Sécurité informatique : qu’en est-il de la protection des startups ?

Les start-ups sont généralement créées par des personnes qui veulent transformer une idée innovante en réalité le plus rapidement possible. L’argent est généralement rare et les dépenses pour le développement de produits, la publicité, etc. sont relativement élevées. Lorsqu’il s’agit de gérer les priorités, les aspirants entrepreneurs ont tendance à négliger les questions liées à la sécurité de l’information. Dans cet article, nous aimerions expliquer pourquoi ce n’est pas la bonne façon de réussir.

La nourriture du hacker, le poison de la start-up

De nombreuses start-ups pensent que les petites entreprises aux ressources limitées ne présentent pas un intérêt particulier pour les cybercriminels et tentent donc de sauver du mauvais côté – la sécurité. Mais ce que beaucoup ne savent pas : Tout le monde peut devenir victime de la cybercriminalité. De nombreuses cybermenaces sont à grande échelle, ce qui permet à leurs développeurs de faire d’une pierre deux coups. En outre, les jeunes entreprises insuffisamment protégées sont des proies particulièrement faciles (et donc très attrayantes) pour les cybercriminels.

Tandis que les grandes entreprises mettent parfois des mois à se remettre d’une cyberattaque, une petite entreprise ne survit généralement pas à un tel incident. Par exemple, en 2014, une activité cybercriminelle hostile a conduit à la fermeture d’une start-up appelée Code Spaces, une société d’hébergement qui fournissait des outils pour la gestion de projets communs. Les attaquants ont eu accès aux ressources en nuage de l’entreprise et ont détruit une quantité importante de données de clients. Alors que les vendeurs ont essayé de récupérer autant de données que possible, ils n’ont pas réussi à reprendre leurs activités commerciales normales.

Les erreurs qui peuvent coûter cher à votre entreprise

Pour protéger adéquatement votre entreprise en démarrage, même avec un budget limité, il est logique de créer un modèle de menace spécifique avant le lancement du marché afin de déterminer quels risques sont pertinents pour votre entreprise personnelle. On a ensuite résumé les erreurs typiques commises par de nombreux entrepreneurs en démarrage.

1. manque de connaissance des lois sur le stockage et le traitement des données personnelles

De nombreux gouvernements s’engagent à assurer la sécurité de leurs citoyens. Au sein de l’Union européenne, par exemple, le DSGVO assure la protection des données à caractère personnel, tandis qu’aux États-Unis, il existe de nombreux actes juridiques pour différents secteurs et États. N’oubliez pas que toutes ces lois s’appliquent, que vous les ayez lues ou non.

Bien sûr, les sanctions pour infraction à la loi peuvent varier, mais un comportement négligent, en particulier, vous coûtera très probablement beaucoup d’argent. Dans le pire des cas, vous pourriez même devoir suspendre l’exploitation de votre entreprise jusqu’à ce que toutes les non-conformités soient résolues.

Et un autre détail important : parfois, les lois ont un champ d’application plus large que ce à quoi vous pourriez vous attendre. Par exemple, la DSGVO s’applique à toutes les entreprises qui collectent des données auprès de citoyens européens, y compris celles de Russie ou des États-Unis. Il est donc préférable de connaître à la fois votre réglementation nationale et celle de vos partenaires et clients.

2. Manque de protection des ressources du nuage

De nombreuses start-up dépendent de services publics de nuage tels qu’Amazon AWS ou Google Cloud, mais toutes n’utilisent pas les bons paramètres de sécurité pour ce type de stockage. Dans de nombreux cas, les conteneurs contenant des données de clients ou des codes d’applications web ne sont protégés que par des mots de passe beaucoup trop faibles. Les documents internes des entreprises, en revanche, sont souvent accessibles par des liens directs ou même visibles par les moteurs de recherche. Cela permet à n’importe qui d’accéder à des données critiques. Dans certains cas, par souci de simplicité, les documents importants stockés dans Google Docs peuvent être consultés par les startups sans aucune restriction – généralement parce qu’on a oublié de restreindre l’accès.

3 Les attaques DDoS inattendues

DDoS est un moyen efficace de mettre une ressource Internet hors service. Dans le darknet, de tels services sont relativement peu coûteux et donc relativement bon marché pour les concurrents et les cybercriminels qui en ont besoin pour couvrir des entreprises hostiles beaucoup plus sophistiquées.

En 2016, un service de porte-monnaie électronique crypté appelé Coinkite a été contraint de fermer en raison d’attaques DDoS en cours. Après avoir résisté à la lutte pendant plusieurs années, l’entreprise a finalement abandonné et se concentre à nouveau sur les porte-monnaie électroniques. Sensibilisation insuffisante des employés à la sécurité

Le “facteur humain” est considéré comme le maillon faible dans pratiquement toutes les entreprises. Les attaquants en sont conscients et utilisent des méthodes sophistiquées d’ingénierie sociale pour infiltrer le réseau de l’entreprise ou intercepter des informations confidentielles. Une sensibilisation insuffisante à la sécurité est doublement dangereuse pour les entreprises qui emploient des indépendants : contrôler les dispositifs et les réseaux qu’ils utilisent pour leur travail peut être un défi majeur. Il est donc particulièrement important de motiver tous les employés à adopter une attitude soucieuse de la sécurité.

Pour maintenir votre jeune entreprise à flot

Pour éviter les cybercriminels et protéger votre entreprise, vous devez tenir compte de la cybersécurité lors de l’élaboration de votre plan d’entreprise:

  • Découvrez quelles ressources nécessitent une protection primaire et quels outils de sécurité s’inscriront dans votre budget initial. En fait, de nombreuses protections ne sont pas coûteuses.
  • Utilisez des mots de passe forts pour protéger vos outils et vos comptes. Notre solution Kaspersky Small Office Security comprend notre gestionnaire de mots de passe Kaspersky, qui vous aide à générer des mots de passe forts stockés dans des conteneurs cryptés. N’oubliez jamais d’activer l’authentification à deux facteurs si possible.
  • Vérifiez toutes les lois sur le stockage des données dans les pays où vous avez l’intention d’opérer et assurez-vous que le flux de travail pour le stockage et le traitement des données personnelles de votre entreprise est compatible avec ces lois. Si possible, consultez des avocats spécialisés qui connaissent les pièges d’un marché particulier.
  • Gardez un œil sur la sécurité des services et des logiciels de tiers. Dans quelle mesure le système de développement collaboratif que vous utilisez est-il vraiment bien protégé ? Votre fournisseur d’hébergement est-il sûr ? Y a-t-il des vulnérabilités connues dans les bibliothèques open source que vous utilisez ? Ces questions devraient vous intéresser au moins autant que les propriétés du produit final pour le consommateur.
  • Augmenter la conscience de la sécurité de vos employés et encourager tous les employés à se familiariser avec le sujet par eux-mêmes. Si votre entreprise n’emploie pas de spécialistes de la cybersécurité, trouvez quelqu’un qui s’intéresse et s’engage sur le sujet.
  • N’oubliez pas de protéger votre infrastructure informatique. On a une solution pour les entreprises émergentes qui ont des budgets limités. La solution vous aide à automatiser la surveillance de la sécurité de vos postes de travail et de vos serveurs et à effectuer des paiements en ligne sécurisés. Et mieux encore, aucune compétence administrative n’est requise.