La cybersécurité est un défi pour toutes les tailles et types d’entreprises. Y compris pour les startups. Bien que leurs budgets cyber soient souvent restreints, leur agilité et l’aspect « page blanche » de leur SI constituent des avantages uniques et spécifiques qu’il faut savoir exploiter. Voici 5 conseils « Sécu » dédiés aux startups…
Les conseils en matière de cybersécurité ne manquent pas ! Les guides de bonnes pratiques abondent et les experts sont nombreux. Mais tous ne prennent pas en compte les spécificités des startups : un budget certes réduit, mais une grande agilité. Et surtout, un plus petit périmètre à protéger et la chance de pouvoir concevoir leur système d’information à partir de zéro.
Voici donc 5 conseils de cybersécurité adaptés aux startups, pour éviter les mauvaises surprises :
1- Aller vers le Cloud… tout en gardant le contrôle
L’avantage des startups, c’est qu’elles ont le choix des armes à leur création. Et autant, pour de grandes entreprises, un système d’information hébergé à 100 % dans le Cloud est irréaliste (ni d’ailleurs souhaitable !), autant pour une startup qui voit le jour, c’est probablement la meilleure option. Car là où l’entreprise établie pourra dédier des ressources et des équipes à la sécurité de son SI local, c’est tout simplement impossible pour une startup. Autant, alors, laisser la responsabilité de la sécurité des systèmes à des professionnels.
Mais cela ne signifie pas qu’il faille y aller n’importe comment ! La valeur de la startup réside dans sa production intellectuelle — et donc dans ses applications, ses services et ses données. Il est alors important pour les fondateurs qui feront le choix d’héberger leur infrastructure dans le Cloud d’être attentifs à ce que les applications et leurs services associés restent sous leur contrôle afin de garantir la portabilité de leurs services d’une infrastructure Cloud à une autre.
Par exemple en utilisant des outils de chiffrement différents de ceux du fournisseur Cloud, si l’on parle de stockage. Mais aussi en comprenant bien les spécificités du contrôle d’accès et l’attribution des droits utilisateurs sur les ressources dans le Cloud, qui peut être très différent des infrastructures locales habituelles. Le risque est de laisser par erreur des stockages ou même des serveurs totalement ouverts, accessibles directement sur Internet, à cause d’une mauvaise configuration.
2- Utiliser des solutions de sécurité dédiées aux environnements Cloud
Un système d’information hébergé dans le Cloud public n’embarque pas nativement de la sécurité. Bien que le Cloud Provider sécurise sa propre infrastructure, il n’embarque pas nativement des solutions de sécurité adaptées au SI et aux applications des startups. La startup délègue finalement l’exploitation de sa sécurité à son prestataire, et ce dernier se doit évidemment de superviser ses propres infrastructures. Mais il ne fera pas plus !
Il est donc important pour la startup de choisir elle-même des offres de solutions de sécurité qui pourront être intégrées à son infrastructure Cloud. Solutions de filtrage, antivirus, Solution de Firewall Applicatif, des API, protection Anti-Bot etc. : on retrouve les mêmes familles de produits habituels sur les « stores » des grands Clouders. Il est ainsi facile et rapide de déployer en quelques clics un pare-feu ou une solution de protection des emails dans une instance Cloud… Encore faut-il le savoir et penser à l’adhérence de cette solution quant à la portabilité du service dans une autre infrastructure Cloud !
À ce titre, l’une des solutions les plus urgentes à déployer pour la startup concerne la gestion des identités : dans un environnement Cloud, la confiance est basée sur l’authentification des utilisateurs depuis leur poste de travail vers l’application ou le service individuel qu’ils souhaitent utiliser.
La capacité à protéger les identifiants et à accéder aux bonnes ressources de manière protégée (via un service de Single Sign On et une authentification multifacteur) est donc vitale. En plus de la gestion des identités c’est alors la problématique de la lutte contre l’usurpation d’identité et contre la fraude qui doit être au cœur.
3- Du chiffrement, partout !
La donnée est le vrai capital de la startup. C’est elle qui doit être protégée. Et elle doit l’être dans toutes les phases de son cycle de vie : sur le poste de travail qui la produit (activer le chiffrement intégral du disque dur avec Bitlocker pour Windows ou File Vault pour macos), durant les échanges (investir dans une solution SaaS de partage de fichiers sécurisée et traçable), et bien sûr lorsqu’elle est stockée (chiffrer localement avant de stocker dans le Cloud, afin de dissocier le fournisseur de stockage de celui du chiffrement).
Il est important que le fondateur de la startup consacre du temps à modéliser ses flux de données les plus critiques. Il doit également s’assurer que son Cloud Provider soit en mesure de lui permettre d’appliquer le RGPD. Pour chacune des étapes, il doit identifier les mesures de chiffrement (et de protection de la clé !) qui peuvent s’y appliquer (et s’il n’y en a aucune, c’est une faiblesse à corriger rapidement !).
Ainsi, en cas de défaillance de la politique d’accès aux ressources du Cloud, les données dérobées seront malgré tout inexploitables si elles sont correctement chiffrées.
4- Soigner les backups
C’est une erreur courante que de penser que le fournisseur Cloud sauvegarde lui-même les données. Nombre de jeunes entreprises en ont malheureusement fait les frais lorsqu’un incident survient dans le datacenter de leur prestataire.
La sauvegarde est en réalité de la responsabilité de l’entreprise. Un vrai plan de sauvegarde doit donc être formalisé, prévoyant des backups locaux (au plus près du poste de travail), dans le Cloud (répartis sur plusieurs centres de données, via une solution dédiée et un prestataire différent de l’hébergement) et même physiques (des disques externes).
Les sauvegardes sont le dernier filet qui sauvera des années de travail quand plus rien n’aura fonctionné. Mieux vaut les soigner (et les tester régulièrement !)
5- Protéger le poste de travail
Si toute l’infrastructure de la startup est « virtualisée » dans le Cloud, il reste un élément bien réel : le poste de travail. Il est au plus proche du collaborateur, et c’est à travers lui qu’il accède aux données et aux ressources de l’entreprise.
Le poste de travail est la première cible des attaquants. Il est quotidiennement exposé aux codes malveillants qui peuvent être récupérés durant la navigation web ou via un email piégé. Il est donc crucial de le protéger correctement, afin d’éviter que son contenu ne soit siphonné, ou pire, les identifiants de l’utilisateur. Pour cela, le déploiement d’une solution de type EDR est un minimum vital, en complément ou (de plus en souvent désormais) en remplacement de l’antivirus.
Il est également important de sécuriser la navigation web des collaborateurs en déployant un service de filtrage par lequel transitera tout le surf depuis le poste protégé (il s’agit d’une solution basée dans le Cloud elle aussi, il n’y a donc rien à installer).
Toutes ces mesures permettront à une startup de bénéficier d’un socle de protection solide, adapté à sa taille, et capable de grandir avec elle.
____________________________
Par Vincent Lavergne, Vice Président , Solutions Engineering, EMEA chez F5
puis