Cybersécurité : 10 bonnes pratiques à mettre en place pour les startups

Alors que les menaces informatiques sont en forte croissante, favorisées par le télétravail, la dématérialisation et l’utilisation massive du Saas et du Cloud, les risques sont particulièrement élevés pour les grandes entreprises comme pour les startups. Ces dernières constituent des cibles de choix, car elles sont moins bien préparées, moins protégées et elles possèdent des données de valeur du fait de leur hyperconnexion.

Les attaques étant en augmentation constante et de plus en plus sophistiquées, les risques liés à la perte de revenus, de confiance, de savoir-faire à la concurrence ou d’amende, sont en effet bien réels. « Il est de votre responsabilité d’expliquer que la cybersécurité ne peut pas être reléguée en seconde zone. C’est un poste à part entière et un sujet dont il faut s’occuper », souligne Tobias Rohrle, solutions engineer chez Cloudflare, à l’occasion de sa conférence intitulée « Les 10 commandements de la cybersécurité pour les startups » lors du Tech.Rocks Summit 2021.

Retrouvez ci-dessous ses 10 bonnes pratiques incontournables et faciles à appliquer au sein de ces organisations, qui ne sont pas épargnées par les attaques informatiques.

1. Éduquer

Inculquez une culture de la cybersécurité au sein de votre startup, en sensibilisant vos collaborateurs, en organisant des ateliers, tout en faisant preuve de bienveillance pour encourager les rapports d’anomalies et adopter les bons gestes. Et mettez en place une charte de sécurité et/ou une charte informatique, à intégrer dans le Welcome pack, pour éviter de tomber dans les pièges tendus par les pirates. Le conseil de Tobias Rohrle : trouvez des exemples de vidéos sur YouTube sur la requête « social engineering defcon » ou suivez Rachel Tobac, CEO de SocialProof Security.

2. Sécuriser les accès

Les identifiants et les mots de passe constituent des portes d’entrée pour les hackeurs. Vous devez mettre en place une politique de mot de passe centralisée. « Elle doit définir la durée d’expiration du mot de passe, sa complexité, l’interdiction de réutiliser d’anciens logins et prohiber le partage d’identifiants. » Vérifiez que vos mots de passe ne figurent pas sur des bases de données déjà piratées, via le site Have I Been Pwned par exemple.

L’utilisation d’un fournisseur d’identité (idP) est possible, tout comme une authentification multi-facteurs, en évitant le SMS qui n’est pas crypté, ou encore le recours à un gestionnaire de mots de passe. Vous pouvez aussi mettre en place un contrôle d’accès au sens large (fichiers, applications, réseaux, partage de documents dans le Cloud…). Autres bonnes pratiques : ne pas laisser l’accès administrateur sur les postes de travail et interdire, voire limiter, l’utilisation de terminaux personnels.

3. Cartographier et réagir

Vous devez connaître vos vulnérabilités et vos surfaces d’attaque, comme les angles évidents (adresses IP publiques) et les zones d’ombres, ainsi que les nouveaux vecteurs créés par le télétravail et les services Cloud. « Il faut se mettre à la place de l’attaquant : que peut-il voir ? Il va utiliser des scans automatisés. Les outils sont légions sur GitHub : Shodan, Security Trail… » Utilisez aussi un outil de gestion des événements (SIEM), qui vous permettra de détecter pour alerter, tout en visant le temps réel. « Il faut agir dès qu’une faille est détectée. »

4. Faire de la veille

Les menaces évoluent quotidiennement, vous devez donc vous tenir à jour sur les nouveaux types d’attaque, désignées sous le nom de « 0-day, tant qu’elles n’ont pas été publiées ». Tobias Rohrle conseille aussi d’inviter des intervenants à rencontrer vos équipes, participer à des meetups sur le sujet ou encore organiser des événements en interne (Capture The Flag…).

Les ressources à suivre pour votre veille cyber :

• le chan Slack #about-security,
• des blogs et sites comme Krebs on Security ou Security Affairs,
• les comptes de Nicolas Caproni (@ncaproni sur Twitter) ou FireEye sur les réseaux sociaux,
• le CERT-FR, qui est le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques.

