Start-ups et sécurité : conseils pour réussir, entretien avec Arun Chauhan, un professionnel de la sécurité reconnu

Start-ups et sécurité : conseils pour réussir, entretien avec Arun Chauhan, un professionnel de la sécurité reconnu

Photo avec l'aimable autorisation d'Arun Chauhan

Les opinions exprimées par les contributeurs du Digital Journal sont les leurs.

Ceux qui ont pleinement conscience du manque de sécurité offrent une perspective unique. Ces personnes savent ce qui peut arriver si les choses tournent mal. Et elles savent que les choses tourneront mal si des mesures préventives appropriées ne sont pas mises en place. C'est une perspective effrayante, mais dont le monde ne peut se passer. Être préparé au pire des scénarios est très utile après tout. Et l'une des personnes qui encouragent cette préparation est Arun Chauhan, un leader accompli dans le domaine de la sécurité de l'information, avec une expérience dans la cybersécurité militaire.

La carrière la plus récente de M. Chauhan s'est déroulée dans le secteur privé de l'information, où il dirigeait une équipe d'ingénieurs en sécurité dans l'une des plus grandes entreprises technologiques de la Silicon Valley. Il a remarqué un problème flagrant dans un secteur important du monde informatique : les start-ups. Plus précisément, leur cybersécurité, ou plutôt son absence dans les fondations des start-ups. Et M. Chauhan a beaucoup à dire sur cette lacune.

Vous avez une carrière riche en événements, M. Chauhan. Mais vous avez commencé à travailler dans le secteur privé relativement récemment. Quand avez-vous commencé à travailler spécifiquement avec des startups ?

Chauhan : Je travaille pour des start-ups depuis 8 ans maintenant. J'ai été impliqué dans 4 d'entre elles, dans des domaines variés, de la cybersécurité aux voitures connectées. Je les ai vues à différents stades de croissance, et leur culture me fait m'inquiéter pour leur cybersécurité.

C'est assez intéressant. Comment la culture start-up est-elle liée à leur cybersécurité ?

Chauhan : Les gens qui travaillent dans une start-up ont tendance à se concentrer sur leur produit. Ils veulent se précipiter pour sécuriser leur place sur le marché le plus rapidement possible. Ce qui est logique, car ils n'ont pas le temps de faire traîner les choses. Mais la conséquence de cela est le peu de réflexion consacrée à la sécurisation de leur code, leur joyau. Étant donné que la plupart des start-up naissent dans le Cloud et subissent souvent des violations de données, il est inquiétant d'en être témoin. J'ai vu les conséquences du fait que la cybersécurité n'était pas à l'ordre du jour au cours des 3 à 5 premières années. C'est une période incroyablement importante pour la nouvelle entreprise, et l'absence de bases solides entraîne de nombreuses complications par la suite.

Une base solide est une notion universelle. Pourquoi est-il particulièrement important pour les start-ups de disposer de cette base ?

Chauhan : Les start-ups se développent assez rapidement. Par exemple, une start-up peut commencer avec 10 comptes basés sur le cloud. Mais, au bout de trois ans, elle peut avoir plus de 30 comptes. Elle passe de 1 000 instances à 30 000 instances en peu de temps. La gestion et la sécurisation de ces comptes sont faciles si vous disposez d’un inventaire des actifs. Mais sans cela, vous serez toujours en retard lorsque vous tenterez d’empêcher les violations de données. Ce que vous ne voyez pas, vous ne pouvez pas le protéger. Il est impossible pour votre personnel de suivre le rythme sans l’inventaire. Cela augmente la fenêtre d’opportunité pour les attaquants. C’est particulièrement important car il est courant dans les start-ups de ne pas savoir ce qui est important à protéger. L’infrastructure existante, qui n’est plus gérée activement et est exposée à Internet, pourrait être une porte d’entrée facile vers votre réseau pour les cyberattaquants.

Il est donc important de savoir quoi protéger et comment le protéger.

Chauhan : Exactement. L'évaluation des risques joue un rôle important dans ce processus, tout comme la sensibilisation aux problèmes de sécurité. J'ai vu comment la sécurité est gérée par les administrateurs système, qui travaillent sur la sécurité dans le cadre d'une double responsabilité. Le manque de sensibilisation et la culture de l'urgence conduisent à penser que la sécurisation de leurs actifs ne représente pas une grande perte au cours des premières années. Mais ils ne pourraient pas être plus éloignés de la vérité.

À quel moment les start-ups se rendent-elles compte que la sécurité est un problème ? Que font-elles alors ?

Chauhan : En général, une fois que l'entreprise a atteint un certain stade de croissance, elle doit se conformer aux réglementations et aux lois et peut être amenée à payer de lourdes amendes en cas de violation de données. Lorsqu'elle s'en rend compte, elle se rend compte qu'elle n'a pas de bonnes bases en matière de sécurité. La réaction la plus courante est de commencer à mettre en place un plan de sécurité, mais il est trop tard pour empêcher les violations de données. Surtout lorsque l'investissement dans la sécurité intervient après avoir subi une violation de données. C'est l'un des pires scénarios pour une nouvelle entreprise qui cherche à gagner la confiance de ses clients.

