Comment les startup veillent (ou pas) sur la sécurité des données personnelles

The Pilot : les oreillettes qui traduisent vos conversations en temps réel
22 mai 2016
Touch ID bientôt utilisé sur les MacBook?
22 mai 2016

Comment les startup veillent (ou pas) sur la sécurité des données personnelles

Facebook n’est pas vraiment une « start-up » et pourtant, en mars dernier, un « hacker » a pu prendre le contrôle des… 1,5 milliard de comptes d’utilisateurs du réseau social. En fait, ce hacker était un chercheur en cyber sécurité indien, qui a signalé à Facebook une faille permettant de changer le mot de passe des comptes, et qui a été rémunéré 15.000 dollars par l’entreprise pour son geste (l’entreprisepropose également un programme de bug bounty).

Les épisodes de ce genre sont souvent passés sous silence, les entreprises ne souhaitant guère se vanter de ces mésaventures. Pourtant, les dégâts peuvent être considérables. Selon le CSIS (Center for strategic ans international studies), le coût total de la cybercriminalité s’est élevé à 327 milliards de dollars dans le monde en 2014, dont 110 milliards de dollars rien que pour le vol des données personnelles. Dans ce dernier cas, le coût n’est pas seulement financier, comme peuvent en témoigner les 32 millions d’utilisateurs du site Ashley Madison, spécialisé dans les rencontres extra-conjugales, qui ont découvert avec effroi que leurs coordonnées avait été piratées et mises en ligne sur un site de délation.

Bien entendu, les PME et les start-up ne sont pas à l’abri de ces incidents, bien au contraire : selon une étude de l’institut Next Content, 51% des PME françaises ont déjà subi une attaque informatique, et 33% ont été attaquées deux fois et plus.

« La sécurité, pour les start-up, ce n’est pas « hype », pas « Licorne Friendly »

Les start-up sont-elles plus fragiles ou négligentes que d’autres sur ce plan ? Pour le responsable sécurité d’un opérateur télécom, qui ne souhaite pas être cité, « la sécurité, pour les start-up, ce n’est pas « hype » et pas « Licorne Friendly »… En dehors de celles qui ont de vrais secrets à protéger, (données financières, jeux vidéos, biotech…), la sécurité n’est pas leur priorité. » Un constat que tempère Matthieu Grall, chef du service « sécurité informatique » à la CNIL : « au niveau des start up, on voit de tout, et tout dépend de leur culture. Certaines sont conscientes des menaces, comme les opérateurs d’infrastructures vitales. Mais d’autres n’ont même pas entendu parler de la loi Informatique et Liberté ! »

Concrètement, comment les start-up s’organisent-elles pour garantir la sécurité informatique de leurs données-clients ?

« Chez nous, la sécurité est assurée à trois niveaux, explique Hugo Sallé de Chou, cofondateur de Pumpkin, une application qui permet de transférer de l’argent à des amis : d’abord, les infos relatives à la carte bancaire sont cryptées, et protégées car un code « token », ces prestations étant gérées par un partenaire spécialisé dans la sécurité, Payline. Ensuite, nos serveurs sont sécurisés comme des « forteresses », et sont régulièrement vérifiés par des audits de sécurité SysDream. Enfin, bien entendu, nous disposons aussi du dispositif 3D Secure, qui sécurise la transaction via un mot de passe à usage unique envoyé sur le smartphone pour finaliser la transaction. »

« Attention au « maillon faible »

Anaxago est une start-up… qui aide les start-up à trouver des investisseurs. Là encore, la question des données financières et personnelles est centrale. « Nous disposons d’un certificat SSL sur notre site, explique Joachim Dupont, président d’Anaxago ». Les données sont stockées sur un serveur dédié, et nous avons mis en place un « mix » de procédures  internes (contrats de travail avec clauses confidentialité, accès dédiés en fonction des profils : stage, CDD, CDI…) et de procédures informatique (architecture serveur, certificats SSL, cryptage des données). Et nous mettons en place actuellement un système de paiement qui sera géré par un partenaire financier, Lemonway,  agréé par l’ACPR (Autorité de contrôle financière et de résolution). Nous avons aussi effectué une procédure d’agrément auprès de l’AMF (Autorité des marchés financiers). A ce jour, nous n’avons connu aucun pépin ».

Ses conseils : « attention au « maillon faible » dans le process, les problèmes viennent en général de là. Ensuite, il faut bien définir le chemin critique d’accès aux données, pour le sécuriser. »

La garantie ultime peut être fournie par les différentes procédures de certification : « la plus difficile à obtenir est l’ISO 27001, peu réaliste pour des entreprises de moins de 50 personnes, explique Mathieu Grall, de la CNIL. Mais il existe également des certifications de produits, dont le site de l’Ansi propose une liste, des certifications de compétences de personnes, comme « Lead Auditor », et des certifications portant sur l’organisation et le management, comme le CISM (Certified Information Security Manager). Enfin, concernant la sécurité des données personnelles, la CNIL propose des audits « informatique et liberté », et a développé des labels, comme le label « gouvernance ». Un label « liberté et sécurité », et quelque sorte.

(source)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *