Comment concilier vélocité et cybersécurité dans le monde des startups?
Nous allons vite et proposons des choses nouvelles pour accomplir notre mission. Comment rassurer les DSI chez nos clients, qui restent légitimement attentifs face à une petite structure comme la nôtre?
Chez Ask for the moon, nous appliquons trois principes simples.
Un profil de risque clair
Nous définissions un profil de risque clair: celui de la fuite de données de nos clients. Celles-ci doivent être protégés avant tout autre chose chez nous. Quid d’un vol de notre code source? En comparaison avec ce que nous confient Framatome, Airbus, SNCF… cela ne serait pas si grave.
Des pratiques cyber raisonnables
D’autre part, nous adoptons les pratiques cyber les plus raisonnables, mais qui ralentissent le moins le travail au quotidien. Par exemple, verrouiller son écran quand on s’en éloigne, avoir un OS à jour, se connecter aux outils en SSO, envoyer des emails de test de phishing, etc. Par de telles pratiques simples, nous sommes convaincus de réduire les risques cyber à un niveau acceptable.
Des échanges ouverts sur nos pratiques
Enfin, nous sommes convaincus qu’il est essentiel que chacun signale les éventuels écarts qu’il constate dans son travail, que ce soit de son fait ou non. À cet effet, nous appliquons une politique de communication ouverte inspirée du monde de l’aéronautique et de son réputé “BEA”. Le fautif involontaire sera pardonné s’il adopte une démarche de transparence, pour que l’on puisse tous apprendre de nos expériences.
L’ISO27001 comme levier stratégique
Nous avons beaucoup travaillé pour devenir meilleurs: de l’inventaire de nos prestataires à la gestion précise de notre infrastructure. Nous sommes aujourd’hui fiers d’annoncer que Ask for the moon a obtenu sa certification ISO27001.
La norme ISO/IEC 27001 fournit aux entreprises de toutes tailles, quel que soit leur secteur d’activité, des lignes directrices pour l’établissement, la mise en œuvre, la tenue à jour et l’amélioration continue d’un système de management de la sécurité de l’information.
La conformité à ISO/IEC 27001 signifie qu’une organisation ou une entreprise a mis en place un système pour gérer les risques liés à la sécurité de ses données ou des données qu’elle est amenée à traiter, et que ce système est conforme aux bonnes pratiques et principes énoncés dans cette Norme internationale (source).
Le certificat est disponible à ce lien.
Cette étape n'est que le début : nous envisageons la cybersécurité non pas comme une contrainte, mais comme un levier stratégique qui nous distingue de la concurrence et renforce la confiance de nos clients sur le long terme.