La Cybersécurité pour les startups : prévenir plutôt que guérir
Lors de la dernière session du club Tech de Bpifrance Le Hub chez Google Cloud, nos experts ont échangé sur les enjeux de la cybersécurité dans les startups.
En ouverture, Thiebaut Meyer, Office of the CISO, Google Cloud, a partagé sa vision des risques qui pèsent sur le marché, illustrée par une formule évocatrice : « La cybersécurité est un sport d’équipe ». Un sport, car elle nécessite un entraînement constant, et un effort collectif, car toute l’entreprise doit être impliquée. Ce constat a été largement confirmé lors de la table ronde réunissant Thomas Fillaud (CSO de Mirakl, plateforme facilitant les marketplaces pour de nombreux e-commerçants), Olivier Martin (CTO de Virtuo, spécialiste de la location de voitures en libre-service) et Zakaria Rachid (CSO de Believe, acteur majeur du secteur musical). Leurs échanges, riches en enseignements, sont résumés ici.
Quand faut-il se préoccuper de la cybersécurité ?
Il n’est jamais trop tôt. Toutes les startups sont exposées aux risques cyber, même si leur nature varie selon l’industrie et le secteur d’activité. Ce sont souvent les actifs de l’entreprise qui sont menacés, mais comme l’a récemment illustré l’actualité avec l’enlèvement du PDG de Ledger en échange d’une rançon, les individus eux-mêmes peuvent être pris pour cible.
La création de postes dédiés, comme celui de Chief Security Officer (CSO), intervient souvent après une attaque. Par manque de ressources, dans les petites structures, c’est souvent le Chief Technology Officer (CTO) qui prend en charge ces enjeux. C’est le cas d’Olivier Martin chez Virtuo, qui rappelle que la cybersécurité est avant tout une responsabilité collective.
Même constat pour Thomas de Mirakl, qui estime que le premier Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une entreprise est son CEO. C’est à lui d’impulser une culture de la sécurité. Il souligne également qu’en Europe, le risque est partagé entre tous les acteurs de l’écosystème — startups, clients, fournisseurs — et que chacun a intérêt à s’y engager dès le départ.
Pourquoi les startups sont-elles cibles d’attaques ?
L’objectif des cyberattaques est souvent financier. Les hackers peuvent chercher à dérober de l’argent directement(arnaque au PDG, modification frauduleuse de RIB pour un virement), à voler des données revendables, ou encore à pirater un actif pour exiger une rançon. en paralysant par exemple l’activité à un moment stratégique (par exemple pendant le black friday), dans une moindre mesure elles peuvent viser aussi à ternir une réputation.
Toutefois, l’impact d’une menace varie selon l’industrie et le modèle économique de l’entreprise. Thomas de Mirakl illustre cela en expliquant que si des hackers volaient leur propriété intellectuelle, l’entreprise pourrait survivre, en revanche, une interruption de leur plateforme serait critique. De son côté, pour Olivier Martin de Virtuo, les véhicules sont l’actif le plus précieux de l’entreprise, et qui sont souvent ciblées par des malfaiteurs qui essaient de les dérober.
Chaque startup doit donc identifier ses risques spécifiques pour mieux se protéger.
L’importance de l’analyse des risques
Pour définir une stratégie de cybersécurité efficace, comprendre les risques est essentiel, insiste Zakaria. Il s’agit de passer du « NO » au « KNOW » : plutôt que de bloquer une action par crainte du danger, mieux vaut identifier les risques et les encadrer de manière sécurisée.
Thomas recommande de commencer par interroger le CFO avec une question clé : « Quel est le pire scénario possible ? ». La réponse peut varier : perte financière (fonds disparaissant des comptes), atteinte à la propriété intellectuelle ou matérielle, intrusion dans les locaux… Mais la vraie question à se poser est : « Qu’est-ce qui coûterait le plus cher à l’entreprise ? »
Plutôt que de chercher qui attaque, Zakaria préfère se concentrer sur l’objectif des attaquants. « Forcément, ils viseront soit la confidentialité, soit l’intégrité, soit la disponibilité de nos actifs (CID) », explique-t-il. Ces actifs peuvent être informatiques, corporate ou liés au savoir-faire de l’entreprise (voitures, musiques, bases de contacts…). « Les pirates cherchent à gagner de l’argent, alors mettons-nous à leur place et réfléchissons à comment ils pourraient y parvenir. »
Une fois ces principaux risques identifiés, il est crucial d’analyser comment s’en prémunir et ce que l’on risque si aucune action n’est prise. Les incidents sont inévitables, mais mieux les anticiper permet de mieux y faire face.
