On Oz
Start-up, Scale-up, Sec-up ?
13/10/2017

Start-up, Scale-up, Sec-up ?

En ce Mois Européen de la Cybersécurité, 4 grandes actions ont été retenues et la première d’entre elles est « Participez à la sécurité du numérique de votre entreprise ». Vaste programme !
Pour l’occasion, l’ISSA France a décidé de vous raconter une petite histoire sur une problématique qui lui est chère : Le mélange Huile / Eau que forment la sécurité et les startup.

C’est en 2013. Nous avons la conviction chevillée au corps, qu’il faut vite, très vite parler sécurité numérique aux startup. Compte tenu du bulldozer que forme le numérique avec son sillage de plateformes, de services, d’objets et de technologies en tous genres, l’emballement est réel et souvent dénué de toute gestion des risques informationnels et opérationnels.

Nous organisons donc le premier afterwork #SecurityTuesday du genre : « les startup face aux défis de la sécurité numérique. » Où ? Dans le non moins célèbre temple de la start-up, celui-là même qui a vu grandir des champions de la FrenchTech comme Blablacar. J’ai nommé La Cantine.

"C’est une excellente idée » nous lance le maître des lieux et ajoute t-il, « nous organisons des afterwork thématiques en tous genres et c’est toujours plein à craquer. » Silicon Sentier, l’organisateur des lieux, nous explique que 60 startup sont dans la place et que c’est bien souvent autant d’inscrits aux conférences organisées à leur attention.

Pourquoi la sécurité ferait-elle exception ?

Le jour J, outre les fidèles du SecurityTuesday groupés à la cantine pour l’occasion, quelle ne fut pas notre surprise. Deux startup seulement ont répondu à l’appel !

Certes déçus mais pas abattus. Ce n’est pas notre style. Avant de s’alarmer, nous décidons que nous renouvèlerons l’expérience. Après tout, il s’agit peut-être d’un très mauvais alignement des planètes ce jour-là.

Un an plus tard…

Cette fois, l’occasion nous est offerte d’aller parler aux startup de « Startup 42 ». L’accélérateur made in EPITA ne peut qu’être sensible au sujet.

Le résultat, c’est qu’il n’y a pas davantage de succès. Seuls 2 participants sont présents. Obnubilés par le développement de leurs technologies, leur venue n’est mue que par une chose : ils trépignent pour qu’on réponde à un besoin hyperspécifique de sécurité sur les données personnelles qui leur barre la route et qu’ils prennent un peu comme un chewing-gum collé à la semelle de leurs chaussures. Leur manque d’intérêt est réel. Tout ça n’est que contrainte, ennui.

Nous prenons ça comme un réel signal d’alarme. La sécurité n’est vraiment pas accrocheuse.

Au début de l’année 2016, à la soirée de l’AFDEL qui consacrait sa nouvelle identité TechINFrance, j’en profite pour mettre les pieds dans le plat avec quelques dirigeants de startup, inspirateurs, et autres mentors remontés à bloc après un discours inspiré d’un certain Emmanuel Macron …

Au bout de 2 heures, le verdict est sans appel. Quand ce n’est pas du désintérêt, je note quelques pointes de défiance dans les réponses de mes interlocuteurs à la seule évocation de gérer leurs risques numériques. Les plus courtois me disent d’un air confondu qu’ils savent mais que bon, il n’est pas possible de faire tout en même temps. Il faut développer, mettre sur le marché, tester … Pour la sécurité, on verra après, si on a le temps, si on a l’argent, si on trouve quelqu’un de sympa, si on y pense quoi … C’est tellement aléatoire ma bonne dame …

Mais ce qui m’interpelle n’est pas tant le fait qu’ils n’y croient pas, mais surtout le reflet qu’ils renvoient du monde de la sécurité : exagération, en manque d’écoute, professionnels obtus, discours anxiogène, peu de prise en compte de leurs problématiques autres.

L’ISSA France s’est justement constituée pour rompre avec ces démons. Ce genre de récriminations ne nous étonne donc plus, mais les professionnels de la sécurité numérique s’en rendent-ils bien compte, quand ils parlent assez facilement avec les DSI et les RSSI ? Mais quid des dirigeants, des métiers, des fonctions support, des investisseurs ?

 La question qui me taraude aujourd’hui et que j’ose à peine poser :

Aurait-on plus de participants aujourd’hui, ne serait-ce que par pur curiosité après une médiatisation beaucoup plus acerbe ?

Je n’en suis pas certaine, mais essayons de changer de cap !

Il faut rompre avec un certain vassalisme sécuritaire dans nos discours, et changer surtout de va t’en guerre !

Si les acteurs doivent changer d’attitude, nous le devons nous aussi !!

1) Acceptons notre époque et arrêtons nos radotages de vieux c*** du style "c’était mieux avant", alors que nous vivons du numérique et de sa sécurisation. Acceptons que le mal de notre époque soit la cyber attaque pour mieux la combattre, au lieu de s’échiner à dire que ce n’est pas normal. On peut refaire l’histoire cinquante fois, les retours dans le passé pour mieux sensibiliser la société à la sécurité informatique puis numérique sont impossibles, alors changeons de disque.

2) Dans le même ordre d’idées, stop aux discours pessimistes et fatalistes de « looser »!

Pensons-nous franchement que nous donnons envie à nos clients et prospects de se battre quand on leur dit à longueur de temps que "la question n'est pas de se demander si on va se faire attaquer mais quand!" Fions-nous à Sun Tzu. Ça n’est pas la bonne recette pour motiver les troupes. Essayons plutôt d’exacerber l’esprit compétitif et conquérant de nos interlocuteurs, en leur disant qu’on va reprendre la main, et qu’on ne lâchera rien à chaque attaque et que nous serons sur leur talons ;

3) Arrêtons d’être manichéens ! La sécurité numérique n’est après tout qu’un risque parmi tant d’autres à la charge des dirigeants. Il est important de considérer ce risque précis dans la globalité de l’entreprise, sans omettre les autres projets structurants tout aussi importants aux yeux de l’entreprise. Humilité et écoute.

Diane Rambaldini, présidente ISSA France

#ECSM  #SecurityTuesday

Nos autres billets d'humeur...
04/11/2018

La sécurité comme un accélérateur de business

Les systèmes d’authentification modernes simplifient la fusion informatique lors d’un rachat. La nouvelle génération de firewall virtualisés rend possible le déploiement d’appli...

04/11/2018

RSSI : le challenge de mieux anticiper pour moins subir

Le périmètre à sécuriser s’étend au-delà de l’IT et nécessite de travailler avec des partenaires qui connaissent mieux les métiers de l’entreprise. Les SOAR sont de nouveaux log...

04/11/2018

Multi-Cloud : le défi de rester protégé quand les données s’éparpillent

Les données et les applications migrées en Cloud ne bénéficiant plus des remparts physiques des serveurs, les entreprises doivent déployer des règles de sécurité plus élaborées....

04/11/2018

Intelligence artificielle : le nouveau moyen de détecter l’indétectable

Les dispositifs de protection classiques, reposant sur la reconnaissance d’empreintes connues, sont inopérants face aux nouvelles générations de malwares. Grâce à leur moteur de...

04/11/2018

Ransomwares, cryptojacking : les malwares atteignent une efficacité inédite

Les pirates ne frappent plus au hasard mais visent les meilleurs gains et les attaques qui peuvent rester discrètes le plus longtemps possible. Face à la sophistication des mena...

04/11/2018

Fuites de données : comment y faire face ?

Les DSI et les RSSI naviguent en plein brouillard en ce qui concerne la sécurité intérieure, à cause d’un périmètre utilisateur de plus en plus complexe. Fouiner sur les espaces...

04/11/2018

Espionnage : les nouveaux moyens des hackers pour infiltrer les entreprises

Les hackers privilégient désormais l’usage des protocoles et des commandes disponibles dans les systèmes ciblés, plus discrets que l’infection par un malware espion. Ils n’attaq...

04/11/2018

Phishing : vers un ciblage sophistiqué des victimes

Cibler une victime permet de gagner plus et de passer sous les radars des dispositifs de sécurité. Dans ce contexte, les cybercriminels préfèrent s’en prendre aux entreprises pl...

19/01/2018

L’Europe, le nouvel échiquier de la sécurité numérique

L’action cyber sécurité européenne sur un plan opérationnel a longtemps consisté en la tenue d’exercices et de simulations de crise cyber. Aujourd’hui, portée par les politiques...