7 meilleures pratiques pour travailler avec des startups en cybersécurité

Les startups en cybersécurité, qui ne sont pas gênées par les plates-formes traditionnelles, peuvent être plus agiles et innovantes que leurs concurrents plus établis et peuvent souvent offrir un service plus personnalisé à un prix plus attractif. Atiq Raza a vu cela des deux côtés. Aujourd’hui, il est le PDG de Virsec Systems, une startup de la cybersécurité dans la Silicon Valley, mais il a également travaillé pour de grandes entreprises, notamment comme président d’AMD.

1. Effectuer un contrôle préalable

«Combien de temps vont-ils rester?» Est la question clé que toute organisation devrait se poser pour travailler avec une startup. C’est pourquoi il est important de faire preuve de diligence raisonnable tant du point de vue de la technologie que du point de vue commercial. L’entreprise peut-elle montrer que la technologie fonctionne comme prévu? La société dispose-t-elle de la gestion et du financement appropriés pour se développer et survivre?

Pour Wendy Nather, travailler avec des startups peut signifier obtenir un avantage, et pas seulement contre les cyber-attaquants. Elle a été directrice de la sécurité informatique chez UBS et CISO de la Texas Education Agency, où elle a travaillé avec des startups en cybersécurité. Aujourd’hui, elle est directrice des services de conseil pour les RSSI chez Duo Security, une startup en cybersécurité que Cisco a achetée pour 2,35 milliards de dollars à l’été 2018.

“Lorsque vous décidez de vous lancer dans une startup de cybersécurité, c’est parce qu’ils abordent un problème d’une nouvelle manière ou qu’ils offrent des fonctionnalités qui sont plus avancées que celles que vous avez vues avec des fournisseurs établis”, déclare Nather. “Lorsque vous établissez un programme de sécurité ambitieux, vous voulez être meilleur que vos pairs et vous voulez trouver les offres les plus avancées possible.”

Bien sûr, la viabilité de la startup est une préoccupation majeure, dit-elle. Avoir une bonne technologie ne suffit pas. “S’ils ne sont pas bons en vente ou en affaires, ils risquent de ne pas durer très longtemps”, dit-elle. “Donc, en plus de regarder les produits ou les services, vous devez examiner de plus près leurs opérations et leur modèle commercial.”

Les analystes du secteur ou les pairs peuvent fournir les informations nécessaires ici. “Ou vous pouvez commencer petit et planifier plus de contacts avec eux au fil du temps”, dit-elle. “Mais finalement, à moins que vous n’ayez un portefeuille de sécurité très distribué, vous devrez simplement tenter votre chance avec la startup que vous aimez vraiment.”

Elle dit l’avoir fait avec Internet Security Systems (ISS), qui était encore une startup quand elle travaillait pour une grande banque suisse. “Cela s’est bien passé”, dit-elle. ISS a depuis été acquis par IBM.

2. Soyez prêt pour une plus grande entreprise à acquérir le fournisseur de démarrage

Une acquisition par une grande entreprise peut être à la fois une bonne et une mauvaise chose pour une startup et ses clients. “Les start-ups qui ne sont que des fonctionnalités et qui ne sont pas acquises peuvent ne pas avoir de siège lorsque la musique cesse de jouer – et risquent de devoir fermer leurs portes”, déclare Hitesh Sheth, PDG de Vectra Networks, Inc.

S’ils sont acquis, les clients risquent de perdre la relation personnelle qu’ils entretenaient avec une petite entreprise. Le produit ou service peut également être interrompu ou modifié une fois le démarrage effectué. “Vous devez être prêt à faire l’acquisition de vos meilleurs vendeurs de startups et à ce que leur produit soit bousillé par de gros vendeurs”, a déclaré John Pescatore, directeur des tendances émergentes chez SANS Institute.

Mais avant cela, vous pouvez vous attendre à avoir quelques années de grande valeur, dit-il. “C’est un peu comme la différence entre réserver une chambre d’hôtel dans une chaîne hôtelière établie et réserver quelque chose sur AirBnB”, déclare Pescatore. “Vous devez faire plus de diligence raisonnable – sinon, vous risquez d’avoir une surprise grossière. Mais si vous faites la diligence raisonnable et faites attention, vous pouvez trouver de véritables joyaux sur lesquels vous souhaitez revenir.”

3. Recherchez des cas d’utilisation réels

Avoir un produit qui fonctionne bien ne suffit pas. Par exemple, explique Pescatore, le principal inconvénient d’une entreprise en démarrage est qu’elle ne sera peut-être pas en mesure d’adapter son produit aux besoins de ses clients. “Une innovation d’apprentissage automatique qui arrête toutes les mauvaises choses et ne comporte pas de faux positifs contre les bonnes choses qui fonctionnent sur un PC peut ne pas fonctionner sur 10 000 ordinateurs de 250 types différents”, dit-il.

Demandez à la société de vous fournir des cas d’utilisation du monde réel similaires aux vôtres. Après la mise en œuvre, vous ne voulez pas savoir que la technologie de sécurité dans laquelle vous avez investi ne s’adapte pas à vos besoins et ne s’intègre pas bien avec vos autres systèmes.

