pentest-avantage-concurrentiel

Réaliser un test d’intrusion: un avantage concurrentiel

Tout ce qui a trait à la gestion de risques est souvent considéré comme une dépense pour une entreprise. En effet, contrairement à l’investissement dans des outils de développement d’affaires ou de marketing, la plupart des entrepreneurs ne voient pas l’impact qu’un investissement en cybersécurité peut avoir sur leur développement d’affaires.

Cependant, avec une bonne approche, réaliser un test d’intrusion, par exemple, peut devenir un atout majeur dans l’acquisition de nouveaux clients. Dans cet article, nous allons vous démontrer comment obtenir un retour sur investissement en réalisant un test d’intrusion sur votre produit.

1er scénario: convaincre des investisseurs

Si vous développez une application, il y a de grandes chances que vous ayez besoin d’investissement pour financer le développement de votre entreprise et pour scaler. Vous avez sans doute passé de nombreuses heures à réaliser votre plan d’affaires, à élaborer des arguments sur le fort potentiel de votre entreprise et votre étude de marché prouve que votre produit a un grand bassin d’acheteurs. Votre entreprise est une belle opportunité d’affaires pour les investisseurs, good job!

Un aspect souvent ignoré par les startups est le niveau de sécurité de leur produit. Certains entrepreneurs se sont fait surprendre lors du due diligence et ont même perdu des investisseurs, car il n’avait pas été en mesure de prouver que leur application était bien sécurisée. 

Pourquoi c’est important?

Si on parle d’un produit SaaS, il est disponible sur internet. Il a besoin d’être disponible en tout temps, de protéger les informations de ses clients et les informations qu’il possède ne doivent pas être modifiées (comme changer le prix de 1000$ à 1$ par exemple). Imaginez que votre plateforme de commerce en ligne se fasse pirater le jour du Black Friday? Les ventes perdues donneront un sacré coup à vos finances. Ou encore, vous avez développé une application destinée aux professionnels en recrutement pour les aider à gérer les candidatures: imaginez si les renseignements personnels de toutes ces personnes étaient volées? 

Les impacts d’une mauvaise sécurisation de votre produit peuvent être dévastateurs pour votre entreprise. Les investisseurs le savent, et ils veulent des garanties. Réaliser un test d’intrusion va vous permettre de connaître les failles de sécurité de votre produit, et donc de les corriger. Même si tout n’est pas parfait, le fait de prendre au sérieux cet aspect et de montrer un bon niveau de maturité va rassurer les investisseurs et vous aider à les convaincre. Ils savent que votre capacité financière à ce stade ne vous permettra pas forcément de leur dévoiler une application solide en matière de sécurité. Il est fortement possible que les investisseurs soient prêts à vous aider à financer les interventions en sécurité par la suite. C’est une démarche win-win.

Ce réflexe étant encore trop peu présent chez les jeunes entrepreneurs, cela peut faire une vraie différence entre vous et un autre projet par exemple. 

Plus concrètement, si investir entre 7,500$ et 20,000$ (prix moyen pour le test d’intrusion d’une application complexe) vous permet de recevoir plusieurs centaines de milliers d’investissement, le ROI est excellent.

2e scénario: faire affaires avec le gouvernement et/ou les grandes entreprises

Les raisons pour lesquelles il est important de sécuriser votre produit restent les mêmes qu’expliquer à la dernière section; on ne vous fera pas relire la même chose deux fois 🙂

L’enjeu est cependant un peu différent. Vous ne cherchez pas à convaincre une personne que votre entreprise est un bon investissement, mais vous devez prouver à des clients potentiels que faire affaire avec vous ne représente pas un risque élevé.

Les grandes entreprises et les organisations gouvernementales ont mis en place d’importantes mesures de sécurité pour protéger leurs données et celles de leurs clients. Pourtant, nous voyons souvent leurs noms dans la presse dans le cas d’incidents de cybersécurité. L’adage « parlons en mal mais parlons en » n’est pas vraiment applicable dans ces situations… Cette mauvaise presse n’apporte jamais rien de bon pour les entreprises.

Le problème? Le maillon faible est souvent un sous-traitant dans la chaîne d’approvisionnement.

La grande entreprise n’y est parfois pour rien dans le cyberincident, mais c’est son nom qui finit à la une:

Afin de protéger leur nom, elles ont donc décidé d’exiger de leurs fournisseurs et partenaires des requis de sécurité. 

Avec certaines, l’exercice est un calvaire pour les petites entreprises, car elles demandent obligatoirement des certifications de sécurité comme SOC 2 Type II ou ISO27001. Obtenir ces certifications est un exercice complexe et coûteux. Si votre modèle d’affaires repose sur l’acquisition de ce type de clients, nous vous conseillons de regarder les requis de ces certifications et de commencer à cocher les cases rapidement. Au vu du temps et des investissements financiers requis, cela peut prendre facilement plus d’un an.