Pourquoi est-il trop tard ? On pourrait penser qu’il vaut mieux tard que jamais.

Chauhan : Le problème de l’application ultérieure de mesures de protection est lié au manque de connaissances sur le nombre de systèmes dont dispose l’entreprise et sur les personnes qui les contrôlent. L’absence de mesures de sécurité adéquates au préalable peut signifier que des personnes non autorisées peuvent contrôler certains comptes sans que personne ne s’en aperçoive. Il est également possible que personne ne gère certains systèmes en raison de l’absence d’inventaire des actifs existant et mis à jour dès le départ. Cela conduirait à des logiciels obsolètes, une autre voie de fuite de données.

Laissez-moi vous donner un exemple. Pensez aux systèmes de voix sur IP qui étaient populaires il y a quelque temps. La technologie préférée a changé et un autre moyen de communication a été adopté. Mais le matériel et les logiciels du système IP précédent existent toujours dans le réseau. Sans mesures de sécurité en place, ni même de surveillance du système, il devient le maillon le plus faible. À partir de là, il est facile pour les attaquants d'y accéder et de provoquer le chaos.

Et ce chaos mènerait à des infractions à la réglementation et au paiement d’amendes. Avez-vous constaté ce phénomène dans vos propres interactions professionnelles avec des start-ups ?

Chauhan : Oui, c'est le cas. J'ai vu une entreprise payer des frais importants en termes de pénalités pour des violations de données et une dégradation de l'image de marque qui en a résulté. Cela peut même être pire que la faillite totale de la start-up. C'est pourquoi je m'implique énormément dans l'explication des impacts des vulnérabilités de sécurité et de la manière d'y remédier.

Il semble que beaucoup de ces problèmes proviennent de la culture de l'urgence qui règne dans les premières phases d'une start-up. Comment cela se produit-il, précisément ?

Chauhan : L’idée de la rapidité prime sur la sécurité. La culture de l’urgence implique également la croyance selon laquelle il faut laisser carte blanche aux développeurs afin de favoriser la créativité et de réduire le temps de production. Le résultat est un manque de politiques claires de sécurité du cloud et de moyens pour les mettre en œuvre. Les politiques et les contrôles de sécurité donnent aux développeurs le sentiment d’avoir les mains liées. C’est l’un des principaux risques de sécurité auxquels les start-ups sont confrontées.

Quels sont ces autres risques liés à la sécurité ?

Chauhan : Les erreurs de configuration de sécurité, qui résultent de la priorité donnée à la vitesse plutôt qu’à la sécurité, constituent de loin la cause la plus fréquente des violations de données. Les développeurs ne souhaitant pas passer par de longs processus pour obtenir des autorisations ou se soumettre à des contrôles de sécurité, ils ne mettent tout simplement pas en œuvre cette infrastructure. La plupart d’entre eux ne savent même pas qu’une telle infrastructure peut être mise en place. Il n’est pas rare de trouver des compartiments de stockage exposés qui ont été laissés sans surveillance après leur création. Autrefois, la configuration par défaut de ces compartiments n’était pas sécurisée. Il a fallu quelques violations de données pour que le mode par défaut soit sécurisé par défaut. Cependant, les nouveaux services basés sur le cloud consistent uniquement à ajouter de nouvelles fonctionnalités et sont, une fois de plus, moins sécurisés par défaut.

Il semble que la responsabilité incombe en grande partie aux développeurs. Qu'en pensez-vous ?

Chauhan : Appliquer des correctifs de sécurité dans le cloud est difficile. J'ai constaté que les entreprises souhaitent éviter les temps d'arrêt qui résultent de cette activité. Il s'agit simplement d'un manque de gestion des vulnérabilités, un autre risque majeur. Si elles se contentaient de démarrer avec un bon système de gestion des vulnérabilités, il serait facile d'implémenter des correctifs de sécurité lorsque les actifs augmenteraient. Mais comme les start-ups ne le font pas, les problèmes de temps d'arrêt augmentent, ce qui fait que les entreprises plus grandes ont peur d'implémenter des mises à jour de sécurité. Mais l'inaction se combinerait aux mauvaises configurations de sécurité pour exposer les actifs à Internet, ce qui est à deux doigts d'une violation de données.

Revenons à ces configurations par défaut. Sont-elles largement mises en œuvre par les start-ups ?

Chauhan : Les services cloud ont en fait facilité la mise en œuvre de l’automatisation qui peut contenir et corriger l’exposition résultant d’une mauvaise configuration de sécurité en quelques secondes. C’est une stratégie très efficace. Malheureusement, peu d’investissements sont faits pour l’améliorer, malgré le potentiel de réduction des coûts à long terme. On a également le sentiment que la mise en œuvre de l’automatisation perturberait les opérations commerciales normales, bien qu’elles soient faciles à mettre en œuvre. Les développeurs ont tendance à se concentrer sur l’automatisation qui les aide à augmenter leur vitesse de fonctionnement et leur efficacité, et très peu sur l’automatisation qui augmente la sécurité. Elle existe, et les start-ups doivent commencer à tirer parti de cette ressource utile, en particulier celles qui ne disposent pas d’un personnel de sécurité adéquat.

Il semble que tout mène à un manque de conscience de l’importance de la sécurité.

Chauhan : Pour les développeurs de logiciels, les vulnérabilités de sécurité ne sont pas toujours très pertinentes. Et la plupart des entreprises n’investissent pas dans des pratiques de codage sécurisées. Certaines d’entre elles ne disposent même pas d’équipes d’assurance qualité spécialisées dans l’évaluation de la sécurité du code prêt à être mis en production. C’est une spirale qui a conduit à un manque de connaissances sur la manière de remédier aux vulnérabilités du code. La correction d’un code en production est très compliquée et prend beaucoup de temps. Sans parler de l’impact sur les opérations commerciales. Une fois que l’entreprise tombe dans le piège, il est difficile d’en sortir. Et la sensibilisation permettra de s’assurer qu’elle ne tombe pas en premier lieu.

Il y a beaucoup de choses à prendre en compte. Quels conseils donneriez-vous à ceux qui souhaitent mieux comprendre ces questions ?

Chauhan : Je vous suggère de lire un document créé par la Cloud Security Alliance intitulé « Cloud Security for Startups ». Il détaille bien plus que ce que j’ai évoqué ici et constitue une excellente ressource.

Dans le même ordre d’idées, quels autres défis avez-vous rencontrés pour amener les gens à comprendre ces risques et à œuvrer pour les atténuer ?

Chauhan : Le plus grand défi consiste à faire comprendre aux gens les avantages à long terme d’investir dans la sécurité. La plupart des gens pensent que la sécurité est quelque chose que l’on peut acheter et mettre en œuvre, comme un antivirus ou un pare-feu. Ce n’est pas le cas. Il s’agit d’une infrastructure qui soutient l’entreprise, pas d’un simple outil. Même si une start-up ne veut pas ou ne peut pas investir dans une équipe de sécurité importante, elle devrait au moins disposer d’une équipe plus petite et qualifiée pour mettre en place une base de sécurité dès le départ. L’équipe peut s’agrandir au même rythme que l’entreprise. J’ai rarement vu cela se produire, mais j’espère que cette pratique se répandra.

Les entreprises qui mettent en œuvre des mesures de sécurité uniquement pour se conformer aux réglementations gouvernementales ou tierces constituent un autre défi. La conformité et la sécurité ne sont pas la même chose. La conformité est une liste de contrôle ponctuelle. La sécurité est un processus holistique qui consiste à évaluer et à modifier en permanence un système doté de bonnes bases. Ce n'est pas quelque chose que vous mettez en place et que vous oubliez pour d'autres préoccupations. La sécurité est un investissement à long terme qui apportera de bons résultats même si vous ne le voyez pas toujours.

Comment avez-vous surmonté ces défis ?

Chauhan : J'ai remarqué que communiquer la valeur de la sécurité en termes commerciaux est utile. Cela permet également de démontrer l'impact du manque de sécurité. Cela permet de faire comprendre le message aux décideurs plus que toute autre chose. La mise en œuvre de formations est utile, en particulier pour les développeurs. D'autres mesures simples comme la formation des employés ordinaires aux attaques subtiles comme le phishing constituent également une stratégie importante.

Cela semble représenter beaucoup de travail. Comment envisagez-vous le cheminement vers l’amélioration de la sécurité pour les start-ups ?

Chauhan : En fait, j'ai réalisé que le processus n'est pas aussi difficile ou coûteux qu'on le pense. Faire partie d'une équipe de sécurité devrait vous faire passer pour un facilitateur d'entreprise plutôt que pour un obstacle.

Je crois sincèrement que les start-ups peuvent mettre en place une bonne sécurité dès le départ avec un minimum de coûts, même en utilisant des outils de sécurité open source. Elles doivent juste être prêtes à investir dans le recrutement des bons talents en sécurité et dans la création d'une culture de sécurité. Et tout cela commence par savoir comment s'y prendre. La sensibilisation est la clé pour atteindre de plus hauts sommets.

Voir également

ADNOC is headed by Sultan Al Jaber, who chaired the UN's COP28 climate talks in Dubai last year

Le géant émirati de l'énergie ADNOC propose 12 milliards d'euros à l'allemand Covestro

L'ADNOC est dirigé par le sultan Al Jaber, qui a présidé les négociations sur le …