On trouve des millions de conseils sur Internet qui expliquent comment maintenir une start-up à flot. Ces articles attirent généralement l’attention sur les problèmes liés au plan de développement, à la stratégie marketing ou encore à l’attrait d’investissements supplémentaires, mais ils expliquent rarement comment mettre en place un bon système de cybersécurité. Pourtant, si une start-up ne sait pas vraiment quels dangers la menacent, sa réussite pourrait en pâtir. Nous avons décidé d’aborder les erreurs typiques en cybersécurité et, plus important encore, nous allons vous expliquer comment y remédier.
La source du problème
Voici l’histoire type d’une start-up : vous et votre ami avez une idée de génie, vous en parlez à un cercle restreint, vous réunissez quelques personnes motivées et votre équipe de rêve est prête à passer à l’action. C’est comme ça que Pinterest, Airbnb, Twitter, Uber et bien d’autres projets célèbres ont vu le jour.
Pourtant, les problèmes arrivent lorsqu’une start-up passe de l’idée à la construction d’un vrai flux de travail et à l’embauche de personnel supplémentaire. À ce moment-là, le petit groupe de personnes ayant les mêmes aspirations que vous s’étend et devient une équipe d’employés quelconque qui voient la vie différemment et qui ont vécu d’autres expériences. Dans cette équipe, le personnel pourrait aussi avoir une notion très différente de ce que veut dire données confidentielles et protection des informations.
Nous allons vous donner un exemple : un employé considère qu’il serait plus pratique d’écrire le mot de passe d’un service en ligne sur un tableau noir pour que toutes les personnes qui en ont besoin puissent facilement et rapidement le trouver. Un autre membre de l’équipe publie une photo de lui dans les bureaux sur les réseaux sociaux et écrit « Qui écrirait des données confidentielles sur un tableau noir, là où tout le monde peut les voir ? » C’est à cause de ces malentendus que les jeunes start-ups peuvent rencontrer des problèmes de cybersécurité, et ils ne peuvent être résolus qu’en créant une culture d’entreprise de la cybersécurité.
D’autre part, les personnes qui travaillent dans les start-ups sont souvent passionnées et mordues d’aventures. Elles sont rapidement séduites par l’idée, mais peuvent aussi changer d’avis subitement et partir. De plus, les start-ups modernes dépendent souvent de spécialistes en informatique qui ont tendance à passer d’une entreprise à l’autre sur plusieurs années.
La combinaison de ces deux facteurs peut générer un roulement élevé du personnel. Le nombre d’erreurs peut facilement se multiplier dans cette situation, surtout lorsqu’il s’agit de la cybersécurité. Ainsi, une menace informatique peut facilement passer inaperçue alors qu’elle aurait été simple à éviter.
Les erreurs typiques en cybersécurité
Imaginons que vous n’ayez pas remarqué que votre petite start-up soit devenue une entreprise à part entière. Quelles erreurs en cybersécurité avez-vous commis jusqu’à présent ?
Trop de droits d’accès
Souvent, lorsque l’employé d’une start-up doit accéder aux ressources ou aux services de l’entreprise, il obtient immédiatement des droits d’administrateur. La personne qui donne ces droits d’accès pense généralement qu’il est plus simple de tout autoriser d’un coup que de gérer les nouvelles requêtes chaque semaine, sans vraiment prendre en compte les besoins de l’employé et ses responsabilités. Pourtant, plus un employé a accès à des documents, plus le risque augmente. Si vous voulez minimiser le nombre d’incidents informatiques, chaque personne impliquée dans le flux de travail ne devrait avoir accès qu’aux documents dont elle a besoin pour faire son travail.
L’absence de règles pour les systèmes de stockage des données
C’est un problème pour n’importe quelle entreprise mais pour une start-up, à cause du roulement élevé du personnel, tous les documents de travail importants pourraient disparaître d’un jour à l’autre. Il est fort probable qu’ils soient quelque part, mais où… C’est un mystère ! Le stagiaire en développement ou marketing était le seul à le savoir mais il a récemment quitté l’entreprise et ne l’a dit à personne.
