Maximiser la sécurité et minimiser les coûts : conseils d’un professionnel de la cybersécurité en startup
Gérer les risques de cybersécurité est difficile pour les entreprises de toute taille. Mais cela peut être particulièrement complexe pour les startups qui disposent de peu de personnel et de ressources financières pour investir dans un logiciel de cybersécurité robuste—un constat que je connais bien d’après mon expérience en supervision de la cybersécurité d’une startup spécialisée dans la gestion des coûts cloud.
Heureusement, il est possible de trouver des moyens de maximiser les budgets dédiés à la cybersécurité. Il s’agit tout d’abord de profiter des « fruits mûrs » : des mesures que les entreprises peuvent prendre pour renforcer leur sécurité, peu coûteuses mais à fort impact.
Voici quelques exemples de ces pratiques, et pourquoi les startups soucieuses de leurs coûts devraient les adopter pour réduire les risques sans freiner leur croissance.
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
Pourquoi les startups peinent avec la cybersécurité
Avant d’aborder les actions économiques que les startups peuvent entreprendre pour réduire les risques de sécurité, examinons pourquoi ces jeunes entreprises n’ont généralement pas d’excellents antécédents en matière de cybersécurité.
La raison principale est simple : la plupart des startups sont en phase de croissance, et il est très tentant de reléguer la sécurité au second plan au profit du développement. Dans leur empressement à commercialiser des produits et à générer ou augmenter leur chiffre d’affaires, les startups font trop souvent de la sécurité une priorité secondaire.
De plus, la plupart des startups manquent simplement de moyens financiers et humains pour relever les défis de sécurité. Cela signifie que, même si elles prennent la sécurité au sérieux, elles n’ont pas toujours les moyens d’appliquer les pratiques de sécurité aussi rigoureusement qu’elles le souhaiteraient.
Comment optimiser le rendement de votre budget cybersécurité
Cependant, ce n’est pas parce que la sécurité est un défi pour les startups qu’elles doivent s’exposer à des risques excessifs. Même les jeunes entreprises disposant de ressources très limitées peuvent tirer parti de pratiques comme celles-ci pour renforcer leur sécurité à peu ou pas de coût.
1. Sensibilisez vos équipes à la sécurité
Le phishing demeure l’une des formes les plus répandues de menaces en cybersécurité, plus de 90 % des entreprises ayant été confrontées à une attaque de phishing en 2023.
La bonne nouvelle, c’est que la sensibilisation à la sécurité pour les employés est efficace pour réduire le risque que l’entreprise tombe dans le piège du phishing. Ce n’est pas non plus très coûteux — surtout pour les petites entreprises. La formation peut prendre la forme de courtes présentations par le personnel sécurité, et les tests peuvent consister à envoyer des messages de phishing simulés aux employés pour voir qui clique sur un contenu malveillant.
J’ai mis cette pratique en place dans ma startup et je suis heureux de dire qu’après quelques sessions de formation, nous avons atteint un taux de clics de zéro pour cent sur les contenus de phishing simulés : tous nos collaborateurs démontrent donc pleinement la vigilance à laquelle la formation était destinée.
2. Activez les compléments de sécurité gratuits
De nombreuses applications et services proposent des fonctionnalités de sécurité qui peuvent être activées gratuitement pour renforcer la protection. Par exemple, la plupart des fournisseurs cloud offrent des fonctionnalités d’authentification multi-facteurs (MFA) optionnelles, sans coût supplémentaire. Il est également possible d’activer par défaut le chiffrement des données ou de désactiver l’accès public aux ressources sauf configuration explicite.
Utiliser ces compléments est un moyen simple et quasiment gratuit d’améliorer la sécurité. Votre seul coût sera le temps minime nécessaire à l’activation de ces options, un investissement largement rentabilisé si cela renforce votre posture de sécurité globale.
3. Appliquez les correctifs, encore et encore
Jusqu’à 50 % des cyberattaques réussies sont dues à un défaut tout simple : des logiciels non corrigés, c’est-à-dire des applications que les entreprises négligent de mettre à jour.
Travaillant en startup, je sais combien les équipes informatiques peuvent être surchargées, et je comprends pourquoi le déploiement des correctifs n’est parfois pas une priorité. Mais puisque de nombreux outils peuvent être configurés pour s’actualiser automatiquement, il n’y a réellement aucune bonne raison de repousser l’application des correctifs.
Il est aussi important de définir un processus qui permette à votre équipe de tester et valider les correctifs avant de les déployer via des outils automatisés. Là encore, le peu de temps investi pour mettre en place et maintenir ce processus de gestion des correctifs vous offrira un énorme retour sur investissement via la protection supplémentaire fournie.
4. Étiquetez vos ressources
Étiqueter des ressources — c’est-à-dire leur attribuer des libellés pour préciser leur usage, leur propriétaire, etc. — est une bonne pratique de base pour maîtriser les coûts car cela facilite l’identification de ressources inutiles.
Mais l’étiquetage joue aussi un rôle crucial dans la sécurité. Lorsque vos ressources sont rigoureusement étiquetées, vous pouvez rapidement identifier le « propriétaire » en cas de modification urgente suite à un risque de sécurité. Ainsi, l’étiquetage permet de réduire à moindre coût le temps moyen de réponse (MTTR), un indicateur clé de l’efficacité en cybersécurité.
5. Activez la gestion des accès basée sur les rôles (RBAC)
Le contrôle d'accès basé sur les rôles, ou RBAC, est une autre fonctionnalité présente dans la plupart des applications ou plateformes logicielles, que vous pouvez activer gratuitement, mais que les startups négligent trop souvent. Au lieu d'accorder à chaque utilisateur un niveau d'accès aligné sur leur rôle selon le principe du moindre privilège, les startups ont tendance à donner le statut d’administrateur à tout le monde parce que c'est plus rapide et plus simple.
Mais là encore, l'effort nécessaire pour adopter une approche plus sécurisée—activer le RBAC et configurer des contrôles d’accès granulaires pour chaque utilisateur—est bien moindre que le temps et le coût d'une violation causée par des comptes utilisateurs sur-privilégiés. Quelle que soit la taille de votre entreprise, profitez du RBAC.
6. Rationaliser la gestion des mots de passe
La meilleure façon de gérer les mots de passe est de mettre en place une solution d’authentification unique (SSO) permettant aux employés d’accéder à toutes vos applications et services avec un seul identifiant, réduisant ainsi la surface d’attaque liée aux identifiants que vous devez protéger. Cependant, les services SSO peuvent être coûteux et les entreprises peuvent avoir besoin de ressources en développement pour intégrer de tels services avec leurs applications. Pour ces deux raisons, le SSO n’est pas toujours une solution envisageable pour les startups.
Les gestionnaires de mots de passe sont la solution alternative la plus intéressante. Ils génèrent automatiquement des mots de passe pour chaque application et les débloquent à l’aide d’un mot de passe maître saisi par les employés. La plupart des gestionnaires de mots de passe engendrent un petit coût d’utilisation, mais ils sont moins chers que les services SSO et ne nécessitent pas le soutien de développeurs.
L’essentiel ici est que, même avec un budget limité, vous devriez prendre des mesures pour réduire le risque d'attaque via des identifiants compromis – si ce n’est pas avec une solution SSO, alors au moins avec un gestionnaire de mots de passe.
Faire plus avec moins
Dans un monde idéal, chaque startup disposerait de ressources illimitées à investir dans la sécurité. Mais dans la réalité, peu de startups bénéficient de ce luxe, c’est pourquoi elles doivent se concentrer sur les actions qui apportent les bénéfices les plus importants pour le coût le plus faible.
En adoptant cette approche, les petites entreprises réduisent non seulement leurs risques, mais elles contribuent aussi à protéger leurs perspectives de croissance à long terme. Après tout, la capacité à démontrer le respect des meilleures pratiques en cybersécurité est souvent cruciale pour dialoguer avec les investisseurs et les clients grands comptes, ainsi que pour obtenir les certifications nécessaires à la mise sur le marché de produits.
Cela signifie qu’investir dans des pratiques de cybersécurité rentables est non seulement une bonne chose du point de vue de la sécurité, mais aussi une décision stratégique intelligente pour une startup.
Pour plus de conseils en cybersécurité, abonnez-vous à la newsletter du CTO Club.
