Conformité ≠ Sécurité : Pourquoi la conformité n’est qu’une « étape 1 » pour les startups

Écrit par Oren Yunger, investisseur en capital-risque à GGV Capital

Lorsqu’il s’agit de respecter les normes de conformité, de nombreuses startups dominent l’alphabet. Du RGPD et du CCPA au SOC 2, ISO27001, PCI-DSS et HIPAA, les entreprises se sont efforcées de respecter les normes de conformité requises pour exploiter leurs activités. Aujourd’hui, chaque fondateur de soins de santé sait que son produit doit être conforme à la norme HIPAA et toute entreprise travaillant dans le domaine de la consommation serait bien au courant du RGPD, par exemple.

Mais une erreur que commettent de nombreuses entreprises à forte croissance est de considérer la conformité comme une expression fourre-tout qui inclut la sécurité. Penser de cette façon pourrait être une erreur coûteuse et douloureuse. En réalité, la conformité signifie qu’une entreprise respecte un ensemble minimum de contrôles. La sécurité, quant à elle, englobe un large éventail de meilleures pratiques et de logiciels qui aident à faire face aux risques associés aux opérations de l’entreprise.

Il est logique que les startups veuillent d’abord s’attaquer à la conformité. La conformité joue un rôle important dans l’expansion géographique de toute entreprise sur les marchés réglementés et dans sa pénétration dans de nouvelles industries comme la finance ou la santé. Ainsi, à bien des égards, la mise en conformité fait partie du kit de mise sur le marché d’une startup. Et en effet, les acheteurs d’entreprise s’attendent à ce que les startups cochent la case de conformité avant de s’inscrire en tant que client, de sorte que les startups s’alignent à juste titre sur les attentes de leurs acheteurs. Il n’est donc pas surprenant que nous ayons assisté à une tendance selon laquelle les startups se conforment dès les premiers jours et donnent souvent la priorité à cette motion plutôt qu’au développement d’une fonctionnalité intéressante ou au lancement d’une nouvelle campagne pour attirer des prospects, par exemple.

La conformité est une étape importante pour une jeune entreprise et qui fait avancer le secteur de la cybersécurité. Cela oblige les fondateurs de startups à mettre des chapeaux de sécurité et à penser à protéger leur entreprise, ainsi que leurs clients. Dans le même temps, la conformité rassure les équipes juridiques et de sécurité de l’acheteur de l’entreprise lorsqu’elles s’engagent avec des fournisseurs émergents. Alors pourquoi la conformité seule ne suffit-elle pas ?

D’abord, conformité ne signifie pas sécurité (même si c’est un pas dans la bonne direction). C’est le plus souvent que les jeunes entreprises sont conformes tout en étant vulnérables dans leur posture de sécurité. Mais à quoi cela ressemble-t-il ? Par exemple, une entreprise de logiciels peut avoir respecté les normes SOC 2 qui exigent que tous les employés installent une protection des terminaux sur leurs appareils, mais il se peut qu’elle ne dispose pas d’un moyen d’obliger les employés à activer et à mettre à jour le logiciel. En outre, l’entreprise peut ne pas disposer d’un outil géré de manière centralisée pour la surveillance et la création de rapports pour voir si des violations de points finaux se sont produites, où, à qui et pourquoi. Et, enfin, l’entreprise peut ne pas avoir l’expertise nécessaire pour répondre et corriger rapidement une violation de données ou une attaque. Ainsi, bien que les normes de conformité soient respectées, plusieurs faux pas de sécurité sont en place. Le résultat final est que les startups peuvent subir des failles de sécurité qui finissent par leur coûter cher. Pour les entreprises de moins de 500 employés, une violation de sécurité moyenne coûte environ 7,7 millions de dollars, selon une étude d’IBM, sans parler des dommages causés à la marque et de la perte de confiance des clients existants et potentiels.

Deuxièmement, un danger imprévu pour les startups est que la conformité peut créer un faux sentiment de sécurité. La réception d’un certificat de conformité d’auditeurs objectifs et d’organisations renommées pourrait montrer que le front de la sécurité est couvert. Et une fois que les startups commencent à gagner du terrain et à recruter des clients haut de gamme, ce sentiment de sécurité grandit. Ils pensent que si la startup avait réussi à acquérir des clients soucieux de la sécurité du F-500, être conforme devrait suffire pour le moment et la startup est probablement sécurisée par association. Lors de la facturation après les transactions d’entreprise, ce sont les attentes de l’acheteur qui poussent les startups à atteindre la conformité SOC 2 ou ISO27001 pour satisfaire le seuil de sécurité de l’entreprise. Mais dans de nombreux cas, les acheteurs d’entreprise ne posent pas de questions sophistiquées ou n’approfondissent pas la compréhension du risque associé à un fournisseur, de sorte que les startups ne sont jamais vraiment appelées à intervenir sur leurs systèmes de sécurité.

