Start-up : la cybersécurité comme atout séduction

Pour les start-up qui ambitionnent de signer des clients parmi les grands groupes, il ne s’agira plus d’être seulement agiles ou innovantes. L’arrivée de la directive NIS2 va les obliger à faire de la cybersécurité un atout commercial.

 

« Difficile d’être au four et au moulin »… C’est ce que l’on entend régulièrement de la part d’entrepreneurs quand on leur demande ce qu’ils font en matière de cybersécurité. Il s’agit, évidemment, d’une façon polie de dire « pas grand-chose » !

Mais cela pourrait bien changer d’ici le second semestre 2024, lorsque les entreprises désignées « opérateur de service essentiel » (OSE) devront se conformer à la directive européenne NIS 2. Car, bien que celle-ci ne mentionne pas spécifiquement la chaîne d’approvisionnement, certains de ses points essentiels y font référence indirectement. En particulier, l’obligation de procéder à la gestion de leurs risques numériques (ce qui, par définition, intègre la « supply chain »). Ou encore l’obligation de signalement des incidents cyber ayant un impact sur la continuité de leur activité — et qui peuvent évidemment avoir pour origine un sous-traitant !

 

Et le risque est bien réel : des attaques documentées ont démontré que les cybercriminels tentent désormais régulièrement d’infiltrer les sous-traitants les plus vulnérables afin d’atteindre de l’intérieur de grandes entreprises, souvent mieux protégées de l’extérieur.

Ainsi, avec l’arrivée de la directive NIS2, il semble peu probable que les grands donneurs d’ordres acceptent désormais d’être exposés au moindre risque en provenance de leurs sous-traitants et fournisseurs quand eux-mêmes seront responsables devant la loi.

Et compte tenu de l’élargissement important du nombre d’entreprises qui seront désignées OSE (toute entreprise opérant dans l’un des secteurs relevant du champ d’application, comptant plus de 250 personnes, générant un chiffre d’affaires annuel de plus de 50 millions d’euros et/ou affichant un bilan annuel supérieur à 43 millions d’euros), cela fait probablement de très nombreux donneurs d’ordre potentiels et donc encore plus de start-up concernées !

C’est là que ces dernières vont devoir rapidement changer de point de vue sur la cybersécurité (on pourrait presque parler de pivot, pour rester dans leur champ lexical !). À partir de la fin 2024, celles qui seront capables de présenter clairement une vision mature de leur propre cybersécurité seront plus à même d’être retenues par les donneurs d’ordres (soit directement, soit lors des appels d’offres qui pondèreront alors la cybersécurité plus fortement qu’aujourd’hui).

 

Un effort doublement payant

Cela, cependant, n’a pas besoin de n’être qu’une simple contrainte destinée à décrocher le droit de travailler avec les donneurs d’ordre tant convoités. Les start-up qui le feront auront tout intérêt à capitaliser sur cet effort pour en faire un levier de croissance au-delà de la seule exigence contractuelle. Les start-up peuvent (et devraient) utiliser cet effort quasi obligatoire comme un levier pour à la fois atteindre plus largement des marchés ou des clients qui ne sont pas concernés par NIS2, mais aussi, tout simplement, mieux protéger leur business.

Ainsi un bon point départ pour une start-up qui n’aurait rien commencé sur le sujet est le guide de l’ANSSI à destination des PME et TPE.

Cela lui permettra de mettre en place une approche structurée de la cybersécurité qui repose, à travers ses 13 questions, sur les principes fondamentaux d’une bonne hygiène de cybersécurité.

 

Il lui faudra ensuite aller un cran plus loin et documenter ses efforts, afin de pouvoir répondre clairement et formellement aux questionnaires de ses donneurs d’ordre soumis à NIS2. Ça n’a l’air de rien, mais le travail de réflexion et formalisation qui sera mené à ce stade est capital pour la suite.

Il est ensuite probable que, pour s’aligner avec les exigences sous-jacentes aux questionnaires, la start-up devra approfondir certains points, ce qui la fera également progresser.

C’est à ce stade qu’il serait dommage de s’arrêter. L’idée, ici, c’est que la majorité des textes et des standards de cybersécurité reposent sur de grands principes équivalents, qui correspondent à de bonnes pratiques reconnues et qui varient finalement assez peu d’un texte à l’autre. Tout ce qui change, c’est le périmètre considéré.

 

Et ayant fait ce travail pour être conforme aux attentes de son donneur d’ordres, la start-up n’a peut-être plus grand-chose à faire pour tenter de faire certifier un produit, une solution ou un bout de son système d’information. Certes, les procédures peuvent être administrativement longues (ce qui est souvent la bête noire des jeunes entreprises agiles), mais elles peuvent s’appuyer sur des professionnels qui gèreront ce projet pour elles.

Et une telle reconnaissance du niveau de sécurité, qu’il s’agisse d’un produit (par un Visa de Sécurité délivré par l’ANSSI, par exemple) ou d’une partie de son système d’information (ISO27001, PCI-DSS…) sera alors un argument commercial non négligeable dans un monde de plus en plus préoccupé par la capacité des tiers à assurer la protection des données qui leur sont confiées.

Et si tout cela semble irréaliste (une certification ISO27001 n’est tout de même pas un projet de quelques jours !), qu’à cela ne tienne : le travail de formalisation de sa cybersécurité mené jusque-là saura aisément trouver sa voie dans la communication de la start-up, qu’elle soit publique (dans ses fiches produits) ou en privé, lors des rendez-vous de prospection.

 

En définitive, la confiance en ses partenaires est un capital qui va probablement prendre de plus en plus de valeur à l’avenir et les start-ups qui feront l’effort de créer, justifier et présenter clairement leur programme de cybersécurité seront les mieux placées pour gérer ce capital… et gagner des marchés !

 

Tribune rédigée par Sébastien Weber, Country Manager France chez F5

<<< A lire également : Entreprises et mots de passe : de l’urgence de sensibiliser les utilisateurs finaux à la cybersécurité >>>