Oren Yunger est un investisseur chez GGV Capital, où il dirige le secteur vertical de la cybersécurité et pilote les investissements dans l’informatique d’entreprise, l’infrastructure de données et les outils de développement. Il était auparavant responsable de la sécurité de l’information dans une entreprise SaaS et une institution financière publique.
Plus de messages de ce contributeur
- Les équipes de vente d’entreprise gagnantes savent comment persuader le chef des objections
- 6 RSSI partagent leurs plans de match pour un monde post-pandémique
Lorsqu’il s’agit de répondre aux normes de conformité, de nombreuses startups dominent l’alphabet. Du GDPR et CCPA au SOC 2, en passant par ISO27001, PCI DSS et HIPAA, les entreprises se sont efforcées de respecter les normes de conformité requises pour exploiter leurs activités.
Aujourd’hui, chaque fondateur du secteur de la santé sait que son produit doit être conforme à la norme HIPAA, et toute entreprise travaillant dans le secteur des consommateurs serait bien consciente du RGPD, par exemple.
Mais une erreur de nombreuses entreprises à forte croissance est de considérer la conformité comme une expression fourre-tout qui inclut la sécurité. Penser que cela pourrait être une erreur coûteuse et douloureuse. En réalité, la conformité signifie qu’une entreprise satisfait à un ensemble minimum de contrôles. La sécurité, quant à elle, englobe un large éventail de bonnes pratiques et de logiciels qui aident à faire face aux risques associés aux opérations de l’entreprise.
Il est logique que les startups veuillent d’abord s’attaquer à la conformité. Être conforme joue un rôle important dans l’expansion géographique de toute entreprise vers les marchés réglementés et dans sa pénétration dans de nouveaux secteurs comme la finance ou la santé. Ainsi, à bien des égards, la mise en conformité fait partie du kit de mise sur le marché d’une startup. Et en effet, les acheteurs d’entreprise s’attendent à ce que les startups vérifient la case de conformité avant de se connecter en tant que client, de sorte que les startups s’alignent à juste titre sur les attentes de leurs acheteurs.
L’une des meilleures façons pour les startups de commencer à s’attaquer à la sécurité est de recruter rapidement des services de sécurité.
Avec tout cela à l’esprit, il n’est pas surprenant que nous ayons assisté à une tendance où les startups se conforment dès les premiers jours et donnent souvent la priorité à cette motion plutôt que de développer une fonctionnalité passionnante ou de lancer une nouvelle campagne pour attirer des prospects, par exemple.
La conformité est une étape importante pour une jeune entreprise et une étape qui fait avancer le secteur de la cybersécurité. Cela oblige les fondateurs de startup à mettre des chapeaux de sécurité et à réfléchir à la protection de leur entreprise, ainsi que de leurs clients. Dans le même temps, la conformité permet aux équipes juridiques et de sécurité de l’acheteur de l’entreprise de s’engager avec des fournisseurs émergents. Alors pourquoi la conformité à elle seule ne suffit-elle pas?
D’abord, la conformité ne signifie pas la sécurité (bien que ce soit un pas dans la bonne direction). Le plus souvent, les jeunes entreprises sont conformes tout en étant vulnérables dans leur posture de sécurité.
À quoi cela ressemble-t-il? Par exemple, une société de logiciels peut avoir satisfait aux normes SOC 2 qui exigent que tous les employés installent une protection des points de terminaison sur leurs appareils, mais elle peut ne pas avoir un moyen de forcer les employés à activer et mettre à jour le logiciel. En outre, l’entreprise peut ne pas disposer d’un outil géré de manière centralisée pour surveiller et signaler si des violations de points de terminaison se sont produites, où, à qui et pourquoi. Et, enfin, l’entreprise n’a peut-être pas l’expertise nécessaire pour réagir et réparer rapidement une violation de données ou une attaque.
Par conséquent, bien que les normes de conformité soient respectées, plusieurs failles de sécurité subsistent. Le résultat final est que les startups peuvent subir des failles de sécurité qui finissent par leur coûter un paquet. Pour les entreprises de moins de 500 employés, la faille de sécurité moyenne coûte environ 7,7 millions de dollars, selon une étude d’IBM, sans parler des dommages à la marque et de la perte de confiance des clients existants et potentiels.
Deuxièmement, un danger imprévu pour les startups est que la conformité peut créer un faux sentiment de sécurité. Recevoir un certificat de conformité de la part d’auditeurs objectifs et d’organisations renommées pourrait donner l’impression que le front de la sécurité est couvert.