La troisième, la conformité ne traite que d’un ensemble défini de données connues. Il ne couvre rien d’inconnu et de nouveau depuis la rédaction de la dernière version des exigences réglementaires. Par exemple, les API sont de plus en plus utilisées, mais les réglementations et les normes de conformité n’ont pas encore rattrapé la tendance. Ainsi, une entreprise de commerce électronique doit être conforme à la norme PCI-DSS pour accepter les paiements par carte de crédit, mais elle peut également tirer parti de plusieurs API présentant des défauts d’authentification ou de logique métier. Lorsque la norme PCI a été écrite, les API n’étaient pas courantes et ne sont donc pas incluses dans la réglementation, mais maintenant, la plupart des entreprises fintech s’appuient fortement sur elles. Ainsi, un commerçant peut être conforme à la norme PCI-DSS, mais exploiter des API non sécurisées, exposant potentiellement les clients à des violations de carte de crédit.

Les startups ne sont pas responsables de la confusion entre conformité et sécurité. Il est difficile pour une entreprise d’être à la fois conforme et sécurisée, et pour les startups avec un budget, un temps ou un savoir-faire en matière de sécurité limités, c’est particulièrement difficile. Alors que dans un monde parfait, les startups seraient à la fois conformes et sécurisées dès le départ, il n’est pas réaliste de s’attendre à ce que les entreprises en démarrage dépensent des millions de dollars pour protéger leur infrastructure de sécurité. Mais il y a certaines choses que les startups peuvent faire pour devenir plus sûres.

L’un des meilleurs moyens pour les startups de commencer à s’attaquer à la sécurité est d’embaucher des services de sécurité tôt. Ce membre de l’équipe peut sembler être quelqu’un que vous pourriez retarder jusqu’à ce que l’entreprise atteigne un effectif ou un chiffre d’affaires important, mais je dirais qu’un responsable de la sécurité est une embauche précoce clé car le travail de cette personne sera de se concentrer entièrement sur l’analyse des menaces, et identifier, déployer et surveiller les pratiques de sécurité. De plus, les startups gagneraient à s’assurer que leurs équipes techniques maîtrisent la sécurité et gardent la sécurité en tête lors de la conception de produits et d’offres.

Une autre tactique que les startups peuvent adopter pour renforcer leur sécurité consiste à déployer les bons outils. La bonne nouvelle est que les startups peuvent le faire sans se ruiner ; De nombreuses sociétés de sécurité proposent des versions open source, gratuites ou relativement abordables de leurs solutions aux entreprises émergentes, notamment Snyk, Auth0, HashiCorp, CrowdStrike et Cloudflare. Un déploiement complet de la sécurité comprendrait des logiciels et des bonnes pratiques pour la gestion des identités et des accès, l’infrastructure, le développement d’applications, la résilience et la gouvernance, mais il est peu probable que la plupart des startups disposent du temps et du budget nécessaires pour déployer tous les piliers d’une infrastructure de sécurité robuste. Heureusement, il existe des ressources telles que Security4Startups qui offrent un cadre gratuit et open source aux startups pour savoir quoi faire en premier. Le guide aide les fondateurs à identifier et à résoudre les problèmes de sécurité les plus courants et les plus importants à chaque étape, en fournissant une liste de solutions d’entrée de gamme comme point de départ solide pour créer un programme de sécurité à long terme. De plus, les outils d’automatisation de la conformité peuvent contribuer à une surveillance continue pour garantir que ces contrôles restent en place.

Il est clair que pour une startup, la conformité est essentielle pour établir la confiance avec les partenaires et les clients. Mais si cette confiance est érodée après un incident de sécurité, il sera quasiment impossible de la regagner. Être sécurisé, non seulement conforme, aidera les startups à porter la confiance à un tout autre niveau et aidera non seulement à dynamiser le marché, mais aussi à s’assurer que leurs produits sont là pour rester. Ainsi, au lieu d’assimiler la conformité à la sécurité, je suggère d’élargir l’équation pour considérer que la conformité ET la sécurité sont égales à la confiance. Et la confiance est synonyme de succès commercial et de longévité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *