Lorsque l’on gère une Startup, le cœur d’activité est la chose sur laquelle on se focalise le plus. Il peut être difficile de dégager du temps pour des tâches annexes et l’on n’a pas forcément des employés spécialisés pour ces dernières. La cybersécurité en Startup est une de ces tâches annexes. On peut avoir l’impression que c’est chronophage et coûteux. Cependant, s’en préoccuper pourrait vous éviter des problèmes.
Pourquoi la cybersécurité est importante dans une Startup ?
De plus en plus d’informations sont stockées et traitées par informatique. Que ce soient vos fichiers clients, vos factures, vos devis, vos mails, vos plans, votre comptabilité : ce sont des éléments fondamentaux pour votre business. Vous utilisez aussi sûrement plusieurs outils comme des navigateurs internet, des boites mails, des services de partage et stockage de fichiers, des logiciels de traitement de texte, de comptabilité, de facturation,de conception etc. Toutes ces données et outils peuvent être détruits, volés, modifiés ou rendus indisponibles et peuvent être des cibles ou des failles pour des attaques informatiques.
Le vice-président de la Chambre de Commerce et d’Industrie France a déclaré dans la lettre n°50 de l’innovation et de l’intelligence économique que 60 % des entreprises perdant leurs données cessent leur activité dans les 6 mois qui suivent. De plus, d’après la CPME (Confédération des Petites et Moyennes Entreprises) 40 % des entreprises de moins de 50 salariés déclarent avoir été victime d’une ou plusieurs cyberattaques.
La question de la cybersécurité dans votre startup ou votre entreprise prend donc une toute autre dimension.
Comment mettre en place une politique de cybersécurité dans ma startup ou mon entreprise ?
La première chose à souligner est qu’un système informatique ne pourra jamais être totalement sécurisé. L’informatique évolue constamment, des failles informatiques sont découvertes tous les jours et les cyberattaquants se renouvellent et développent des nouvelles stratégies constamment.
Une attaque informatique peut être réalisée pour plusieurs objectifs : récupérer un maximum de données pour les utiliser et/ou les revendre, bloquer votre système pour demander une rançon ou récupérer des informations bancaires pour vous prélever de l’argent.
La majorité des attaques que vous risquez de rencontrer seront des attaques réalisées à une échelle de masse ; c’est-à-dire une attaque qui sera partagée à travers tout Internet et transmise à un grand nombre de systèmes. Nous allons donc voir à présent différents points essentiels qui vous permettront de vous en prémunir au mieux.
Les mises à jour
Il est important de mettre à jour son système d’information. En effet, les logiciels, les systèmes d’exploitation et les équipements électroniques (box internet, objets connectés) doivent être mis à jour. Les entreprises qui fabriquent les éléments de cette liste publient des mises à jour de sécurité. Si vous ne le faites pas, vos logiciels et équipements sont alors vulnérables. La question se pose aussi pour vos équipements industriels. On considère généralement que lorsqu’un équipement fonctionne, on ne le met pas à jour, afin d’éviter de perturber de processus. Il va de soi avec les équipements de plus en plus connectés des usines qu’ il va être primordial de réviser cette doctrine.
Il existe des organismes officiels qui répertorient toutes les failles connues. Ne pas faire la mise à jour implique que quelqu’un de suffisamment renseigné sur les dernières failles de sécurité référencées pourrait attaquer votre système.
Certaines failles peuvent avoir plus ou moins d’impacts et être facilement ou difficilement exploitables. Par soucis de simplicité, il est recommandé de toujours faire vos mises à jour. Il est aussi recommandé d’activer la mise à jour automatique car cela vous évitera d’oublier et de devoir vous en soucier.
L’anti-virus et le pare-feu
Un anti-virus permet d’identifier et bloquer un programme que vous installez ou exécutez s’il parait malveillant. Il existe une multitude d’antivirus. Il est recommandé d’en installer un sur vos ordinateurs. Si vous utiliser Windows 10, vous en avez un de base : Windows Defender, mais il en existe d’autres comme Bitdefender, Kaspersky, Avast. Il est néanmoins important de veiller aux informations concernant vos antivirus car certains défraient la chronique avec de pratiques peu respectueuses.
Un pare-feu est un logiciel qui contrôle le trafic qui entre et sort de votre ordinateur. Il peut par exemple empêcher que quelqu’un essaie de se connecter à distance à votre ordinateur ou bloquer l’accès à une ressource internet malveillante. Windows 10 possède un pare-feu par défaut. Vous pouvez en installer un autre comme par exemple GlassWire ou Kaspersky Internet Security.
Les mots de passe
Pour vous connecter à vos comptes, vous utilisez généralement des couples identifiant / mot de passe.
Il est donc important que vos mots de passe respectent certaines règles :
- Différents les uns des autres : si quelqu’un en récupère un, il y a de grandes chances qu’il tente de l’utiliser pour d’autres services ou site web.
- Complexes : au moins 8 caractères, utiliser des minuscules, des majuscules, des chiffres et des caractères spéciaux.
- Changés régulièrement : par exemple, tous les 6 mois.
- Différents des précédents : ne changez pas vos mots de passe avec d’autres que vous avez précédemment utilisés.
