On Oz
Start-up, Scale-up, Sec-up ?
13/10/2017

Start-up, Scale-up, Sec-up ?

En ce Mois Européen de la Cybersécurité, 4 grandes actions ont été retenues et la première d’entre elles est « Participez à la sécurité du numérique de votre entreprise ». Vaste programme !
Pour l’occasion, l’ISSA France a décidé de vous raconter une petite histoire sur une problématique qui lui est chère : Le mélange Huile / Eau que forment la sécurité et les startup.

C’est en 2013. Nous avons la conviction chevillée au corps, qu’il faut vite, très vite parler sécurité numérique aux startup. Compte tenu du bulldozer que forme le numérique avec son sillage de plateformes, de services, d’objets et de technologies en tous genres, l’emballement est réel et souvent dénué de toute gestion des risques informationnels et opérationnels.

Nous organisons donc le premier afterwork #SecurityTuesday du genre : « les startup face aux défis de la sécurité numérique. » Où ? Dans le non moins célèbre temple de la start-up, celui-là même qui a vu grandir des champions de la FrenchTech comme Blablacar. J’ai nommé La Cantine.

"C’est une excellente idée » nous lance le maître des lieux et ajoute t-il, « nous organisons des afterwork thématiques en tous genres et c’est toujours plein à craquer. » Silicon Sentier, l’organisateur des lieux, nous explique que 60 startup sont dans la place et que c’est bien souvent autant d’inscrits aux conférences organisées à leur attention.

Pourquoi la sécurité ferait-elle exception ?

Le jour J, outre les fidèles du SecurityTuesday groupés à la cantine pour l’occasion, quelle ne fut pas notre surprise. Deux startup seulement ont répondu à l’appel !

Certes déçus mais pas abattus. Ce n’est pas notre style. Avant de s’alarmer, nous décidons que nous renouvèlerons l’expérience. Après tout, il s’agit peut-être d’un très mauvais alignement des planètes ce jour-là.

Un an plus tard…

Cette fois, l’occasion nous est offerte d’aller parler aux startup de « Startup 42 ». L’accélérateur made in EPITA ne peut qu’être sensible au sujet.

Le résultat, c’est qu’il n’y a pas davantage de succès. Seuls 2 participants sont présents. Obnubilés par le développement de leurs technologies, leur venue n’est mue que par une chose : ils trépignent pour qu’on réponde à un besoin hyperspécifique de sécurité sur les données personnelles qui leur barre la route et qu’ils prennent un peu comme un chewing-gum collé à la semelle de leurs chaussures. Leur manque d’intérêt est réel. Tout ça n’est que contrainte, ennui.

Nous prenons ça comme un réel signal d’alarme. La sécurité n’est vraiment pas accrocheuse.

Au début de l’année 2016, à la soirée de l’AFDEL qui consacrait sa nouvelle identité TechINFrance, j’en profite pour mettre les pieds dans le plat avec quelques dirigeants de startup, inspirateurs, et autres mentors remontés à bloc après un discours inspiré d’un certain Emmanuel Macron …

Au bout de 2 heures, le verdict est sans appel. Quand ce n’est pas du désintérêt, je note quelques pointes de défiance dans les réponses de mes interlocuteurs à la seule évocation de gérer leurs risques numériques. Les plus courtois me disent d’un air confondu qu’ils savent mais que bon, il n’est pas possible de faire tout en même temps. Il faut développer, mettre sur le marché, tester … Pour la sécurité, on verra après, si on a le temps, si on a l’argent, si on trouve quelqu’un de sympa, si on y pense quoi … C’est tellement aléatoire ma bonne dame …

Mais ce qui m’interpelle n’est pas tant le fait qu’ils n’y croient pas, mais surtout le reflet qu’ils renvoient du monde de la sécurité : exagération, en manque d’écoute, professionnels obtus, discours anxiogène, peu de prise en compte de leurs problématiques autres.

L’ISSA France s’est justement constituée pour rompre avec ces démons. Ce genre de récriminations ne nous étonne donc plus, mais les professionnels de la sécurité numérique s’en rendent-ils bien compte, quand ils parlent assez facilement avec les DSI et les RSSI ? Mais quid des dirigeants, des métiers, des fonctions support, des investisseurs ?

 La question qui me taraude aujourd’hui et que j’ose à peine poser :

Aurait-on plus de participants aujourd’hui, ne serait-ce que par pur curiosité après une médiatisation beaucoup plus acerbe ?

Je n’en suis pas certaine, mais essayons de changer de cap !

Il faut rompre avec un certain vassalisme sécuritaire dans nos discours, et changer surtout de va t’en guerre !

Si les acteurs doivent changer d’attitude, nous le devons nous aussi !!

1) Acceptons notre époque et arrêtons nos radotages de vieux c*** du style "c’était mieux avant", alors que nous vivons du numérique et de sa sécurisation. Acceptons que le mal de notre époque soit la cyber attaque pour mieux la combattre, au lieu de s’échiner à dire que ce n’est pas normal. On peut refaire l’histoire cinquante fois, les retours dans le passé pour mieux sensibiliser la société à la sécurité informatique puis numérique sont impossibles, alors changeons de disque.

2) Dans le même ordre d’idées, stop aux discours pessimistes et fatalistes de « looser »!

Pensons-nous franchement que nous donnons envie à nos clients et prospects de se battre quand on leur dit à longueur de temps que "la question n'est pas de se demander si on va se faire attaquer mais quand!" Fions-nous à Sun Tzu. Ça n’est pas la bonne recette pour motiver les troupes. Essayons plutôt d’exacerber l’esprit compétitif et conquérant de nos interlocuteurs, en leur disant qu’on va reprendre la main, et qu’on ne lâchera rien à chaque attaque et que nous serons sur leur talons ;

3) Arrêtons d’être manichéens ! La sécurité numérique n’est après tout qu’un risque parmi tant d’autres à la charge des dirigeants. Il est important de considérer ce risque précis dans la globalité de l’entreprise, sans omettre les autres projets structurants tout aussi importants aux yeux de l’entreprise. Humilité et écoute.

Diane Rambaldini, présidente ISSA France

#ECSM  #SecurityTuesday

Nos autres billets d'humeur...
19/01/2018

L’Europe, le nouvel échiquier de la sécurité numérique

L’action cyber sécurité européenne sur un plan opérationnel a longtemps consisté en la tenue d’exercices et de simulations de crise cyber. Aujourd’hui, portée par les politiques...

18/01/2018

Comment l’acceptation et la normalisation du risque cyber ont conduit à une mutation opérationnelle à tous les échelons ?

S’il est indéniable que les trois dernières années ont contribué à réveiller les consciences des médias, des entreprises et commencé à interpeller le grand public sur toutes les...

17/01/2018

Du collaborateur à l’individu… Comment la façon de sensibiliser et de former à la sécurité numérique a complètement muté ?

Il y a encore une dizaine d’années, former ses collaborateurs à la cybersécurité, revenait pour l’entreprise à faire une présentation Powerpoint des normes ISO 27001 et 27002. C...

05/10/2017

Le Top management et les administrateurs : Je t’aime moi non plus

> La protection du patrimoine informationnel d’une entreprise dépend largement du facteur humain bien plus que de potentielles défaillances technologiques. > D’origine acciden...

05/10/2017

Portrait-robot du cybercriminel dans le deep web

> Le renseignement impose de connaître les individus, les groupes, leurs relations, leurs connaissance et leurs objectifs et cibles. > Le niveau 0 regroupe les vantards ininté...

05/10/2017

Comment gagner du temps au quotidien ?

> L’automatisation grâce à des logiciels autonomes permet un traitement de données, en continu, sans erreur de traitement. > Elle permet de gagner du temps et de libérer des t...

05/10/2017

La sensibilisation par l’exemple : CQFD

> L’ANSSI a réalisé un guide de règles de sécurité, à l’attention des PME, fait en partenariat avec la CPME. > La Hack Academy, le MOOC #SecNumacadémie sont des exemples de se...

05/10/2017

L'Internet de demain, un monde d'applications ?

> Qu’il s’agisse de se connecter à sa banque en ligne ou de faire des achats sur Internet, l’accès aux applications et aux données confidentielles est aujourd’hui indispensable...