Pourquoi les entreprises émergentes se soucient peu de la sécurité, de la confidentialité et des réglementations – et pourquoi c'est un problème.
Vidéo: Rapport Cisco 2018 sur la cybersécurité: il y a un duel technologique entre les acteurs de la menace et les défenseurs
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite
Au cours des dernières semaines, j'ai participé tous les deux à la manigance annuelle qu'est RSA et j'ai été invité à faire partie d'un panel "Shark Tank" pour les startups technologiques émergentes à Miami.
Lire aussi: La santé était une cible privilégiée des familles de ransomwares en 2017
En l’espace de deux semaines, je suis passé de grandes entreprises bien établies dotées de budgets marketing massifs et de millions de dollars en R&D à l’autre extrémité du spectre: des gens présentant leur « technologie » -- ou un bon PowerPoint menant à une vraie technologie -- et se démenant pour payer leurs factures tout en poussant leurs rêves vers l'avant sur une aile et un prière.
Sans aucun doute, ce fut un honneur d'être invité à voir ces présentations et à offrir le peu d'informations que j'ai acquises. dans l'industrie à ces rêveurs qui voient un problème qu'ils pensent pouvoir résoudre et éventuellement devenir riches en le faisant il. En tant qu’ancien entrepreneur en démarrage ayant échoué, j’ai encore des cicatrices et des cauchemars de cette époque. Réciproquement, je me considère chanceux d'interagir avec les titans de la cybersécurité chez RSA et de discuter des éléments et des tendances qui animent un marché mondial. Il était intéressant de constater l’énorme écart qui existe réellement en matière de discussions et de considérations sur la sécurité entre ces types d’entités.
Les conversations chez RSA allaient de la manière d'accéder au marché et d'exploiter le concept Zero Trust aux discussions sur les vecteurs de menaces mondiaux et la microsegmentation pour améliorer la sécurité des réseaux. Habituellement, ces discussions étaient profondément techniques et visaient à tenter de résoudre un problème à l’échelle mondiale.
Même si cela a été le cas chez RSA, ce n’est même pas un point qui a été évoqué lors des discussions que j’ai eues lors de l’événement startup. Ces discussions se sont déroulées ainsi :
"J'aime votre argumentaire, et votre technologie peut certainement être utile pour permettre le suivi de la localisation GPS des crottes de chien." (Vous avez eu l'idée; je ne sais pas combien d'"innovations" il reste dans la livraison de nourriture...) "Mais avez-vous réfléchi à la manière dont votre système mettra en œuvre la sécurité? Vous avez déclaré lors de votre argumentaire que vous utilisiez des API et des données pour suivre la localisation des utilisateurs et mieux améliorer votre ciblage. Savez-vous que ces scénarios soulèvent des problèmes de confidentialité et des besoins en matière de sécurité des données? »
"Euh, nous envisageons la sécurité. Nous l'avons sur notre calendrier."
« Donc, vous ne vous concentrez pas sur la sécurité ou sur la protection de la vie privée, mais vous utilisez les données autant que vous le souhaitez? »
"Euh, et bien, pas exactement. Nous accordons une grande importance à la confidentialité de nos utilisateurs et nous serons en sécurité."
"OK super. Mais comment? Que faites-vous pour activer ces choses? Il me semble que la sécurité est une réflexion après coup. »
"Euh..." (regarde les autres membres de l'équipe en sweat à capuche.)
« Donc, pour être clair, vous souhaitez exécuter votre application, collecter des données, vous connecter à des réseaux établis et coder via une API, et vous n'avez aucun plan sur la manière dont la sécurité fera partie de tout cela? Vous devenez essentiellement une voie de compromis pour vos utilisateurs et tous les réseaux que vous touchez. Est-ce que cela vous concerne? »
"Bien sûr, oui, absolument."
"OK bien. Alors, que comptez-vous faire à ce sujet? »
"Euhhhhh..."
"Vous avez dit que vous prévoyiez d'être présent dans le monde entier. Connaissez-vous le RGPD ?"
"Qu'est ce que c'est?"
"D'accord, j'ai compris. Discutons ensuite. J'aimerais vous offrir quelques conseils à ce sujet."
Cela ressemble à une blague, mais il y avait 130 startups présentes à l'événement. Je me suis fait un devoir d'interroger une équipe sur trois sur la sécurité, la confidentialité et le RGPD. J'ai eu cinq réponses qui, je dirais, étaient même de l'ordre de la sécurité; seuls deux connaissaient le RGPD. Sérieusement, seulement deux! La plupart d’entre eux pensaient qu’il s’agissait d’un acronyme désignant un protocole sur lequel ils « interrogeraient leurs développeurs ».
Après avoir assisté à ces deux événements et avoir vu tout cela se produire, je pense que c'est l'identification d'un problème continu. Ces jeunes entreprises évoluent à la vitesse du développement et ne se soucient guère, voire pas du tout, de la sécurité, de la confidentialité ou de la réglementation, car elles y voient un élément sur lequel elles peuvent s'appuyer par la suite. Ou, dans de nombreux cas, il s'agit d'un « obstacle à l'intégration des utilisateurs ». Ces mêmes startups pourraient réussir et se développer, mais lorsqu'ils se connectent à des réseaux établis, ils peuvent constituer le point de défaillance de ces infrastructures. Ou s’ils sont acquis par de plus grandes entreprises, ils seront de toute façon absorbés par les Borgs. Alors, ça continue. C’est le cornet de glace de l’échec qui permet des échecs continus dans l’espace de sécurité. Je pense qu'il est intéressant de constater les failles de sécurité dès le début d'un produit et de les comparer à un l'industrie s'est concentrée sur la résolution d'un problème introduit par les startups qui se frayent un chemin dans le marché.
Lire aussi: Ce malware vérifie la température de votre système pour éviter le sandboxing
La sécurité doit commencer au niveau du sol et ne peut pas être considérée comme un obstacle à la croissance. Tant que telle sera cette perception, la réalité de l’échec continuera à se propager.
Votre entreprise sera-t-elle prête d'ici le 25 mai? Télécharger Le rapport gratuit de Forrester pour déterminer quelles actions vous devriez entreprendre et comment prioriser vos efforts.
13 technologies plus sûres que les mots de passe
Histoires connexes
- Qu’est-ce qu’un malware? Tout ce que vous devez savoir sur les virus, chevaux de Troie et logiciels malveillants
- Services VPN 2018: Le guide ultime pour protéger vos données sur Internet
- Sécurité 101: voici comment garder vos données privées, étape par étape
- Google Chrome: Attention à ces extensions malveillantes qui enregistrent tout ce que vous faites
https://www.zdnet.com/article/vpn-services-2018-the-ultimate-guide-to-protecting-your-data-on-the-internet/
https://www.zdnet.com/article/simple-security-step-by-step-guide/
https://www.zdnet.com/article/google-chrome-beware-these-malicious-extensions-that-record-everything-you-do/