La gestion des risques de cybersécurité est difficile pour les entreprises de toute taille. Mais cela peut être particulièrement difficile si vous êtes une startup avec des ressources humaines et financières limitées – un fait que je connais bien grâce à mon expérience en matière de supervision de la cybersécurité pour une startup dans le domaine de la gestion des coûts du cloud.
Heureusement, trouver des moyens de étirer les budgets de cybersécurité Est faisable. Cela commence par tirer parti de ce que j’aime appeler les « fruits à portée de main » : des mesures que les entreprises peuvent prendre pour améliorer la sécurité, à faible coût mais à fort impact.
Voici un aperçu de telles pratiques et des raisons pour lesquelles les startups soucieuses des coûts devraient les adopter comme moyen de réduire les risques sans freiner la croissance.
Pourquoi les startups ont du mal avec la cybersécurité
Avant de plonger dans les mesures rentables que les startups peuvent prendre pour réduire les risques de sécurité, expliquons pourquoi les startups ont tendance à ne pas avoir un excellent bilan en matière de cybersécurité.
La raison principale est simple : la plupart des startups sont en mode croissance, et il peut être trop tentant de laisser la sécurité passer au second plan par rapport à la croissance. Dans leur empressement à commercialiser des produits et à générer ou augmenter leurs revenus, les startups font trop souvent de la sécurité une réflexion après coup.
En plus de cela, la plupart des startups manquent tout simplement de beaucoup d’argent et de personnel à consacrer. défis de sécurité. Cela signifie que, même s’ils prennent la sécurité au sérieux, ils n’ont pas toujours les moyens de mettre en œuvre des pratiques de sécurité aussi rigoureuses qu’ils le souhaiteraient.
Obtenez le meilleur rapport qualité-prix en matière de cybersécurité
Mais ce n’est pas parce que la sécurité constitue un défi pour les startups qu’elles doivent s’exposer à des risques excessifs. Même les nouvelles entreprises disposant de ressources très limitées peuvent tirer parti de pratiques telles que les suivantes pour améliorer la sécurité à peu ou pas de frais.
1. Effectuer une formation de sensibilisation à la sécurité
Hameçonnage reste l’un des types de menaces de cybersécurité les plus répandus, avec plus de 90 % des entreprises confrontées à une attaque de phishing en 2023.
La bonne nouvelle est que la formation des employés à la sensibilisation à la sécurité est efficace pour réduire le risque qu’une entreprise soit victime d’attaques de phishing. Ce n’est pas non plus très coûteux, en particulier pour les petites entreprises où la formation peut prendre la forme de courtes présentations par le personnel de sécurité, et les tests peuvent impliquer l’envoi de messages de phishing simulés aux employés pour voir qui clique sur du contenu malveillant.
Il s’agit d’une pratique que j’ai mise en œuvre dans ma startup, et je suis heureux de dire qu’après quelques cycles de formation, nous avons atteint un taux de clics de zéro pour cent pour le contenu de phishing simulé, ce qui signifie que tous nos employés démontrent pleinement le sensibilisation à la sécurité que notre formation a été conçue pour inculquer.
2. Activez les modules complémentaires de sécurité gratuits
De nombreuses applications et services offrent des fonctionnalités de sécurité que vous pouvez activer gratuitement pour améliorer la protection. Par exemple, la plupart des fournisseurs de cloud proposent des fonctionnalités facultatives d’authentification multifacteur (MFA) sans frais supplémentaires. Vous pourrez peut-être également activer des fonctionnalités telles que le cryptage des données par défaut ou la désactivation de l’accès public aux ressources, sauf si vous le configurez explicitement.
Tirer parti de ces modules complémentaires est un moyen simple et essentiellement gratuit d’améliorer la sécurité. Votre seul coût est le temps minimal passé à activer les fonctionnalités, et ce petit investissement en temps en vaut la peine s’il améliore votre sécurité globale.
3. Patch, patch, patch
Plus de 50 % des cyberattaques réussies sont dues à une simple faille : des logiciels non corrigés, c’est-à-dire des applications que les entreprises n’ont pas réussi à maintenir à jour.
Travaillant dans une startup, je sais à quel point les équipes informatiques peuvent être débordées et je comprends pourquoi elles ne donnent parfois pas la priorité aux correctifs. Mais étant donné que les correctifs de nombreuses applications peuvent être configurés pour s’installer automatiquement, il n’y a vraiment aucune bonne raison d’éviter l’application de correctifs.
