travailler en collaboration et d’identifier la cause profonde du problème. Tout ce que cette approche fait, a déclaré Magee, est de repousser les problèmes potentiels sous terre, ce qui entraîne une plus forte adoption de l’informatique parallèle et les gens cachent des erreurs.
Pour les startups qui souhaitent créer une véritable culture de la sécurité, Magee recommande de cultiver ce qu’il appelle «l’empathie numérique».
Ce type d’approche collaborative – qui met l’accent sur le renforcement de la communauté et la promotion de l’inclusion – est également exactement ce dont les leaders de la cybersécurité à travers le Canada disent que l’écosystème a besoin pour se développer.
Pour Magee, une culture d’empathie numérique commence par quelques bonnes pratiques:
- Utilisez les erreurs comme une occasion d’apprendre. Concentrez tous vos efforts sur la résolution des problèmes causés par une erreur. À partir de là, explorez la cause profonde de l’erreur et utilisez-la comme un moyen d’éduquer le personnel sur la manière correcte (et sûre!) De faire les choses.
- Ne vous attendez pas à ce que tout le monde soit un expert en cybersécurité. Utilisez des outils qui permettent aux employés de ne pas avoir à penser constamment à la sécurité pour être en sécurité. Par exemple, l’authentification unique (SSO) simplifie la connexion à des programmes sécurisés et rend difficile ou ennuyeux de se souvenir des mots de passe pour tout le reste, de sorte que les gens sont plus susceptibles de se conformer.
- Considérez l’utilisation du shadow IT comme un mécanisme de rétroaction. Si quelqu’un utilise un logiciel en dehors du portefeuille de l’entreprise, Magee a déclaré: «reconnaître qu’ils utilisent l’outil parce qu’ils ont un besoin». Dans cet état d’esprit, Magee a demandé aux employés pourquoi ils avaient commencé à utiliser une plate-forme supplémentaire. Vous aurez soit l’occasion d’éduquer les employés si votre technologie existante a la même fonctionnalité, soit vous apprendrez quelque chose sur les besoins de votre équipe, ce qui pourrait entraîner l’intégration de cette plate-forme informatique parallèle.
Si vous êtes une nouvelle entreprise ou si vous n’avez pas eu de problèmes de cybersécurité importants, Magee a suggéré de prendre un exemple déchiré des gros titres et d’organiser des exercices sur table, de jouer un rôle dans l’approche de votre entreprise pour voir si votre équipe et votre entreprise répondrait au problème ou à la situation.
«C’est une excellente occasion de former les gens, de définir la culture et de générer des idées sur la façon de mieux faire les choses pour l’organisation», a déclaré Magee.
Un investissement, pas un coût
La cybersécurité peut coûter de l’argent, mais Magee conseille aux startups d’y penser en termes d’investissement et non de coût. L’argent que vous dépensez devrait produire un retour pour votre entreprise sous la forme à la fois de données sécurisées et de nouvelles opportunités commerciales et d’investissement.
Ce n’est pas seulement une question d’argent, mais les ressources globales (temps, énergie et argent) que vous investissez dans la cybersécurité. C’est aussi pourquoi il est si critique pour les fondateurs et les conseils d’administration d’accorder la priorité à la sécurité: cela donne le ton pour le reste de l’organisation. C’est un gros investissement, mais bien fait, il assure la sécurité d’une entreprise pour les années à venir.
«Si les fondateurs ne donnent pas la priorité à la sécurité, personne d’autre ne le fera», a déclaré Magee.
Image de vedette gracieuseté d’Unsplash.
