Et si la « culture startup », au-delà des clichés, pouvait contribuer positivement à la diffusion de la culture de cybersécurité ? Entre agilité, proximité des collaborateurs et implication de tous dans le projet commun, les éléments qui font la culture startup sont aussi ceux qui contribuent à une bonne hygiène de cybersécurité. Sébastien Weber, Country Director France chez F5, nous livre son analyse.
Qu’est-ce qui définit réellement une startup ? Au-delà des spécificités de chacune, l’on peut malgré tout identifier quelques aspects communs à ces jeunes pousses.
À commencer par une plus grande agilité, bien sûr ! Celle-ci caractérise un mode de fonctionnement où les décisions sont prises en circuit court, et permettent à l’entreprise de mieux s’adapter à son environnement et aux changements du marché — que ce soit dans les demandes des clients (ou leurs modes de consommation) comme à l’arrivée de nouveaux concurrents ou de nouvelles technologies.
A lire aussi : Le rêve américain ? Un nouvel outil pour les start-up
Le pivot, l’arme secrète des startups
C’est d’ailleurs le propre des startups de savoir pivoter : changer radicalement de mission, ou de produit, en réutilisant le travail accompli jusque-là pour adresser un nouveau marché ou fournir un nouveau service.
Parmi les pivots les plus célèbres, celui de Slack, qui a débuté comme… éditeur de jeu vidéo ! Et lorsque ce dernier n’a pas rencontré le succès attendu, la startup a identifié l’outil de communication qu’elle utilisait en interne entre ses bureaux situés aux États-Unis et au Canada, comme une nouvelle opportunité ! Et les exemples sont nombreux : Shopify a démarré comme site de vente de matériel de Snowboarding, Groupon était initialement un site de crowdfunding, ou encore PayPal, qui était initialement un outil de sécurité !
Cette rapidité d’adaptation rappelle le modèle militaire américain OODA (Observe, Orient, Decide, Act). Celui-ci a été initialement pensé par un pilote de chasse et rapidement adopté dans le monde de la cybersécurité et de la gestion des crises. Selon l’US Air Force, lors d’un engagement aérien, c’est celui qui itérera le plus rapidement sur cette boucle qui l’emportera.
Et c’est précisément ce que fait une startup lorsqu’elle observe son marché (identifie un besoin), s’oriente en conséquence (définit son produit ou service), décide (de la meilleure manière de procéder) et passe à l’action (développe l’idée). Là où un grand groupe itérera sur plusieurs mois (voir années !), la startup sera capable de faire plusieurs cycles dans l’année.
Et en matière de cybersécurité, c’est précisément la force du modèle, que d’être capable d’observer l’état de la menace, de s’orienter en conséquence (exposition au risque), de décider des mesures d’atténuation, et de les mettre en œuvre !
Tous concernés
Une autre caractéristique des startups, liée bien sûr aussi à leur petite taille, est le contexte humain : tous les premiers salariés sont totalement motivés par le projet, et tout le monde va dans le même sens. On ne rejoint pas une startup par hasard : on est séduit et motivé par le projet. L’organisation y est généralement très plate, et tout le monde a accès à tout le monde, y compris au fondateur.
Et cela est un atout en matière de sensibilisation. Une organisation ainsi resserrée est plus difficile à abuser. Les tentatives d’arnaque au président auront plus de mal à aboutir, et les inconnus qui tenteraient de venir errer dans le bureau seront plus rapidement interrogés sur la raison de leur présence.
La leçon à retirer pour une entreprise de taille plus importante ? La cybersécurité n’est pas qu’entre les mains du RSSI ! C’est l’affaire de tous. La culture de l’entreprise devrait promouvoir l’initiative individuelle, et en particulier donner aux salariés les moyens de faire part de leur étonnement face à des comportements ou des emails suspects. Elle devrait aussi proposer des sensibilisations particulières à l’intrusion physique dans les locaux, qui peuvent affaiblir considérablement l’efficacité des mesures cyber.
Cet objectif de sensibilisation, cependant, va de pair avec le développement d’une culture d’entreprise plus ouverte, et probablement une organisation plus plate. Deux facteurs qui laissent plus de place à l’initiative individuelle et œuvrent à faire des collaborateurs de véritables parties prenantes du projet global. Hélas, plus la structure est importante, plus cela demandera de vrais efforts en matière RH, et qui devront en prime aller de concert avec la sensibilisation en cybersécurité. Et c’est là un tout autre chantier !
La startup comme lien Cyber – Nation ?
Enfin, le dernier point sur lequel les startups peuvent avoir un impact positif dans la culture de cybersécurité est leur pouvoir d’attraction pour des profils qui ne se retrouvent tout simplement pas dans l’image des grandes structures. Au sein d’une startup, si celle-ci met convenablement l’accent sur sa propre cybersécurité, de tels profils pourront grandir en adoptant de bonnes pratiques, en découvrant toutes les facettes de la cybersécurité (puisqu’ils seront confrontés à l’ensemble des besoins de l’entreprise), et ils pourront peut-être, à terme, faire le choix d’une carrière dans le domaine, et rejoindre un jour des cabinets de conseil ou des plus grands groupes à des positions de cybersécurité. Leur parcours, leur intérêt pour la cyber développé au sein d’un environnement très agile, en feront des experts avec une bonne connaissance des besoins métiers, ou a minima des collaborateurs conscients des risques et de la nécessité pour l’entreprise de se protéger et de l’utilité des procédures et des solutions de sécurité qui sont déployées.