S’il y a une chose que votre startup technologique devrait retenir de 2025, c’est qu’aucune entreprise n’est trop petite pour être une cible pour les cybercriminels. En fait, les PME sont maintenant des prospects plus attrayants pour les ransomwares que les entreprises legacy, grâce à leurs ressources limitées et à leurs précieuses données clients.

Souvent, les startups manquent des connaissances ou des ressources dont elles ont besoin pour prendre de bonnes décisions dès le début de leurs activités. Nous avons contacté un expert en sécurité informatique qui travaille fréquemment avec des startups technologiques pour obtenir des informations sur ce que les entreprises doivent savoir lorsqu’elles débutent.

Gary Power, COO et Directeur des Services Clients chez Power Consulting(nouvelle fenêtre), possède 25 ans d’expertise dans l’industrie de l’informatique externalisée. Power Consulting travaille en étroite collaboration avec des entreprises de toutes tailles dans toutes les industries, fournissant des services incluant des services informatiques gérés, la planification stratégique informatique, ainsi que des audits et services de cybersécurité.

Nous avons parlé avec Gary pour comprendre où les startups technologiques commettent des erreurs au début de leurs activités.

Votre entreprise n’est pas trop petite pour des mesures de cybersécurité

En utilisant notre Observatoire des fuites de données, Proton a suivi les données d’entreprise fuitées sur le dark web pour comprendre qui les hackers ciblaient et comment les entreprises étaient compromises. Nous avons découvert 794 fuites de données, totalisant plus de 300 millions d’enregistrements exposés, et il est devenu évident que les petites organisations sont de plus en plus à risque.

Votre entreprise peut bénéficier de l’examen de la façon dont et pourquoi d’autres entreprises ont été impactées par des fuites de données. Les informations tirées de l’Observatoire des fuites de données, ainsi que nos recommandations de cybersécurité pour les startups technologiques, peuvent être trouvées dans notre dernier eBook, Les fuites qui ont marqué 2025.

Télécharger l’eBook

Que leur gestion des identifiants ait fait défaut, ou qu’elles n’aient pas utilisé de mesures de protection telles que le chiffrement de bout en bout, il semble que les PME commettent des erreurs cruciales dans leurs pratiques de sécurité. Et si les petites entreprises restent vulnérables aux cybermenaces, cela finira par nuire aux industries et à l’innovation à travers le monde en limitant la croissance des entreprises.

Gary note qu’une partie clé de la protection adéquate de votre entreprise est de changer votre état d’esprit en ce qui concerne les mesures de sécurité que vous employez.

« Au début, les fondateurs posent généralement des questions réactives comme ‘Avons-nous besoin de cela ?’ ou ‘Est-ce excessif pour notre taille ?’ À mesure qu’ils mûrissent, les questions se déplacent vers ‘Qu’est-ce qui nous empêcherait réellement d’être compromis ?’ et ‘Comment évoluer en toute sécurité sans ralentir l’entreprise ?’ »

Au lieu de sauter des étapes à mesure que votre entreprise s’établit, investissez dès le début dans votre cybersécurité. Après tout, comme le dit Gary : « Les fondateurs les plus performants réalisent que la sécurité est un catalyseur, pas un obstacle. »

Les outils legacy ne sont pas automatiquement sécurisés

Lorsqu’il est temps de choisir les outils, tels que les solutions d’e-mail, de drive et de gestionnaire de mots de passe que votre entreprise utilisera, votre choix fait une grande différence. Gary met en garde contre la supposition que les solutions populaires et modernes seront automatiquement l’option la plus sécurisée.

« Le plus grand angle mort est de supposer que la sécurité est ‘implicite’ parce qu’ils utilisent des outils modernes ou des plateformes cloud. Les fondateurs croient souvent que Microsoft 365, Google Workspace ou AWS signifient automatiquement sécurisé. En réalité, la plupart des fuites de données proviennent d’une mauvaise configuration, de faibles contrôles d’identité, d’une mauvaise hygiène d’accès et d’un manque de surveillance — pas de techniques de piratage exotiques. »

Cela peut ne pas sembler positif, mais ça l’est : Il est beaucoup plus difficile de prédire et de prévenir des techniques de piratage sophistiquées que de construire de solides pratiques de gestion de l’identité et de surveillance au sein de votre réseau. Les problèmes que Gary souligne peuvent être abordés en utilisant ce qui suit :

  • Des pratiques de sécurité des applications web approfondies qui vous permettent d’identifier et d’atténuer les menaces potentielles pour votre environnement.
  • Des mesures de gestion de l’identité telles que l’authentification unique (SSO) et l’authentification à deux facteurs (A2F) qui protègent votre réseau d’entreprise tout en rendant plus facile et plus sûr pour les membres de l’équipe d’accéder à votre réseau d’entreprise.
  • La surveillance du dark web est un outil utile qui peut vous informer si certaines de vos données d’entreprise apparaissent sur le dark web, vous permettant d’agir rapidement et d’empêcher une fuite de données.

L’erreur humaine est une menace sérieuse

Peu importe si vos outils sont sécurisés s’ils ne sont pas utilisés de manière sécurisée. L’erreur humaine est en fait l’une des plus grandes menaces de cybersécurité pour votre entreprise. Les surfaces d’attaque augmentent de façon exponentielle grâce à la complexité des réseaux d’entreprise modernes, obligeant les membres de l’équipe à créer des dizaines de comptes avec des mots de passe uniques et à accéder potentiellement à ces comptes depuis leurs appareils personnels.

« Une autre erreur majeure est de sous-estimer le risque humain : l’hameçonnage, la réutilisation des identifiants et les appareils non gérés sont généralement la porte d’entrée. »

Ces risques peuvent être attribués à un manque de sensibilisation à la cybersécurité et à des attentes floues quant à la manière dont ou si votre réseau d’entreprise peut être accédé via les appareils personnels des membres de l’équipe. Heureusement, ils peuvent être traités facilement avec une double approche de politiques et d’éducation :

« Les décisions précoces deviennent des normes permanentes », dit Gary. « Les modèles d’identité, les emplacements des données, l’accès admin et les standards des appareils sont incroyablement difficiles à défaire plus tard — surtout une fois que les clients, les investisseurs et les régulateurs sont impliqués. La dette de sécurité s’accumule tout comme la dette technique. Il est bien moins coûteux et moins perturbateur de mettre en place de bons garde-fous tôt que de moderniser les contrôles après une fuite de données, un échec d’audit ou un refus d’assurance cyber. »

Les fondamentaux de la sécurité sont plus importants que les outils

Les outils ne sont pas la seule considération que les entreprises doivent prendre en compte lorsqu’elles arrivent sur le marché. Votre infrastructure informatique dictera la sécurité avec laquelle les membres de l’équipe peuvent travailler, la qualité avec laquelle vous pouvez repérer les risques, et la rapidité avec laquelle vous pouvez atténuer les problèmes.

Gary explique comment les experts de Power Consulting abordent la configuration de l’infrastructure informatique et de cybersécurité pour les startups. « Nous nous concentrons sur les fondamentaux avant les outils brillants. »

  • Configurer des politiques fortes de gestion de l’identité et des accès, y compris la MFA et le « moindre privilège », ce qui signifie que les gens ne devraient avoir accès qu’aux systèmes dont ils ont besoin.
  • Sécurisez vos points de terminaison, y compris les appareils personnels des employés, dès le premier jour. Un logiciel de gestion des appareils peut vous aider à garder une trace de qui se connecte à votre réseau et où.
  • Utilisez la journalisation et la surveillance centralisées afin que des problèmes comme l’accès non autorisé ou les fuites de comptes ne passent pas inaperçus.
  • Préparez-vous à un événement avec des outils de sauvegarde et de récupération appropriés tels que des sauvegardes immuables (qui ne peuvent pas être modifiées après avoir été créées) ou une protection hors site où les données critiques sont envoyées et stockées loin de votre site commercial principal.

En bâtissant votre entreprise sur des fondamentaux solides, vous investissez finalement dans une entreprise plus sûre pour votre avenir. Le temps que vous passez à construire une infrastructure sécurisée vaut l’argent que vous économiserez et le risque que vous éviterez à long terme.

Prenez le temps de configurer correctement

Gary recommande de se concentrer sur votre architecture d’identité car c’est le domaine ayant le plus grand impact sur la sécurité. Chaque membre de l’équipe a une identité numérique qui lui permet d’accéder aux données et aux outils dont il a besoin dans votre réseau d’entreprise, et bien configurer cela fait toute la différence par la suite.

« Une mauvaise architecture d’identité est la plus difficile à annuler — les comptes partagés, la faible adoption de la MFA et trop d’admins créent un risque à long terme », explique Gary. « L’étalement des données non structurées est un autre problème majeur ; une fois que les données sensibles sont dispersées dans des drives personnels, des boîtes de réception e-mail et des applications SaaS non gérées, reprendre le contrôle est douloureux. Enfin, le manque de documentation et de propriété au début conduit à la confusion et à des angles morts à mesure que les équipes grandissent. »