Toutes les entreprises doivent être prudentes en matière de sécurité informatique. Mais pour certaines entités, comme les start-up, les enjeux en cas d’attaques ou de vols de données sont particulièrement importants. Parce que ces entreprises sont jeunes, et parce qu’elles doivent faire leurs preuves et gagner la confiance des utilisateurs, un seul mauvais pas peut nuire à l’ensemble du projet. Disposant de budgets restreints, et de la nécessité de se développer rapidement, les start-up ne mettent pas forcément la sécurité informatique au rang de leurs priorités. Nous avons décidé de proposer dans cet article une liste de recommandations spécifiques aux start-ups concernant leur sécurité informatique.
Initier la sécurité informatique de votre start-up en 3 étapes
Parmi les étapes indispensables à la mise en place de la sécurité informatique pour une start-up, on peut identifier les procédures suivantes :
Se renseigner sur les obligations légales de l’entreprise
Tous les pays ne mettent pas en place la même législation lorsqu’il s’agit de sécurité informatique ou de protection des données. En France, depuis le 25 mai 2018, toutes les entreprises doivent appliquer la loi du RGPD, le règlement général européen sur la protection des données. L’année dernière, ce sont les start-up Fidzup et Teemo qui ont été mises en demeure par la CNIL concernant plusieurs non-conformités liées à la collecte et à la conservation de données personnelles. Bien entendu, les start-up se sont empressées de répondre à la demande de la CNIL.
Ainsi, si vous êtes une start-up en France, il faut savoir que, d’une part, votre système d’information doit être conforme au règlement RGPD, mais qu’il ne faut pas oublier d’autre part de mettre en conformité l’ensemble de vos supports de communication, tel que votre site internet. Vous souhaitez mettre en conformité votre système d’information ? Découvrez les offres Déessi RGPD.
Protéger le matériel de ses employés
Les start-up, probablement davantage que les autres types d’entreprises, possèdent une culture d’entreprise et une culture RH ouvertes, et il n’est pas rare de voir les employés utiliser leurs appareils personnels pour des usages professionnels, ou l’inverse, ou encore voir leurs employés travailler de façon nomade, à la maison, dans d’autres lieux, ou pendant des déplacements.
Ce type de pratique entraîne pour les employés des start-up des problèmes de sécurité informatique spécifiques, avec notamment :
– Une augmentation des risques de perte ou de vol des appareils,
– Une utilisation des appareils avec des réseaux informatiques non protégés,
– Une utilisation d’équipements n’appartenant pas au réseau de l’entreprise ou ne suivant pas les règles de la politique de sécurité de l’entreprise.
C’est pourquoi les start-up doivent mettre en place un certain nombre de procédures pour sécuriser l’usage spécifique de ces appareils, notamment en cas d’utilisation nomade ou BYOD.
Définir des règles et des procédures adaptées
Pour mettre en place une protection informatique adaptée, il est important de définir des procédures spécifiques. Ci-dessous, 6 mesures concrètes pour votre start-up :
Mesure 1 : Mettre en place un audit informatique
Pour toutes les entreprises, mais encore plus pour les start-up, il est donc indispensable de bien connaître tous les éléments qui composent le système d’information. Ceci afin de mieux le contrôler et le maîtriser, notamment dans les situations spécifiques telles que décrites ci-dessus. Un audit informatique est la première étape permettant de définir les composants du système, ainsi que ses vulnérabilités, les risques encourus par l’entreprise, et les solutions possibles.
Mesure 2 : Maîtriser les situations de travail nomade
La start-up doit définir les fonctions, les appareils et les situations qui sont compatibles avec le travail nomade et les risques engendrés par ce type de situation. La politique d’accès aux données de l’entreprise doit également être travaillée en ce sens.
Mesure 3 : Sensibiliser les utilisateurs
C’est également le B-A BA de toute politique de sécurité informatique, mais les start-up doivent absolument sensibiliser leurs utilisateurs aux menaces informatiques et aux bonnes pratiques de sécurité. Les utilisateurs nomades ou utilisateurs du BYOD doivent faire l’objet d’une sensibilisation particulière.
Mesure 4 : Protéger en particulier les équipements nomades
Tous les équipements de l’entreprise doivent bénéficier de protections minimales telles que antivirus, anti-spyware, pare-feux, VPN, ou encore sauvegarde et réplication des données. Pour les équipements nomade, on peut également penser à des mesures de protection particulière telles que des filtres d’écran de confidentialité, des scellés, des verrous ou encore des câbles antivol.
Mesure 5 : Disposer de mesures de protection spécifique pour les utilisateurs qui voyagent
Lors des déplacements professionnels, les utilisateurs sont d’autant plus soumis à des risques de sécurité. Des procédures particulières durant les voyages d’affaires doivent être mises en place. Par exemple, désactiver les connexions inutiles, ne pas laisser les appareils sans surveillance, être méfiant concernant les cadeaux d’affaires (tout particulièrement les clés usb) ou faire contrôler le matériel à son retour. Pour en savoir plus, n’hésitez pas à consulter notre article sur le sujet : https://www.deessi.si/13-bonnes-pratiques-de-securite-informatique-en-voyage-daffaires/
Mesure 6 : Disposer d’une supervision professionnelle des équipements
Parce que la supervision des équipements nomades est plus complexe que celle des équipements traditionnels, elle doit être effectuée par des équipes compétentes, expertes et spécialisées en la matière. Dans son guide sur le nomadisme pour les entreprises, l’ANSSI recommande l’utilisation d’outils spécifiques tels qu’une journalisation des événements et des mesures de détection d’intrusion adaptées. Pour en savoir plus, n’hésitez pas à consulter le document sur le site de l’ANSSI :
https://www.ssi.gouv.fr/uploads/2018/10/guide_nomadisme_anssi_pa_054_v1.pdf
Ainsi, ces conseils, applicables notamment aux start-ups, peuvent également être utiles pour tout type d’entreprise. N’hésitez pas à consulter nos ressources sur le domaine de la sécurité informatique sur notre blog ou à nous contacter pour obtenir des conseils plus personnalisés.