Une fois que les startups commencent à gagner du terrain et à recruter des clients haut de gamme, ce sentiment de sécurité se développe, car si la startup parvient à acquérir des clients soucieux de la sécurité du F-500, la conformité doit être suffisante pour le moment et la startup est probablement sécurisée par association. Lors de la facturation après des accords d’entreprise, ce sont les attentes de l’acheteur qui poussent les startups à atteindre la conformité SOC 2 ou ISO27001 pour atteindre le seuil de sécurité de l’entreprise. Mais dans de nombreux cas, les acheteurs d’entreprise ne posent pas de questions sophistiquées ou n’approfondissent pas la compréhension du risque qu’un fournisseur présente, de sorte que les startups ne sont jamais vraiment appelées à travailler sur leurs systèmes de sécurité.
Troisièmement, la conformité ne concerne qu’un ensemble défini de données connues. Il ne couvre rien d’inconnu et de nouveau depuis la rédaction de la dernière version des exigences réglementaires.
Par exemple, les API sont de plus en plus utilisées, mais les réglementations et les normes de conformité n’ont pas encore rattrapé la tendance. Ainsi, une entreprise de commerce électronique doit être conforme à la norme PCI-DSS pour accepter les paiements par carte de crédit, mais elle peut également tirer parti de plusieurs API qui présentent de faibles défauts d’authentification ou de logique métier. Lorsque la norme PCI a été rédigée, les API n’étaient pas courantes, elles ne sont donc pas incluses dans la réglementation, mais maintenant, la plupart des entreprises de technologie financière en dépendent fortement. Ainsi, un commerçant peut être conforme à la norme PCI-DSS, mais utiliser des API non sécurisées, exposant potentiellement les clients à des violations de carte de crédit.
Les startups ne sont pas à blâmer pour la confusion entre conformité et sécurité. Il est difficile pour une entreprise d’être à la fois conforme et sécurisée, et pour les startups avec un budget, un temps ou un savoir-faire en sécurité limités, c’est particulièrement difficile. Dans un monde parfait, les startups seraient à la fois conformes et sécurisées dès le départ; il n’est pas réaliste de s’attendre à ce que les entreprises en démarrage dépensent des millions de dollars pour protéger leur infrastructure de sécurité. Mais il y a certaines choses que les startups peuvent faire pour devenir plus sûres.
L’une des meilleures façons pour les startups de s’attaquer à la sécurité consiste à embaucher tôt dans la sécurité. Ce membre de l’équipe peut sembler un «bon à avoir» que vous pourriez reporter jusqu’à ce que l’entreprise atteigne une étape importante en termes d’effectifs ou de chiffre d’affaires, mais je dirais qu’un responsable de la sécurité est un élément clé de l’embauche précoce, car le travail de cette personne consistera à se concentrer entièrement sur l’analyse des menaces et l’identification, le déploiement et la surveillance des pratiques de sécurité. De plus, les startups gagneraient à s’assurer que leurs équipes techniques maîtrisent la sécurité et gardent la sécurité en tête lors de la conception de produits et d’offres.
Une autre tactique que les startups peuvent adopter pour renforcer leur sécurité consiste à déployer les bons outils. La bonne nouvelle est que les startups peuvent le faire sans se ruiner; de nombreuses sociétés de sécurité proposent des versions open source, gratuites ou relativement abordables de leurs solutions aux entreprises émergentes, notamment Snyk, Auth0, HashiCorp, CrowdStrike et Cloudflare.
Un déploiement complet de la sécurité inclurait des logiciels et des meilleures pratiques pour la gestion des identités et des accès, l’infrastructure, le développement d’applications, la résilience et la gouvernance, mais la plupart des startups ne disposeront probablement pas du temps et du budget nécessaires pour déployer tous les piliers d’une infrastructure de sécurité robuste.
Heureusement, il existe des ressources telles que Security 4 Startups qui offrent un cadre open-source gratuit pour les startups afin de déterminer ce qu’il faut faire en premier. Le guide aide les fondateurs à identifier et à résoudre les défis de sécurité les plus courants et les plus importants à chaque étape, en fournissant une liste de solutions d’entrée de gamme comme un point de départ solide pour la construction d’un programme de sécurité à long terme. En outre, les outils d’automatisation de la conformité peuvent contribuer à une surveillance continue pour garantir que ces contrôles restent en place.
Pour les startups, la conformité est essentielle pour établir la confiance avec les partenaires et les clients. Mais si cette confiance est érodée après un incident de sécurité, il sera quasiment impossible de la retrouver. Être en sécurité, non seulement conforme, aidera les startups à faire passer la confiance à un tout autre niveau et non seulement à stimuler la dynamique du marché, mais aussi à s’assurer que leurs produits sont là pour rester.
Donc, au lieu d’assimiler la conformité à la sécurité, je suggère d’élargir l’équation pour considérer que la conformité et sécurité égale confiance. Et la confiance est synonyme de réussite commerciale et de longévité.