Il existe plusieurs formats d’analyse des risques, parfois une approche simple suffit : réfléchir aux actifs et aux risques CID est déjà un bon point de départ. Et, au-delà de la méthodologie, c’est surtout une excellente occasion de rassembler les équipes et d’ouvrir la discussion sur ces sujets cruciaux.
Les ressources :
- Analyse de risque complète avec le guide Ebios Risk Manager: https://cyber.gouv.fr/publications/la-methode-ebios-risk-manager-le-guide
- Analyse rapide avec le Rapid Risk Assessment : https://infosec.mozilla.org/guidelines/risk/rapid_risk_assessment.html
Les bases de la cybersécurité
Le risque est omniprésent, et le minimum c’est déjà d’appliquer les bonnes pratiques. Thomas illustre cette idée avec une analogie simple : « Vous pouvez être cambriolé, mais quand vous quittez votre domicile, vous fermez la porte à clé. »
Zakaria conseille quant à lui de poser une question clé : « Si j’étais un malfaiteur, que ciblerais-je ? L’iPhone ultra sécurisé d’Apple ? Le Google Cloud, protégé par les équipes expertes de Google ? Ou bien le mot de passe d’un employé ? »La réponse est évidente : les attaquants privilégient toujours le maillon le plus faible, souvent l’ordinateur d’un employé. Une machine mal sécurisée, des logiciels installés en trop grand nombre, ou un compte administrateur utilisé pour naviguer sur Internet… Autant de failles facilement exploitables.
Aucun employé n’est infaillible, rappelle Zakaria. « Un lien reçu par les RH avec un CV prometteur, un fichier Excel pour un comptable avec une macro à exécuter… Un jour ou l’autre, tout le monde clique. Nous avons tous des biais cognitifs. »
Il insiste donc sur l’importance de renforcer la sécurité des ordinateurs, en particulier en retirant les droits administrateurs aux employés, même si cela suscite parfois des réticences – notamment chez les développeurs. Et pour ce faire, il conseille de respecter les règles d’« hygiène informatique » proposées par l’ANSSI.
De son côté, Olivier Martin reconnaît qu’il aurait aimé entendre ce conseil plus tôt. Aujourd’hui, ces bonnes pratiques sont des piliers de sa stratégie : sécuriser les ordinateurs dès le début, mettre en place une gestion centralisée du parc informatique, même avec peu d’employés, et adopter un Mobile Device Manager (MDM). « On dort mieux en sachant qu’on peut effacer un ordinateur à distance. »
Enfin, Thomas conclut avec une règle d’or : si une erreur est possible, quelqu’un finira par la faire. Il faut donc rendre compliquées les actions critiques et faciliter les bonnes pratiques. Par exemple, effacer une base de données ne devrait jamais être simple, mais nécessiter plusieurs validations ou des verrous techniques. À l’inverse, la gestion des mots de passe doit être simplifiée : finis les changements mensuels absurdes, place à un gestionnaire de mots de passe sécurisé, centralisé et intuitif, garantissant robustesse et différenciation entre les services.
Ressources :
- Les règles d’hygiene informatique par l’ANSSI : https://cyber.gouv.fr/sites/default/files/2017/01/guide_hygiene_informatique_anssi.pdf
Les attaques par SMS : un risque sous-estimé
Si votre activité repose sur le B2C et que vous utilisez l’authentification par SMS (OTP), vous serez inévitablement exposé à des attaques liées aux SMS.
L’une des techniques par exemple consiste à détourner les frais de surtaxe des SMS. Un opérateur complice déclenche automatiquement l’envoi massif de SMS, souvent en simulant des créations de comptes. La plus-value générée est ensuite partagée entre l’opérateur et le cybercriminel.
Il n’existe pas de solution unique face à ce type de fraude, car les attaquants s’adaptent en permanence. Olivier Martin explique qu’à une époque, bloquer une adresse IP suffisait, mais aujourd’hui, les assaillants utilisent une adresse IP différente à chaque attaque. Chez Virtuo, ils ont dû aller jusqu’à bloquer certains opérateurs pour limiter les abus. Une surveillance continue est essentielle : il faut identifier les anomalies, ajuster les règles de protection et parfois développer des solutions sur-mesure, car les outils standards ne suffisent pas toujours.