Il existe également des certifications plus spécifiques; c’est le cas du MSSS (Ministère de la Santé et des Services Sociaux) qui a mis en place la norme TGV, une certification en cybersécurité requise dans de nombreux cas pour faire affaire avec eux.

Dans d’autres cas, les requis sont moins structurés, mais vous allez devoir répondre à un grand nombre de critères de sécurité pour vous qualifier comme fournisseur. 

Vous comprendrez bien qu’avoir une bonne posture en sécurité n’est plus un nice to have, mais bien un must have.

En réalisant des tests d’intrusion et en surveillant vos vulnérabilités de façon régulière, vous allez augmenter vos chances d’atteindre cette clientèle. Les investissements requis en cybersécurité peuvent paraître importants, mais généralement la valeur des contrats avec ces organisations vaut l’investissement. 

3e scénario: vous distinguer de la concurrence

Il est possible que vous soyez sur un marché déjà mature, et que vos concurrents affichent leurs certifications en cybersécurité sur leurs sites web.

Dans ce contexte, améliorer votre posture en sécurité n’est pas un argument concurrentiel, mais simplement un requis.

Cependant, beaucoup de marchés sont encore jeunes, et une grande partie des entreprises n’accordent pas encore suffisamment d’importance à la sécurité de leurs produits et de leurs données. C’est là que vous avez une carte à jouer.

Bien que ce soit encore un combat de tous les jours, la population est de plus en plus sensibilisée aux enjeux de sécurité. Que votre activité soit orientée B to C ou B to B, vous allez interagir avec des personnes qui veulent des garanties sur la sécurité de leurs données (et à raison). 

En réalisant un test d’intrusion par exemple, vous allez être proactif et pouvoir démontrer à votre clientèle que vous prenez soin de leurs données. C’est un argument qui peut faire pencher la balance entre votre produit et un produit concurrent.

(En passant, challenger le niveau de sécurité de vos fournisseurs devrait faire partie de vos pratiques d’approvisionnement, mais on s’égare… 😬)

Chez Yack, on vous fournit un document exécutif que vous pouvez justement partager à vos clients. Ils auront les informations suffisantes pour les rassurer, mais on garde le détail confidentiel bien entendu (partager le détail de vos vulnérabilités = mauvaise idée).

On vous a présenté 3 scénarios qui vous permettent de générer du chiffre d’affaires grâce à un test d’intrusion.

Il y a plus de cas bien sûr, mais ces 3 catégories regroupent la majorité des arguments pour bien comprendre les enjeux. De façon générale, le retour sur investissement est vraiment bon.

Bien entendu, on n’en a pas vraiment parlé, car ce ne sont pas des dollars à « gagner », mais réaliser ce type de test vous permet surtout d’éviter des pertes financières conséquentes: revenus manqués, coûts pour gérer l’incident de sécurité, frais juridiques, amendes dans certains cas si des renseignements personnels venaient à être volés, etc.


Chez Yack, on comprend que votre priorité numéro 1 est de faire rouler votre business. Si vous vous reconnaissez dans un de ces scénarios, venez nous parler. On ne fait pas que vous hacker (avec votre autorisation bien entendu 🤓), on va vous aider à choisir la bonne approche et à obtenir le meilleur retour sur investissement (ROI).

Peace ✌️

Cyndie & Nicholas

    Why Yack?

    First, for those of you who don't know, the yak is an animal. The energy it radiates (chill with its toupee, but we wouldn't want to piss it off with its horns...) represents us well, and the nerdiest among you might see the little nod to Linux 😉. Of course, Yack's resemblance to Hack is no mere coincidence. It's also a short, punchy name that, once again, sounds like us. Finally, it's a word that earns you 24 points in Scrabble (hello Office de la langue française). Why did you choose .one? In offensive security, all it takes is one attack..."
    A little more about us

    "Pourquoi Yack?

    First, pour ceux qui ne le savent pas, le yack est un animal. L'énergie qu'il dégage (chill avec son toupet, mais on ne voudrait pas l'énerver avec ses cornes...) nous représente bien, et les plus nerds d'entre vous verront peut-être le petit clin d'œil à Linux 😉. Bien sûr, la ressemblance de Yack avec Hack n'est pas une simple coïncidence. C'est aussi un nom court, qui punch, et qui encore une fois, nous ressemble. Enfin, c'est un mot qui te rapporte 24 points au scrabble (bonjour office de la langue française). Pourquoi avoir choisi .one? En sécurité offensive, il suffit d'une (one) attaque..."
    Un peu plus sur nous