- 2FA si possible, mettre en place la double authentification. C’est-à-dire qu’un autre moyen en plus du mot de passe permettra de vérifier votre identité. Cela peut être par exemple un sms ou un courriel contenant un code.
- Changer les mots de passe définis par défaut.
Respecter toutes ces règles est très difficile au vu du nombre de mots de passe à retenir. C’est pourquoi, il peut être intéressant de recourir à un gestionnaire de mots de passe. C’est un outil qui permet de stocker vos mots de passe en les protégeant avec un « mot de passe maître ». Cela revient donc à se souvenir d’un mot de passe complexe respectant ces règles. Vous n’avez plus qu’à changer tous vos autres mots de passe et les stocker dans le gestionnaire. Il en existe une multitude comme par exemple KeePass, LastPass, 1Password, Dashlane… Vous pouvez en choisir un en fonction de vos préférences et vos moyens.
Le phishing
L’un des premiers facteurs de risque est le comportement des collaborateurs, il faut en tenir compte dans l’élaboration de la cybersécurité de votre Startup. D’après la CPME, le phishing est l’attaque la plus commune chez les entreprises de moins de 50 salariés. Le phishing ou hameçonnage consiste à obtenir des informations (comme vos identifiants, vos informations bancaires, des documents officiels) ou de vous faire réaliser une action (télécharger un fichier malveillant, se connecter à un site malicieux). Cela peut se faire par mail, par appel ou par message sur un réseau social.
L’attaquant se fait passer pour un tiers de confiance (une administration, votre opérateur, votre banque, un site que vous utilisez ou une entreprise avec qui vous êtes en relation). Il peut aussi vous faire miroiter des gains ou un cadeau gratuit. Afin de s’en prémunir, il est important de rester vigilant.
Lorsque vous recevez un mail, vérifiez l’adresse électronique de l’émetteur. Est-elle suspecte ? Quel est le nom après le caractère ‘@’ ? Par exemple, un employé de votre banque n’utilisera pas une adresse Gmail ou Hotmail pour vous contacter. Y a-t-il beaucoup de fautes d’orthographe ? Si un lien de redirection est présent, le texte affiché peut-être trompeur. Vous pouvez vérifier si le lien est suspect en faisant clique-droit « copier l’adresse du lien » et coller. Ne pas télécharger ou ouvrir les pièces jointes dans un mail douteux car ils contiennent potentiellement des éléments dangereux. De manière générale si vous recevez un email que vous n’avez pas sollicité, ne cliquez pas sur les liens qu’ils contient ou ses pièces jointes.
La distinction entre l’usage privé et professionnel
Il peut être tentant d’avoir la même adresse électronique, le même ordinateur, la même clé USB ou le même compte pour l’usage personnel et professionnel. Cependant, cela peut devenir problématique, car en cas de brèche, vous vous exposez à de plus gros impacts. Séparer ses comptes et ses équipements informatiques personnels et professionnel permet de limiter les dégâts et réduire les risques.
Les sauvegardes
Les sauvegardes sont les garde-fous de vos données. Si vous subissez une attaque qui aboutit à la suppression ou au chiffrement de vos données, vous ne pourrez plus y accéder. C’est pourquoi il est important de réaliser des sauvegardes régulièrement. C’est donc un des axes permettant d’améliorer la cybersécurité en Startup.
Stockez vos sauvegardes hors-ligne, à l’extérieur de votre système, dans le cas contraire si vos données sont supprimées ou chiffrées, vos sauvegardes le seront aussi. C’est pourquoi, il est intéressant de les stocker en fonction de vos moyens et de la quantité sur des clés USB ou des disques durs externes, sur des serveurs ou ordinateurs protégés physiquement et déconnectés des réseaux internes et d’Internet ou sur des serveurs cloud.
De même il est très important de contrôler le fonctionnement de vos sauvegardes et de mesurer le temps qu’il vous faut pour être à nouveau opérationnel après une panne.
La cybersécurité et l’environnement Startup
Lorsque l’on utilise son smartphone ou son ordinateur, il faut être vigilant à son environnement. Si vous voulez accéder à Internet sur un réseau public (par exemple un hôtel, un aéroport ou une gare) il vous faudra adopter des mesures de sécurité. Ces réseaux sont plus risqués car il y est facile pour un tier d’écouter vos communications. Dans ce cas, utilisez un VPN. Il s’agit d’un moyen de créer un lien entre votre ordinateur et un autre serveur de confiance en chiffrant vos communications sur le réseau. Vous pouvez en choisir un parmi une multitude, comme par exemple CyberGhost, ExpressVPN ou NordVPN.
De même, si vous utilisez le wifi pour vous connecter, il faut faire attention à sa sécurité. Le même type d’attaque est possible que sur un réseau public. Un attaquant peut se connecter illégalement à votre réseau si votre protocole de chiffrement n’est pas sécurisé ou si les codes d’accès par défaut sont conservés.
On voit donc qu’il existe beaucoup de risques différents liés aux activités que l’on a sur internet. Sachez que la principale faille de sécurité est l’être humain. En manquant de vigilance, ou en prenant des risques c’est nous qui mettons les systèmes informatiques à l’épreuve. Donc commencez par une bonne sensibilisation de vos collaborateurs et de vous même !