4. Vérifier les antécédents techniques et commerciaux du personnel clé

Les principaux développeurs et dirigeants d’entreprise ont-ils une expérience du marché de la cybersécurité? Quel est le bilan des entreprises de cybersécurité précédentes dans lesquelles elles travaillaient?

Les start-up prometteuses pourraient ne pas être en mesure de faire face aux demandes d’améliorations et d’intégrations nécessaires pour fonctionner avec d’autres produits, déclare Pescatore. Vérifiez si, par exemple, le vice-président de l’ingénierie de la startup est issu de la cybersécurité et découvrez comment sa société précédente s’est comportée.

5. Essayez le produit et l’assistance avant d’acheter

Lorsque vous obtenez une démonstration, éloignez-vous du script préparé et posez des questions sur les fonctionnalités qui ne fonctionnent pas encore. “S’ils ne peuvent pas terminer une phrase sans mot à la mode, les sonnettes d’alarme doivent sonner”, dit Pescatore.

Nathan Wenzler, stratège en chef pour la sécurité chez AsTech Consulting, une société de conseil en sécurité, recommande aux entreprises d’obtenir une version d’essai du logiciel et de la mettre à l’essai. “N’ayez pas peur de demander de l’aide en essayant de faire en sorte que cela fonctionne”, dit-il. Cela vous aide non seulement à décider si le produit convient, mais vous montre également à quel point le fournisseur est réactif.

En général, dit-il, les startups et les petites entreprises peuvent réagir plus rapidement aux problèmes des clients. “Il est plus probable que vous puissiez contacter des personnes clés, des développeurs principaux ou d’autres personnes plus directement impliquées dans le produit, et ainsi pouvoir résoudre les problèmes eux-mêmes plus rapidement”, déclare Wenzler.

Le revers de la médaille est que le démarrage ne dispose peut-être pas de suffisamment de ressources pour effectuer des modifications à grande échelle ou répondre aux demandes majeures, explique Wenzler. “Cela peut devenir un exercice de patience en attendant que cela soit fait.”

Julie Cullivan, DSI de ForeScout Technologies Inc., évalue la capacité d’une start-up à faire preuve de créativité et s’adresse à ses pairs. “J’utilise toujours mon réseau pour trouver les autres personnes qui travaillent avec le fournisseur ou envisagent de travailler avec la startup, afin que je puisse en tirer les avantages, de leur point de vue ou de leur expérience”, déclare-t-elle. “Le plus gros piège est que la technologie ne soit tout simplement pas là.”

Selon Cullivan, il est important de connaître la véritable technologie. “L’informatique et la sécurité informatique doivent pouvoir évoluer rapidement, ce qui signifie que vous devez toujours définir des priorités pour améliorer de manière créative votre posture des risques et optimiser vos ressources avec les solutions émergentes.”

Dans le même temps, il faut concilier cela avec la nécessité de minimiser les risques de votre entreprise, explique Cullivan – et avec l’espoir que les choses ne se dérouleront peut-être pas. “Si vous échouez, échouez vite.”

6. Évaluer les pratiques de sécurité de la startup

Kathie Miley, directrice des opérations chez Cybrary, a effectué la moitié de sa carrière dans des startups et l’autre moitié dans de grandes entreprises. Par exemple, elle était directrice exécutive chez Verizon, où elle a travaillé pendant 12 ans. “J’aime la capacité des startups à proposer de nouvelles solutions jamais vues auparavant”, a-t-elle déclaré. “Souvent, cette innovation l’emporte sur la nécessité de faire appel à une grande entreprise bien établie.”

Pour elle, la diligence raisonnable consiste à évaluer les fournisseurs potentiels sur leurs pratiques en matière de cybersécurité. “Je soumets tous mes partenaires aux mêmes évaluations de sécurité et aux exigences que mes clients imposent à ma société, pour ne pas dire plus strictes”, déclare-t-elle.

Lorsque la startup ne parvient pas à se mesurer, elle les envoie faire leurs valises. “J’ai opté pour des produits choisis sur le plan technologique qui, finalement, ne pouvaient pas acheter car ils ne pouvaient pas mettre en place de contrôles et de politiques de sécurité acceptables”, déclare-t-elle. “L’innovation mise à part, je ne peux pas risquer mon entreprise sur une start-up qui n’est pas disposée à investir dans la sécurité.”

7. Si vous ne pouvez pas vérifier correctement, faites appel à un fournisseur établi

Si vous pensez que contrôler la mise en route et gérer cette relation peut sembler fastidieux, vous n’êtes pas seul. “Il est un fait que de nombreuses grandes entreprises ne maintiendront leurs relations commerciales qu’avec de grandes entreprises”, a déclaré David Ginsburg, vice-président du marketing chez Cavirin, une startup du secteur de la sécurité du cloud hybride. Dans ces situations, un intermédiaire peut aider, par exemple, un revendeur, un intégrateur de systèmes ou un fournisseur de services de sécurité gérés.

Tout le monde n’est pas en mesure de faire preuve de la diligence requise pour les startups, explique Pescatore. “Si vous ne l’êtes pas et que votre entreprise ne le fait pas, il est préférable de s’en tenir aux fournisseurs établis.”

Note cet article
Previous Article
Next Article

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Abonnez-vous à notre newsletter

Twitter