Comment les jeunes startups se protègent-ils contre les cyber-attaques? C’est le dossier spécial du mois de mars sur le blogue Le feu sacré. Cette semaine, le profil comportemental d’un entrepreneur en e-commerce, Frédéric René.
Co-fondateur de LikiSoft, une plate-forme de plus en plus populaire offrant des services de boutiques électroniques simplifiée, Frédéric René est de ceux qui ne barrent pas leurs portes d’auto et qui font d’emblée confiance au genre humain. Il est originaire de Chambly. Paradoxalement, et certainement par déformation professionnelle, il est extrêmement conscient des risques encourus dans l’utilisation des plateformes transactionnelles et de l’utilisation du cloud comme bureau virtuel. La cybersécurité représente pour LikiSoft, comme pour toutes les entreprises web-based, un enjeu de taille.
Etre attaqué et apprendre à la dure
Son frère partenaire et lui ont appris « à la dure » les revers de la cybersécurité, dans leur précédente startup Les enchères Bidou.
À l’époque, ils étaient régulièrement victimes d’attaques DDOS, ces attaques où les hackers envoient des milliers de requêtes aux serveurs visés pour faire « planter » un site.
Ils ont également essuyé des pertes financières suite à des fraudes téléphoniques pour leur ancienne ligne 1-900. Ils ont donc investi temps et argent sur le développement d’un algorithme de sécurité pour contrer les fraudes en ligne. Cet algorithme a même contribué à la vente de cette entreprise, en 2013.
Frédéric se rappelle:
« Dans le temps, les hackers travaillaient rapidement, procédaient par « hit and run » vite faits bien faits, comme on dit. Les gens sont donc devenus plus prudents, plus alertes. Mais comme les hackers sont des gens très brillants, ils ont bien entendu raffiné leurs coups et ont graduellement mis en place des méthodes très élaborées. Les hackers sont beaucoup plus patients surtout. Par exemple, les fraudeurs peuvent utiliser les informations recueillies lors d’un hameçonnage plusieurs mois après leur attaque. Il est alors beaucoup plus difficile d’identifier la cause des problèmes occasionnés et les auteurs de l’attaque. »
Chat échaudé….
Chez Liki, tout a été mis en place pour limiter les attaques, et les normes les plus strictes sont instaurées sur la plateforme pour s’assurer d’une sécurité accrue pour les marchands et les clients.
La gestion de l’information des cartes de crédit et des bases de données est faite en suivant les standards PCI. Ainsi, par exemple, tout est encrypté et inaccessible pour les employés de Liki. Les mises à jour de ces normes se font de façon régulière.
De plus, l’embauche d’une « syst admin » a été judicieuse pour mieux établir les règles et processus administratifs entourant les mots de passe et la gestion des accès divers des membres de l’équipe. Elle pourra documenter les standards de sécurité sous forme de charte et assurer la formation requise à tous les nouveaux employés de surcroît.
Cordonnier bien chaussé
Comme consommateur, Frédéric ne baisse pas la garde. Il est extrêmement ancré dans ses habitudes et seuls certains sites méritent sa confiance pour ses transactions en ligne.
Il s’assure du respect des normes PCI par les sites qu’il fréquente.
Comme Andry Lant Rakoto des produits fins Marclan (voir l’article de la semaine dernière), il effectue sans problème ses transactions bancaires personnelles et corporatives, utilise Google Drive pour transférer des documents et utilise divers outils en ligne pour les communications avec ses clients et ses employés (Prezi, Doodle, Evernote, Jira, Lucidchart, Harvest). Il envisage aussi d’utiliser un nouvel outil de comptabilité cloud-based (Quickbooks).
Comme Andry également, il est extrêmement réticent à y déposer des fichiers sensibles comme des dossiers disciplinaires d’employés, des contrats, des rapports d’impôt ou des conventions d’actionnaires.
Il précise: « Ce n’est pas par manque de confiance en la plateforme de Google Drive que je ne le fais pas, cela dit. C’est plutôt parce que je trouve que le tri des fichiers et les règles d’accès aux fichiers, dans les documents partagés, sont inadéquats. Le « mur » entre les gestionnaires en cas d’erreur de classement, entre autres, est un peu trop « mince » à mon goût . Puis, comme je me déplace toujours avec mon laptop, le besoin n’y est pas crucial. »
À défaut de barrer ses portes d’auto…
Frédéric barre ses mots de passe. Il utilise systématiquement un nouveau mot de passe à chaque nouvelle ouverture de compte et prend soin de l’encrypter dans un fichier lui-même encrypté. Il serait enclin à utiliser le logiciel Password box.
S’il prête son ordinateur, c’est uniquement après avoir ajouté un profil usager « d’invité » pour empêcher les ratés. Conséquemment, jamais il n’accède à ses comptes bancaires sur l’ordinateur de quelqu’un d’autre.