5. S’équiper

Les bonnes intentions ne suffisent pas pour assurer une bonne protection et contrer les menaces. Parmi les outils recommandés, on retrouve : un antivirus / EDR (Endpoint detection and response), des firewall physiques et « next gen », l’architecture Zero Trust pour remplacer le VPN, les clés Yubikey / Thetis pour l’authentification multifacteur (MFA) et des solutions d’intelligence artificielle. « Les attaquants en disposent. Si vous n’en avez pas, vous risquez d’être dépassés. » Entourez-vous d’experts et d’outils spécialisés (paiement, messagerie, DNS…). Autre bonne pratique : réalisez des audits externes, des tests de pénétration, de manière récurrente ou ponctuelle. Vous pouvez aussi envisager de mettre également un système de bug bounty.

Découvrir les meilleurs antivirus du marché

Norton Small Business

Antivirus

Surfshark Antivirus

Antivirus

Bitdefender

Antivirus

Avast

Antivirus

Voir tous les outils Antivirus

6. Procédures et rigueur

L’approche Security by design consiste à « inclure la sécurité comme un élément essentiel dans le développement de votre produit, comprendre et identifier les risques, minimiser les surfaces d’attaques, distinguer et restreindre les privilèges, rester vigilant vis-à-vis des tiers et garder confidentiels les codes d’erreurs ». Vous avez également la possibilité de réaliser des revues de code (PR), tenir à jour un registre des partenaires, ou encore conserver vos logs et historiques de demandes d’accès. « Si ce n’est pas écrit, cela n’existe pas. » Une équipe incident peut être mise en place pour répondre rapidement à la moindre alerte car « la vitesse est ici un facteur clé ». Les mises à jour logicielles doivent également être effectuées régulièrement.

7. Prioriser

Pour Tobias Rohrle, la criticité des failles vient généralement de la durée d’implémentation du fix. « On parle ici du 80-20 : 80 % d’efforts pour 20 % de résultats. » Le conseil : plus tôt vous prioriserez et mettrez en œuvre vos actions en matière de cybersécurité, plus vous limiterez les risques d’attaques. L’expert conseille aussi de se tourner vers des solutions dites « packagées » et qui sont adaptées aux startups, comme les suites Google, Microsoft ou Amazon. Elles incluent notamment des outils pour renforcer la sécurité informatique.

8. Exiger des partenaires

Si le niveau de sécurité d’une entreprise peut s’évaluer au niveau de son maillon le plus faible, il est essentiel d’imposer à vos partenaires, notamment ceux qui sont susceptibles de gérer vos données et auxquels vous confiez vos accès, un même niveau d’exigence sur la cybersécurité que celle que vous vous imposez en interne au sein de votre startup.

9. Anticiper

Il s’agit ici d’instaurer un plan de reprise d’activité (PRA), voire un plan de continuité d’activité (PCA), qui peuvent être aussi très utiles, même pour des startups. « A minima, réfléchissez à ce qui est critique dans votre structure, comment vous êtes capable de restaurer des sauvegardes… » Face aux ransomwares, la seule manière de se remettre d’une telle attaque, pour l’expert, est « soit de payer, soit de restaurer les backups ». Ces derniers ne doivent pas figurer sur le même système d’information qui a été ciblé.

10. La sécurité physique

Les menaces sont aujourd’hui multiples : de l’intrusion dans vos locaux, du vol de poste de travail, d’appareils téléphoniques dans les transports, sur le site de la startup ou au domicile de vos collaborateurs, mais aussi de l’espionnage de votre écran par quelqu’un à l’extérieur munis de jumelles, ou encore si une personne parvient à obtenir les enregistrements de vos caméras de surveillance. Ces dernières ne doivent jamais être tournées vers les écrans, ni les claviers, et elles ne doivent pas non plus enregistrer le son, pour ne pas compromettre la sécurité physique de votre organisation.