Il est également important d’établir un processus d’application des correctifs qui permet à votre équipe d’examiner et de tester les correctifs avant de les diffuser à l’aide d’outils automatisés. Cependant, là encore, le peu de temps investi dans la mise en place et le maintien d’une routine de correctifs rapportera d’énormes dividendes grâce à la protection supplémentaire qu’elle offre.
4. Tagguer les ressources
L’étiquetage des ressources, c’est-à-dire l’application d’étiquettes pour identifier ce que fait la ressource, qui l’a créée, etc., est une bonne pratique de base pour contrôler les coûts, car elle permet de déterminer plus facilement si vous payez pour des ressources dont vous n’avez pas besoin.
Mais le marquage joue également un rôle important en matière de sécurité. Lorsque vos ressources sont correctement étiquetées, vous pouvez rapidement déterminer à qui elles appartiennent au cas où vous deviez apporter une modification en réponse à un risque de sécurité. Ainsi, le marquage offre un moyen peu coûteux de réduire Temps moyen pour remédier (MTTR), une mesure clé de l’efficacité de la cybersécurité.
5. Activer RBAC
Le contrôle d’accès basé sur les rôles, ou RBAC, est une autre fonctionnalité de la plupart des applications ou plates-formes logicielles que vous pouvez activer gratuitement mais que les startups négligent trop souvent. Au lieu d’accorder à chaque utilisateur un niveau d’accès adapté à ses rôles, basé sur le principe du moindre privilège, les startups ont tendance à faire des choses comme faire de tout le monde un administrateur, car c’est plus rapide et plus simple.
Mais encore une fois, la quantité d’efforts requis pour faire la chose la plus sécurisée – activer RBAC et mettre en place des contrôles d’accès granulaires pour chaque utilisateur – est bien inférieure au temps et au coût d’une violation déclenchée par des comptes d’utilisateurs sur-accrédités. Quelle que soit la taille de votre entreprise, profitez du RBAC.
6. Rationalisez la gestion des mots de passe
Le moyen idéal de gérer les mots de passe consiste à mettre en œuvre une solution d’authentification unique (SSO) qui permet aux employés de se connecter à toutes vos applications et services avec une seule connexion, réduisant ainsi la surface d’attaque des informations d’identification que vous devez protéger. Mais les services SSO peuvent être coûteux et les entreprises peuvent avoir besoin de ressources de développement pour intégrer ces services à leurs applications. Pour ces deux raisons, le SSO n’est pas toujours une solution viable pour les startups.
Il existe cependant une autre meilleure option : les gestionnaires de mots de passe. Les gestionnaires de mots de passe génèrent automatiquement des mots de passe pour des applications individuelles et les déverrouillent à l’aide d’un mot de passe principal saisi par les employés. La plupart des gestionnaires de mots de passe coûtent un peu d’argent à utiliser, mais ils sont moins chers que les services SSO et ne nécessitent pas l’assistance d’un développeur.
Le point ici est que même si vous disposez d’un budget limité, vous devez prendre des mesures pour atténuer le risque que des attaquants abusent des informations de connexion – si ce n’est via SSO, du moins via un gestionnaire de mots de passe.
Conclusion : faire plus avec moins
Dans un monde parfait, chaque startup disposerait de ressources illimitées pour investir dans la sécurité. Mais dans le monde réel, peu de startups ont ce luxe, c’est pourquoi elles doivent se concentrer sur les étapes qui offrent les plus grands avantages au moindre coût.
En adoptant cette approche, les petites entreprises minimisent non seulement leurs risques, mais contribuent également à protéger leurs perspectives de croissance à long terme. Après tout, la capacité de démontrer le respect des meilleures pratiques en matière de cybersécurité est souvent importante lorsqu’on dialogue avec des investisseurs et des entreprises clientes, ainsi que pour obtenir les certifications nécessaires à la commercialisation de produits.
Cela signifie qu’investir dans des pratiques de cybersécurité rentables n’est pas seulement une bonne chose du point de vue de la sécurité, c’est aussi une démarche intelligente pour une startup.
Johnny Fitrakis est le RSSI de Vega Cloud.
Articles Liés: