Demander une démo

Les erreurs en cybersécurité que commettent les startups technologiques

Manque de mesures techniques et de compétences, absence de culture du risque... les startups et PME sont les nouvelles cibles des cybercriminels.

Les erreurs en cybersécurité commises par les startups et les PME

Aucune entreprise n’est trop petite pour être la cible de cybercriminels. En réalité, les PME sont désormais des proies plus attractives pour les ransomwares que les grandes entreprises traditionnelles, en raison de leurs ressources limitées et des données clients précieuses qu’elles détiennent. D’après l’assureur professionnel Hiscox, 59 % des PME ont été victimes d’une cyber-attaque en 2025.

Souvent, les startups manquent de connaissances ou de moyens pour prendre les bonnes décisions dès le début de leur activité. Notre partenaires Proton a interrogé Gary Power, directeur des opérations et du service clients chez Power Consulting, un cabinet de conseil en stratégie et audits en cybersécurité basé à New-York.

Votre entreprise n’est jamais trop petite pour se protéger

Grâce à son Observatoire des violations de données, Proton a recensé 794 brèches, totalisant plus de 300 millions d’enregistrements exposés confirmant que les petites organisations sont de plus en plus menacées.

Observatoire des violations de données – Source Proton AG

Que ce soit en raison d’une gestion défaillante des identifiants ou d’un manque de mesures protectrices comme le chiffrement de bout en bout, il apparaît que les PME commettent des erreurs cruciales dans leurs pratiques de sécurité.

Gary Power souligne qu’une partie essentielle de la protection des entreprises réside dans un changement de mentalité concernant les mesures de sécurité mises en place.

« Au début, les fondateurs posent souvent des questions réactives comme ‘Avons-nous vraiment besoin de cela ?’ ou ‘Est-ce excessif pour notre taille ?’ Avec la maturité, les questions évoluent vers ‘Qu’est-ce qui pourrait réellement nous empêcher d’être piratés ?’ et ‘Comment grandir en toute sécurité sans ralentir l’activité ?’ »

Plutôt que de négliger la cybersécurité en attendant que votre entreprise se développe, investissez dès le départ dans votre protection. Comme le dit Gary : « Les fondateurs les plus performants comprennent que la sécurité est un levier, et non un frein. »

Les outils modernes ne sont pas automatiquement sécurisés

Lorsqu’il s’agit de choisir les outils que l’entreprise utilisera (messagerie, stockage, gestion des mots de passe, etc.), le choix a un impact majeur. L’expert en cybersécurité met en garde contre l’idée reçue selon laquelle les solutions modernes ou populaires seraient automatiquement les plus sûres.

« Le plus gros angle mort, c’est de croire que la sécurité est ‘implicite’ parce qu’on utilise des outils modernes ou des plateformes cloud. Les fondateurs pensent souvent que Microsoft 365, Google Workspace ou AWS garantissent la sécurité. En réalité, la plupart des brèches proviennent de mauvaises configurations, de contrôles d’identité faibles, d’une mauvaise hygiène d’accès et d’un manque de surveillance — et non de techniques de piratage sophistiquées. »

Voici quelques bonnes pratiques à mettre en place pour sécuriser ses environnements Cloud :

  • Sécurité des applications web : identifiez et atténuez les menaces potentielles pour votre environnement.
  • Gestion des identités : utilisez l’authentification unique (SSO) et la double authentification (2FA) pour protéger votre réseau tout en facilitant l’accès sécurisé de vos équipes.
  • Surveillance du dark web : cet outil vous alerte si des données de votre entreprise apparaissent sur le dark web, vous permettant d’agir rapidement pour éviter une fuite.

L’erreur humaine, une menace sérieuse pour la sécurité informatique

Il n’est cependant pas suffisant d’avoir les meilleurs outils techniques. En effet, l’erreur humaine est en réalité l’une des plus grandes menaces pour la cybersécurité de votre entreprise. Les surfaces d’attaque se multiplient avec la complexité des réseaux modernes, obligeant les collaborateurs à créer des dizaines de comptes avec des mots de passe uniques, et parfois à y accéder depuis leurs appareils personnels.

« Une autre erreur majeure est de sous-estimer le risque humain : le phishing, la réutilisation de mots de passe et les appareils non gérés sont souvent la porte d’entrée des pirates. »

Ces risques sont souvent liés à un manque de sensibilisation en cybersécurité et à des attentes floues concernant l’accès au réseau de l’entreprise via les appareils personnels. Heureusement, ils peuvent être facilement atténués par une approche combinant politiques et éducation :

  • Formation de tous les collaborateurs pour repérer les tentatives de phishing et autres malwares.
  • Mise en place de politiques : télétravail et BYOD (Bring Your Own Device), intégration des outils IA dans la PSSI, si pertinent pour votre entreprise.
  • Utilisation d’un gestionnaire de mots de passe professionnel pour appliquer vos règles de sécurité et stocker les identifiants sensibles de manière centralisée et sécurisée.

« Les décisions prises tôt deviennent des normes permanentes, » explique Gary Power. « Les modèles d’identité, l’emplacement des données, les accès administrateurs et les standards des appareils sont extrêmement difficiles à modifier plus tard — surtout une fois que clients, investisseurs et régulateurs sont impliqués. La dette de sécurité s’accumule comme la dette technique. Il est bien moins coûteux et perturbant de mettre en place de bonnes pratiques dès le départ que de devoir tout refaire après une brèche, un échec d’audit ou un refus d’assurance cyber. »

Les fondamentaux de la sécurité priment sur les outils

Les outils ne sont pas le seul élément à considérer lors du lancement de votre entreprise. Votre infrastructure IT déterminera la sécurité du travail de vos équipes, votre capacité à détecter les risques et à réagir rapidement en cas de problème.

Pour les startups technologiques, il est nécessaire de se concentrer sur les fondamentaux avant de commencer à dépenser des sommes importants pour des outils pas forcement adaptés à cette étape de développement :

  • Commencez par réaliser un diagnostic à 360° pour évaluer la maturité en cybersécurité de votre entreprise qui vous permettra d’obtenir votre score cyber.
  • Mettez en place une feuille de route cyber via une plateforme vous permettant de suivre l’évolution de votre plan d’action.
  • Mettez en place des politiques strictes de gestion des identités et des accès, incluant la MFA et le principe du « moindre privilège » (chaque personne n’a accès qu’aux systèmes nécessaires).
  • Sécurisez vos terminaux, y compris les appareils personnels des employés, dès le premier jour. Un logiciel de gestion des appareils permet de suivre qui se connecte à votre réseau et depuis où.
  • Centralisez les logs et la surveillance pour détecter rapidement les accès non autorisés ou les compromissions de comptes (i.e. journalisation).
  • Gérez le risque cyber de vos fournisseurs et sous-traitants, responsable d’un tiers des attaques.
  • Préparez-vous aux incidents avec des outils de sauvegarde et de restauration adaptés, comme des sauvegardes immuables (impossibles à modifier après création) ou une protection hors site pour les données critiques (règle des 3-2-1-1-1).

Le temps passé à sécuriser votre infrastructure vous fera économiser de l’argent et éviter des risques à long terme, comme une perte de la valorisation de votre entreprise (- 10 % de perte de valorisation pour les entreprises non cotées dans les 6 mois suivant une attaque informatique, d’après Bessé et Goldstein).

Prenez le temps de bien configurer votre sécurité

Gary Power recommande de se concentrer sur l’architecture d’identité, car c’est le domaine ayant le plus grand impact sur la sécurité. Chaque collaborateur possède une identité numérique qui lui donne accès aux données et outils de l’entreprise, et une bonne configuration fait toute la différence sur le long terme.

« Une mauvaise architecture d’identité est la plus difficile à corriger : comptes partagés, adoption faible de la MFA et trop d’administrateurs créent des risques durables. La prolifération non structurée des données est un autre problème majeur : une fois que des données sensibles sont dispersées sur des disques personnels, des boîtes mail ou des applications SaaS non gérées, il est très difficile de reprendre le contrôle. Enfin, le manque de documentation et de responsabilité dès le début entraîne confusion et angles morts à mesure que les équipes grandissent. »

Implanter une culture du risque au sein de l’entreprise

La Cybersécurité reste trop souvent perçue par les dirigeants comme un risque technologique, alors que c’est également un risque stratégique, business et opérationnel.

“La Cybersécurité reste trop souvent perçue par les dirigeants comme un risque technologique, alors que c’est un risque stratégique, business et opérationnel. Implanter une culture du risque au sein des organisations est devenu essentiel” nous dit l’experte en cybersécurité Chloé Viletier.

Chez OFFMYDATA, nous pouvons vous accompagner dans un premier diagnostic cyber adapté à votre contexte et votre taille d’entreprise. Nos RSSI externalisés pourront également intervenir de manière ponctuelle ou régulière pour former et sensibiliser vos collaborateurs ou auditer vos systèmes.

CONTACTEZ-NOUS

Retrouvez l’entretien de Gary Power sur le blog de Proton.
Source des images – Proton

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

APPROFONDIR

cybersécurité des PME & ETI