Avant d’utiliser une nouvelle application, il se renseigne, prend des références sur ce nouvel outil en vogue.
Il ne fréquente pas les sites de jeux et paris en ligne, et serait hésitant à le faire s’il ne pouvait pas valider la solidité des plateformes.
Dans les réseaux sociaux, il en dit moins que plus.
« Les Facebook et Twitter de ce monde sont des mines d’informations décortiquées avec soin par les hackers. Jamais je n’oserais mentionner que j’ai un chat, qu’il s’appelle Kleenex et que la fête de Joanie, ma dernière qui vient d’avoir 10 ans, était dimanche dernier… à titre d’exemple. Ils font beaucoup de millage, avec ces informations, car elles sont loin d’être anodines. » rappelle-t-il, prudent.
——————
Et vous, comment vous protégez-vous?
Avez-vous d’autres trucs à partager pour aider les jeunes entrepreneurs à adopter des bonnes pratiques en matière de cybersécurité?
Laissez-nous vos commentaires!
À ne pas manquer mardi prochain:
Cybersécurité et mobilité: Isabelle Moïse, consultante en marketing événementiel, en entrevue. On abordera la question des limites vécus sur le terrain, lors d’événements.
Le feu sacré 
Comme il l’a lui-même mentionné, Frédéric a retenu plusieurs leçons d’expériences passées. Il faut également dire que l’industrie dans laquelle il investit aujourd’hui ses énergies commande impérativement la prudence et des pratiques irréprochables.
Le vol d’identité est de plus en plus répandu et Frédéric le comprend bien. Il est prudent sur le web en s’informant des mesures de sécurités prises avant de faire affaire avec une application ou un service. Ne pas étaler les détails de sa vie privée sur les réseaux sociaux limite l’accès à de information personnelle pouvant par la suite être utilisée dans des attaques dites de “phishing” ou de “social engineering” qui servent souvent dans le vol d’identité.
Frédéric et Likisoft font bien de suivre des normes rigoureuses en matière de sécurité de l’information, notamment en encryptant tout. Le piratage du site transactionnel de produits fins de Marclan est une chose qui serait déplorable mais le piratage de Likisoft pourrait mener à un cauchemar bien plus grand considérant le nombre d’entreprises qui pourraient être affectées.
Aussi, n’importe quelle entreprise en technologie qui se respecte comprend la nécessité d’un sysadmin (administrateur système-réseau) pour sécuriser une infrastructure informatique. L’établissement de normes strictes en sécurité que les employés doivent par la suite comprendre et mettre en pratique est clairement la bonne chose à faire.
Une mise en garde en lien aux sysadmins:
Il ne faut toutefois pas perdre de vue que l’humain demeurera toujours le maillon faible en sécurité informatique. Conséquemment, un sysadmin averti ne se contentera pas de mettre des règles sur papier, mais les imposera systématiquement sur les systèmes utilisés par les employés. Oui, il faut faire confiance aux employés, mais il faut aussi se rappeler que la loi du moindre effort règne toujours, même chez les CEO et les membres dirigeants.
En ce sens, obliger les employés à changer leurs mots de passe après un certain temps est une bonne pratique, de surcroît si l’ordinateur valide qu’ils ne choisissent pas le même mot de passe que la dernière ou l’avant dernière fois.
Mise en garde contre le prêt d’ordinateur:
Prêter un laptop sur lequel se trouvent des informations confidentielles reliées au travail est très risqué. C’est une bien mauvaise pratique qui coûute l’emploi de plusieurs personnes à chaque année.
Créer un compte local distinct pour un ami sur un laptop ne fait que l’empêcher d’accéder à vos documents sous “Mes documents” (sous Windows, Apple a son équivalent de dossier personnel). Il ne suffit que de 5 minutes et d’un clé usb avec un logiciel spécialisé extrêmement facile à trouver sur le net pour changer le mot de passe administrateur d’une machine (Windows, Mac et Linux). Donc si le laptop est perdu ou volé, avoir un compte “ami” n’aidera pas à contrer le vol d’information.
J’aimeJ’aime
Merci Mathieu pour ce commentaire élaboré.
J’aime bien la notion que l’humain est le maillon faible de la sécurité informatique et on se doit d’en rester conscient. Il est vrai que des procédures sont faites pour être testées ou encore contournées et qu’il est important que des mécanismes soient mis en place pour obliger que les procédures soient suivies.
Merci aussi de m’avoir éveillé sur le prêt d’ordinateur. Bien que cela me soit rarement arrivé de prêter mon ordinateur, puisque je l’ai constamment en ma possession, je changerai désormais ma pratique et serai dorénavant le seul utilisateur de mon principal outil de travail.
J’aimeJ’aime