Pour son premier anniversaire, l’association ISSA France avait pourtant eu une très bonne idée : organiser un débat avec les créateurs de start-up de Silicon Sentier et aborder le sujet de la sécurité. Le risque numérique peut-il vraiment être pris en compte dès la création ? Est-ce même souhaitable lorsque l’important est surtout d’avancer dans le développement ?

Las, la réponse était claire dès les premières minutes de la discussion, considérant le peu de startupers qui avaient fait le déplacement : la sécurité est le cadet de leur souci !

Tout à leur élan créatif, les fondateurs de start-up semblent ainsi très loin de mesurer l’exposition au risque de leur activité. Pourtant le débat a permis d’identifier plusieurs risques auxquels doit faire face l’entreprise en phase de démarrage :

Le risque juridique, d’abord. Parmi les premiers à avoir été abordés, il montre combien les start-up craignent plus le piratage de leurs idées que le piratage informatique ! Pourtant, là aussi, elles ne s’y prennent pas toujours correctement. « Beaucoup de créateurs disent vouloir déposer un brevet rapidement. Mais avant cela ils ne prennent pas le minimum des précautions nécessaires dans leurs relations avec les investisseurs ou les prestataires potentiels » , observe l’avocate Anne-Sophie Schumacher. Pourtant une série de mesures simples pourraient aider à réduire ce risque de manière bien plus pragmatique qu’un dépôt de brevet, qui arrivera de toute façon souvent trop tard :

• Intégrer une clause de confidentialité aux contrats de travail et aux contrats signés par les prestataires.
• Faire systématiquement signer un accord de confidentialité (NDA) aux investisseurs et aux fournisseurs à qui l’on présente les détails du projet.
• S’envoyer au plus tôt par Lettre Recommandée, le descriptif du projet. Et bien sûr ne pas l’ouvrir avant d’en avoir besoin, par exemple pour prouver une antériorité devant un tribunal.

Il n’y a ici rien de très complexe ni de très coûteux, mais encore faut-il y penser ! Et cela peut s’avérer indispensable : l’un des startupers présent a ainsi raconté l’histoire d’une jeune entreprise victime d’un vol de base de données de la part d’un partenaire, et qui a pu avoir gain de cause en justice non pas en prouvant l’intrusion informatique mais grâce à l’accord de confidentialité que ce dernier avait signé initialement.

Le risque d’image, ensuite. Abordé lui aussi très tôt dans le débat, le risque de voir les informations personnelles ou les données bancaires de ses clients dérobés et utilisés par des pirates semble bien identifié par les entrepreneurs. Leur logique : alors qu’un Sony pourra se remettre du vol massif des données personnelles de ses clients, une startup – surtout si elle offre un service grand public – n’y survivra probablement pas. Les créateurs présents reconnaissent donc que dès qu’une start-up commence a avoir un peu de visibilité elle est immédiatement attaquée, notamment pour tenter de dérober les données de paiement de ses clients. Mais il semble que leur seule réponse est encore trop souvent d’espérer passer entre les gouttes. Ou, pour les plus futés, de prendre soin de ne jamais voir les données de paiement en confiant cette tâche à un prestataire spécialisé.

Le risque informatique, enfin. Dernière roue du carrosse, la sécurisation des systèmes d’information à proprement parler n’est pas franchement une priorité au démarrage du projet. Trop chère, jugée inutile ou tout simplement ignorée par manque de connaissance du milieu SSI (vers qui se tourner ? Existe-t-il une liste de bonnes pratiques sécurité simples à mettre en oeuvre pour une startup ? Quels sont les risques, concrètement ?). Pourtant selon le consultant Gérôme Billois, il n’est pas nécessaire d’en faire beaucoup pour que cela paie, plus tard… : « J’ai aidé des entreprises qui sortaient tout juste de la phase start-up et devaient commencer à formaliser leur sécurité. La différence était très nette entre celles qui avaient, dès le départ, placé les petites graines aux bons endroits, et celles qui n’avaient strictement rien fait. Pour ces dernières, l’adaptation a été beaucoup plus rude » .

A défaut de réellement « faire de la sécurité » , on pourrait croire que la veille, au moins, serait un bon point de départ. Connaître les menaces et les risques sur son marché et ses technologies permet d’anticiper les crises, voire les éviter. Mais c’est rarement le cas. « Je travaille dans une société qui édite un logiciel de veille et je peux vous garantir qu’il n’y a aucune startup parmi nos clients » , explique l’un des participants. Certes, le coût d’une telle solution explique peut-être cela, de même que le manque de temps à consacrer à d’autres activités que la course au prochain milestone… Mais il n’empêche qu’en l’absence de veille il sera probablement difficile de voir venir les obstacles sur cette même course au milestone…

Après les constats, les solutions ? La majorité des participants s’accorde sur la nécessité d’une meilleure information en matière de risques et de SSI, à la destination des entrepreneurs. Et ce serait d’ailleurs là un rôle tout trouvé pour les incubateurs, qui fournissent déjà parfois des conseils d’ordre juridique. Mais nous en sommes pourtant encore loin, comme le fait remarquer un participant, non sans ironie : « si les incubateurs communiquaient déjà un peu mieux sur les limites de la sécurité des infrastructures qu’ils proposent à leurs incubés, ça serait déjà un bon début ! »

Bien sûr, il est difficile de blâmer les entrepreneurs de ne pas être des spécialistes de la sécurité : la course à la première version, aux premiers utilisateurs ou au premier tour de financement est suffisamment intense telle quelle. Lorsque, à titre personnel, j’enseigne aux étudiants en dernière année de la spécialisation sécurité de l’EPITA un cours sur la création de startup, l’on peut s’attendre qu’après cinq ans d’un enseignement pointu sur la sécurité ils aient un minimum de bons réflexes en la matière. Ce qui leur manque en revanche c’est peut-être le vernis d’un étudiant en école de commerce, par exemple. A chacun sa spécialité, et à chacun sa recette pour réussir. Mais il est anormal, en revanche, que dans tout l’écosystème entrepreneurial dont la France s’enorgueillit, parmi toutes les aides disponibles et tous les conseils avisés, la SSI ne soit pas mieux représentée.

Il est donc urgent de sensibiliser, d’expliquer les risques et de montrer aux créateurs d’entreprises technologiques les conséquences que peut avoir le fait de négliger la sécurité au démarrage de leur projet… Peut-être même partager les mauvaises expérience. Nous avons de la chance : la tâche est certes primordiale, mais elle est malgré tout plutôt accessible. Qu’attend-on ?

Maintenant que le sujet est lancé, on devrait en entendre à nouveau parler. Ne serait-ce parce que l’ISSA, loin d’être découragée par le faible intérêt des entrepreneurs pour la sécurité, y voit plutôt un bâton de pèlerin à ramasser…