La cybersécurité : un atout pour les start-ups ?
![Image [INCYBER Voices] Crise cyber : survivre, communiquer, rebondir](https://incyber.org//wp-content/uploads/2024/09/incyber-news-cybersecurite-cybersecurity-data-donnees-5-2024-885x690.jpg)
![Image Cybersécurité : le défi du [passage à l’échelle]](https://incyber.org//wp-content/uploads/2024/09/getty-images-qozmdnkckeo-unsplash-885x690.jpg)
En avril 2024, Julie Landeroin se sent pousser des ailes… Fondatrice de la start-up With A Nudge, une plateforme qui gère des communautés d’anciens collaborateurs pour faciliter les recrutements de leur ex-entreprise et augmenter l’apport d’affaires, elle vient de remporter le concours d’innovation organisé par une très grande banque française ! Elle pense déjà à l’élaboration du « pilote » lorsque survient la question de la cybersécurité qui vient freiner l’élan initial : « C’est seulement en juillet que j’ai reçu un questionnaire sur la cybersécurité. En août, on m’a demandé un PAS, un plan d’assurance sécurité, ainsi que les résultats de mes derniers pen-tests… »
Peu au fait de ce domaine technique, elle lance un appel sur le Slack de la Station F qui héberge sa start-up. C’est Olivier Patole, CEO de Trustable, qui va la guider dans le labyrinthe des exigences de la banque, mais le diagnostic définitif ne pourra être établi qu’en janvier. Un délai excessif aux yeux de l’expert : « La durée du processus de vérification de la maturité cyber peut être létale pour les start-ups parce qu’elles n’ont ni beaucoup de temps ni beaucoup de ressources financières. »
Même satisfaite de l’issue positive du processus, Julie Landeroin s’interroge malgré tout sur sa nécessité : « Compte tenu de la nature de mon projet, je ne m’attendais pas forcément à de telles demandes. Notre outil n’utilise aucune donnée de l’entreprise puisque c’est nous qui constituons la base d’anciens collaborateurs. Nous ne partons pas de fichiers existants et aucun échange de données n’est nécessaire entre le SI de l’entreprise et l’application With A Nudge. »
Le choix du prestataire
Une mésaventure qui a été épargnée à Vincent Dartigues et sa start-up Mon Coach Mobilité qui accompagne les salariés dans leurs transitions professionnelles. Pour développer son application, il avait fait appel à une entreprise au fait des enjeux de cybersécurité puisqu’elle développe des sites pour les banques et des grandes entreprises de la distribution. Ce qui lui a évité des sueurs froides et réduit son « time-to-market » lors du démarchage en 2020 de son premier grand prospect : Défense Mobilité, l’agence pour l’emploi du ministère des Armées. Il se souvient encore de ce premier rendez-vous : « Ils nous ont retenus sous condition que nous puissions respecter les normes très strictes de l’armée en termes de sécurité. Nous avons immédiatement appelé notre fournisseur, qui a pu nous rassurer sur ce point. Cela nous a permis de gagner notre premier client. »
Disposer d’un prestataire au fait de la cybersécurité s’est aussi révélé très utile dans d’autres circonstances. En 2024, la start-up de Vincent Dartigues a été mobilisée pour accompagner un plan de départs volontaires dans la filiale IT d’une grande entreprise. Souvent difficile à vivre pour les salariés, ce type de démarche a suscité une réaction inattendue : l’un des salariés a mis en doute auprès de sa direction la sécurité de l’outil de gestion du plan, alléguant un risque pour la confidentialité des données individuelles collectées.
Contacté, le partenaire de la start-up propose de réunir tous les protagonistes pour éclaircir la situation. « Sur chacun des points soulevés, notre prestataire a pu démontrer l’adéquation entre le niveau de sécurité mis en place et le risque encouru, explique Vincent Dartigues. Le fait qu’il propose dans son activité des audits de cybersécurité a certainement joué un rôle important dans sa capacité à expliquer simplement et à rassurer notre client. La cybersécurité comporte en effet une dimension technique mais aussi psychologique. » Le client de la start-up a malgré tout demandé la réalisation de tests d’intrusion qui ont confirmé un niveau de protection adéquat. Depuis, Vincent Dartigues en a fait son mantra : « Il faut mettre dès le départ la cybersécurité au cœur de la réflexion et privilégier des prestataires qui ont l’habitude de réaliser des audits de cybersécurité. »
Prendre les devants
Un conseil que les start-up devraient se dépêcher de suivre car le risque cyber augmente inexorablement, souligne Romains Deslorieux, vice-président du pôle cybersécurité de Thales : « Les hackers se sont professionnalisés et l’accès aux outils d’attaque s’est considérablement simplifié. Aujourd’hui, il est possible d’acheter des outils et des services d’attaque, par exemple du rançongiciel « as-a-service », ce qui facilite et donc multiplie les attaques. L’intelligence artificielle est également exploitée pour concevoir des robots et des scripts d’attaque, rendant les cyberattaques plus accessibles à des individus ayant peu de connaissances techniques. »
En parallèle, pour contrer ce mouvement, les entreprises ont relevé leurs exigences au diapason de la réglementation. Si l’objectif est louable, Olivier Patole regrette un déploiement trop hétérogène : « Chaque entreprise a été un peu livrée à elle-même. Il y a une exigence d’évaluation de la cybersécurité des tiers mais la méthodologie n’est pas fournie. Il peut y avoir une tendance à faire de la sur-qualité avec des points de contrôle parfois un peu farfelus par rapport à l’usage réel de la solution proposée. »
Un obstacle qui devrait s’atténuer progressivement selon Romain Deslorieux : « Avec DORA (Digital Operational Resilience Act) ou NIS2, la standardisation du contenu des rapports constitue un premier levier d’amélioration. Un second facteur clé réside dans la réalité du terrain : aujourd’hui, toutes les grandes banques font appel à des cabinets de conseil, en particulier aux « Big Four », pour les accompagner dans leur mise en conformité. Ces cabinets développent des méthodologies qui favorisent l’homogénéisation des pratiques. »
À ceux qui déplorent le coût supplémentaire induit par les exigences de NIS2 et rechignent à les mettre en œuvre, Alain Bouillé, délégué général du Cesin, rappelle quelques vérités : « Plus l’entreprise est petite, plus la mise en œuvre des règles de base de sécurité est facile à mettre en œuvre. » Il estime « d’autant moins excusable » de ne pas réaliser les opérations nécessaires « que ces petites entreprises disposent toujours des moyens suffisants quand il s’agit de digitaliser leur process pour être plus performantes [alors] qu’avec un surcoût modeste, la sécurité pourrait être embarquée dès le départ ». Avec des grandes entreprises toujours plus sensibles à la question de la maturité cyber, les PME et les start-up qui auront traité le sujet multiplient leurs chances de décrocher des contrats… tout en réduisant les risques d’attaque.