Tout ce qui a trait à la gestion de risques est souvent considéré comme une dépense pour une entreprise. En effet, contrairement à l’investissement dans des outils de développement d’affaires ou de marketing, la plupart des entrepreneurs ne voient pas l’impact qu’un investissement en cybersécurité peut avoir sur leur développement d’affaires.
Cependant, avec une bonne approche, réaliser un test d’intrusion, par exemple, peut devenir un atout majeur dans l’acquisition de nouveaux clients. Dans cet article, nous allons vous démontrer comment obtenir un retour sur investissement en réalisant un test d’intrusion sur votre produit.
Si vous développez une application, il y a de grandes chances que vous ayez besoin d’investissement pour financer le développement de votre entreprise et pour scaler. Vous avez sans doute passé de nombreuses heures à réaliser votre plan d’affaires, à élaborer des arguments sur le fort potentiel de votre entreprise et votre étude de marché prouve que votre produit a un grand bassin d’acheteurs. Votre entreprise est une belle opportunité d’affaires pour les investisseurs, good job!
Un aspect souvent ignoré par les startups est le niveau de sécurité de leur produit. Certains entrepreneurs se sont fait surprendre lors du due diligence et ont même perdu des investisseurs, car il n’avait pas été en mesure de prouver que leur application était bien sécurisée.
Si on parle d’un produit SaaS, il est disponible sur internet. Il a besoin d’être disponible en tout temps, de protéger les informations de ses clients et les informations qu’il possède ne doivent pas être modifiées (comme changer le prix de 1000$ à 1$ par exemple). Imaginez que votre plateforme de commerce en ligne se fasse pirater le jour du Black Friday? Les ventes perdues donneront un sacré coup à vos finances. Ou encore, vous avez développé une application destinée aux professionnels en recrutement pour les aider à gérer les candidatures: imaginez si les renseignements personnels de toutes ces personnes étaient volées?
Les impacts d’une mauvaise sécurisation de votre produit peuvent être dévastateurs pour votre entreprise. Les investisseurs le savent, et ils veulent des garanties. Réaliser un test d’intrusion va vous permettre de connaître les failles de sécurité de votre produit, et donc de les corriger. Même si tout n’est pas parfait, le fait de prendre au sérieux cet aspect et de montrer un bon niveau de maturité va rassurer les investisseurs et vous aider à les convaincre. Ils savent que votre capacité financière à ce stade ne vous permettra pas forcément de leur dévoiler une application solide en matière de sécurité. Il est fortement possible que les investisseurs soient prêts à vous aider à financer les interventions en sécurité par la suite. C’est une démarche win-win.
Plus concrètement, si investir entre 7,500$ et 20,000$ (prix moyen pour le test d’intrusion d’une application complexe) vous permet de recevoir plusieurs centaines de milliers d’investissement, le ROI est excellent.
Les raisons pour lesquelles il est important de sécuriser votre produit restent les mêmes qu’expliquer à la dernière section; on ne vous fera pas relire la même chose deux fois 🙂
L’enjeu est cependant un peu différent. Vous ne cherchez pas à convaincre une personne que votre entreprise est un bon investissement, mais vous devez prouver à des clients potentiels que faire affaire avec vous ne représente pas un risque élevé.
Les grandes entreprises et les organisations gouvernementales ont mis en place d’importantes mesures de sécurité pour protéger leurs données et celles de leurs clients. Pourtant, nous voyons souvent leurs noms dans la presse dans le cas d’incidents de cybersécurité. L’adage « parlons en mal mais parlons en » n’est pas vraiment applicable dans ces situations… Cette mauvaise presse n’apporte jamais rien de bon pour les entreprises.
La grande entreprise n’y est parfois pour rien dans le cyberincident, mais c’est son nom qui finit à la une:
Avec certaines, l’exercice est un calvaire pour les petites entreprises, car elles demandent obligatoirement des certifications de sécurité comme SOC 2 Type II ou ISO27001. Obtenir ces certifications est un exercice complexe et coûteux. Si votre modèle d’affaires repose sur l’acquisition de ce type de clients, nous vous conseillons de regarder les requis de ces certifications et de commencer à cocher les cases rapidement. Au vu du temps et des investissements financiers requis, cela peut prendre facilement plus d’un an.
Il existe également des certifications plus spécifiques; c’est le cas du MSSS (Ministère de la Santé et des Services Sociaux) qui a mis en place la norme TGV, une certification en cybersécurité requise dans de nombreux cas pour faire affaire avec eux.
Dans d’autres cas, les requis sont moins structurés, mais vous allez devoir répondre à un grand nombre de critères de sécurité pour vous qualifier comme fournisseur.
En réalisant des tests d’intrusion et en surveillant vos vulnérabilités de façon régulière, vous allez augmenter vos chances d’atteindre cette clientèle. Les investissements requis en cybersécurité peuvent paraître importants, mais généralement la valeur des contrats avec ces organisations vaut l’investissement.
Il est possible que vous soyez sur un marché déjà mature, et que vos concurrents affichent leurs certifications en cybersécurité sur leurs sites web.
Cependant, beaucoup de marchés sont encore jeunes, et une grande partie des entreprises n’accordent pas encore suffisamment d’importance à la sécurité de leurs produits et de leurs données. C’est là que vous avez une carte à jouer.
Bien que ce soit encore un combat de tous les jours, la population est de plus en plus sensibilisée aux enjeux de sécurité. Que votre activité soit orientée B to C ou B to B, vous allez interagir avec des personnes qui veulent des garanties sur la sécurité de leurs données (et à raison).
(En passant, challenger le niveau de sécurité de vos fournisseurs devrait faire partie de vos pratiques d’approvisionnement, mais on s’égare… 😬)
Chez Yack, on vous fournit un document exécutif que vous pouvez justement partager à vos clients. Ils auront les informations suffisantes pour les rassurer, mais on garde le détail confidentiel bien entendu (partager le détail de vos vulnérabilités = mauvaise idée).
Il y a plus de cas bien sûr, mais ces 3 catégories regroupent la majorité des arguments pour bien comprendre les enjeux. De façon générale, le retour sur investissement est vraiment bon.
Bien entendu, on n’en a pas vraiment parlé, car ce ne sont pas des dollars à « gagner », mais réaliser ce type de test vous permet surtout d’éviter des pertes financières conséquentes: revenus manqués, coûts pour gérer l’incident de sécurité, frais juridiques, amendes dans certains cas si des renseignements personnels venaient à être volés, etc.
Chez Yack, on comprend que votre priorité numéro 1 est de faire rouler votre business. Si vous vous reconnaissez dans un de ces scénarios, venez nous parler. On ne fait pas que vous hacker (avec votre autorisation bien entendu 🤓), on va vous aider à choisir la bonne approche et à obtenir le meilleur retour sur investissement (ROI).
Peace ✌️
Cyndie & Nicholas