L’intelligence artificielle peut également être un atout. En analysant le trafic global et en modélisant des comportements suspects, elle aide à différencier une hausse normale d’activité d’une attaque en cours, car ces fraudes ayant souvent lieu lors des périodes de forte affluence, leur détection peut être complexe dans la haute globale de l’activité.
Si la gestion des SMS est clé pour votre activité, un moteur interne peut être développé. À l’inverse, un petit e-commerçant peut s’appuyer sur une solution existante du marché.
Sauvegarder et tester : la base de la continuité des services
Certaines attaques visent à rendre vos services indisponibles, plongeant l’entreprise dans une situation critique. Par exemple, une plateforme de paris en ligne pourrait être piratée juste avant une finale de Coupe du Monde, les attaquants exigeant alors une rançon pour restaurer le service.
Dans ce contexte, Thomas rappelle qu’au-delà des solutions techniques, il faut avant tout respecter les fondamentaux : dupliquer les plateformes, protéger les systèmes en amont et surtout faire des sauvegardes. Il insiste sur l’importance des bonnes pratiques de stockage des données : « Dans certaines startups, les informations sensibles sont stockées uniquement sur l’ordinateur du CEO, ce qui est une erreur. Même avec un cloud, il est préférable d’avoir une copie sur un autre bucket, dans une autre région ou même chez un autre fournisseur. »
Le second point clé est de tester régulièrement. Sauvegarder ne suffit pas si l’on ne vérifie pas que les restaurations fonctionnent. « Il est possible de faire des tests de crash, mais à minima, il faut s’assurer que les backups sont bien réalisés et tester leur restauration. Si ce travail n’est pas fait, on risque de découvrir trop tard qu’une sauvegarde est inutilisable. »
S’il fallait retenir deux règles essentielles :auvegarder ses données de manière redondante et Testez régulièrement pour garantir la récupération en cas d’incident.
Par où commencer ?
Si ce n’est pas critique pour votre industrie ou que ce n’est pas votre savoir-faire il ne faut pas hésitez à se faire aider. Votre fournisseur cloud, vos avocats, vos prestataires IT ou encore vos investisseurs peuvent vous accompagner. L’audit technique est un bon point de départ, mais il doit être réalisé sur un système déjà structuré et opérationnel.
De toute façon, dans l’écosystème actuel, les demandes d’analyses de risques sont devenues la norme : investisseurs, acheteurs dans un processus de M&A, fournisseurs et clients exigent de plus en plus ces garanties. Investir dans un accompagnement n’est donc jamais une perte.
Conclusion : La cybersécurité est avant tout une responsabilité collective
Pour Zakaria, le rôle d’un responsable cybersécurité est d’atteindre un point où on n’a plus besoin de lui : les équipes infrastructure adoptent les bonnes pratiques, les développeurs respectent les règles de sécurité, et les utilisateurs disposent de machines sécurisées.
Chez Believe, cette philosophie est appliquée de manière stricte, par exemple aucun déploiement sur Google Cloud Provider n’a lieu sans validation par des outils de sécurité : SACT (Security Application Test), un scanner de code et DAST (Dynamic Application Security Testing), qui simule le comportement d’un utilisateur malveillant en interagissant avec les pages dynamiques de l’application
En conclusion la cybersécurité ne peut pas être l’affaire d’un seul service. Comme l’a rappelé Thiebaut Meyer en introduction, et comme l’ont confirmé les experts de la table ronde, elle repose sur l’implication de tous : des équipes tech, du produit et bien sûr du CEO, qui impulse la culture de la sécurité.
Antoine Sternchuss
Dans le même thème
Assurance & Protection Cyber, le pari osé et réussi de Charlotte Couallier avec Dattak
YesWeHack, la startup qui traque vos vulnérabilités pour votre bien, lève 26M€ pour poursuivre son internationalisation
Les chiffres de la cybersécurité 2023-2024 en France
Nos derniers articles
Jeremy Krebs, CTO de Matera, nous livre ses secrets de leadership pour une entreprise en croissance
Orian Roturier : piloter la croissance et l’innovation marketing chez GitGuardian
L’IA dans les processus financiers en 2025 : comment elle va (vraiment) vous faire gagner du temps
Nos prochains événements
L’évolution des métiers du marketing
Marketing 2025 : comment évoluent les métiers et les salaires...
S'inscrire
Quantique et business : anticiper les disruptions de demain
Quels bouleversements le quantique pourrait-il apporter dans nos entreprises ? Des startups,...
S'inscrire