Les mots de passe oubliés
Un autre problème que les entreprises rencontrent fréquemment est celui des mots de passe oubliés, que ce soit pour les réseaux sociaux de l’entreprise ou pour tout autre service rarement utilisé. Peut-être qu’un employé a créé le compte Facebook ou LinkedIn de la start-up pour qu’elle se fasse connaître mais n’a pas partagé les informations de connexion avec ses collègues, puis a soudainement changé de travail. Ces identifiants de connexion sont perdus et sûrement irrécupérables.
Les mots de passe partagés
Certaines personnes pensent qu’à cause du roulement élevé du personnel il peut s’avérer utile de partager les comptes. Pourtant, plus il y a d’employés qui connaissent le mot de passe, plus le risque de fuite est élevé à cause de l’hameçonnage, d’une erreur ou d’une attaque malveillante. De plus, cela complique les choses en cas d’incident et d’enquête. Si quelqu’un a pu accéder au compte, les experts pensent que le mot de passe a été intercepté par un malware, veulent vérifier l’ordinateur de l’employé qui y avait accès et découvrent que tout le monde l’utilisait !
Les mots de passe des services Cloud
Voici une autre erreur souvent commise avec les mots de passe : les conserver dans certains fichiers, comme Google Docs, et avoir une mauvaise configuration faisant que n’importe quelle personne ayant le lien peut y accéder. L’avantage de cette solution est que vous pouvez facilement transférer les informations nécessaires aux employés. Il faut simplement regrouper tous les mots de passe dans un même fichier et envoyer le lien. Pourtant, les documents Google peuvent être indexés par les moteurs de recherche. En d’autres termes, le fichier qui contient tous vos mots de passe peut éventuellement tomber entre de mauvaises mains.
L’authentification à deux facteurs est inactive
Certains problèmes qui découlent des mots de passe seraient moins dangereux si les start-ups ne négligeaient pas l’authentification à deux facteurs pour les comptes professionnels. Cette fonction permet de protéger les données importantes contre diverses méthodes de vol, comme l’hameçonnage. D’ailleurs, tous les services financiers, comme Upwork, devraient avoir une protection à deux facteurs.
Quelques conseils universels pour se protéger contre les menaces informatiques
Pour ne pas faire les mêmes erreurs que la plupart des petites entreprises et des start-ups, essayez de suivre ces quelques conseils :
- Lorsque vous devez autoriser l’accès à des ressources ou services, vous devriez suivre le principe de moindre privilège. L’employé doit avoir des droits d’accès minimum, seulement ceux dont il a besoin pour son travail.
- Vous devez exactement savoir où les données importantes de votre start-up sont stockées et qui y a accès. Dès lors, vous pouvez développer des lignes directrices qui s’appliquent lors de l’embauche du personnel, et indiquer clairement quels comptes doivent être accessibles à tous et lesquels doivent être réservés à certains postes.
- Une culture d’entreprise mature de la cybersécurité aide à éviter la plupart des menaces informatiques. Vous pouvez, par exemple, créer un manuel de cybersécurité pour le personnel pour que tout le monde soit au même niveau. Voici un bon exemple pour les nouveaux employés.
- Tous les mots de passe doivent être conservés dans un gestionnaire de mots de passe sûr. Ce programme aide vos employés à ne pas oublier ou perdre les mots de passe, et réduit le risque d’infiltration d’une personne externe. Activez aussi l’authentification à deux facteurs pour les services compatibles.
- Conseillez à vos employés de verrouiller leur ordinateur lorsqu’ils quittent leur bureau. Ils doivent comprendre que n’importe quelle personne tierce peut visiter les installations, qu’il s’agisse d’un livreur, d’un client, d’un consultant ou d’un demandeur d’emploi.
- Envisagez d’installer un antivirus pour protéger tous les dispositifs contre les virus, les chevaux de Troie et tous les autres programmes malveillants.
De nombreuses menaces peuvent être évitées grâce à Kaspersky Small Office Security. Cette solution protège les appareils de vos employés contre les programmes malveillants et les autres menaces informatiques courantes, et inclut un gestionnaire de mots de passe.