Avec le nombre croissant de deepfakers, d’agents de fraude et de voleurs d’identité, le paysage des technologies de cybersécurité se développe en parallèle. De nos jours, il ne suffit pas d’ajouter un point d’exclamation au même mot de passe que vous utilisez pour tout (sérieusement, ne faites pas ça).

La prolifération de la cybercriminalité mondiale et des problèmes de sécurité des données a attiré l’attention des décideurs politiques mondiaux, qui ont réagi en publiant de nouvelles réglementations, de la loi californienne sur la protection de la vie privée des consommateurs au cadre du règlement général sur la protection des données (RGPD) de l’UE. Cette réglementation est mise à jour périodiquement, et je recommande donc souvent aux fondateurs d’utiliser des services de sécurité pour mettre à jour les banques de données au moins une fois par trimestre.

En tant que cofondateur de la start-up de cybersécurité open source Bridgecrew*, j’ai appris à apprécier la force de la réglementation sur les opportunités commerciales et l’importance d’une conformité réglementaire diligente.

Bridgecrew, une plateforme de sécurité basée sur le cloud, fonctionne au sein de l’écosystème Cloud Native Application Platforms (CNAPP). Beaucoup de nos clients, soumis à des exigences de conformité telles que les normes SOC2 type 2, ISO 27001 et CIS , étaient très désireux de surveiller en permanence les systèmes au fil du temps, à la fois pour la sécurité et la conformité.

Alors que la surveillance réglementaire continue de s’étendre, il est essentiel que les startups informatiques et de cybersécurité d’aujourd’hui reconnaissent la gravité de la surveillance de la conformité et l’importance de coopérer avec les régulateurs. Et cet objectif ne doit pas être caché dans les petits caractères ! L’accent mis par l’organisation sur la conformité réglementaire peut être un signal puissant et positif de votre entreprise à vos clients.

En m’appuyant sur mon expérience en tant que fondateur et sur mon temps en tant qu’investisseur en capital-risque travaillant avec des startups de cybersécurité en phase de démarrage, voici ce que je suggère aux fondateurs de prendre en compte.

Restez informé : l’information, c’est le pouvoir

S’il y a une chose importante à retenir pour les startups concernant la conformité américaine en matière de cybersécurité, c’est bien celle-ci : il n’y a pas de politique de cybersécurité américaine unique. La conformité est plutôt une approche à plusieurs niveaux qui prend en compte les éléments suivants :

• Réglementation de l’industrie : Certains secteurs, tels que la santé (HIPAA) ou la finance (PCI DSS), ont des mandats spécifiques en matière de sécurité des données. Identifiez le vôtre pour assurer la conformité.
• Lois sur la protection des données : Selon le type de données que votre entreprise traite, des lois telles que la CCPA peuvent dicter des pratiques spécifiques en matière de confidentialité et de sécurité des données.
• Cadres du National Institute of Standards and Technology (NIST) : Le NIST fournit des cadres volontaires qui décrivent les meilleures pratiques pour sécuriser les données. C’est une bonne base de référence pour toute startup.

Vous trouverez les dernières politiques et contrôles du NIST et de l’ISO (Organisation internationale de normalisation) en matière de sécurité informatique dans les ressources officielles suivantes :

• Le NIST met en place un groupe de travail public sur la sécurité multi-cloud (MCSPWG) pour rechercher les meilleures pratiques en matière de sécurisation des solutions cloud complexes impliquant plusieurs fournisseurs de services et plusieurs clouds. Il s’aligne sur le décret de la Maison Blanche sur « l’amélioration de la cybersécurité de la nation », qui souligne que « le gouvernement fédéral doit apporter des changements audacieux et des investissements importants afin de défendre les institutions vitales qui sous-tendent le mode de vie américain en concentrant » toute la portée de ses autorités.
• Le gouvernement américain investit massivement dans le cloud computing en tant que moteur clé de sa propre transformation numérique. C’est le résultat direct de la directive du président Obama de 2009 sur le gouvernement ouvert aux agences gouvernementales fédérales exigeant une transformation numérique nécessaire pour permettre une informatique basée sur le cloud de nouvelle génération. Reconnaissant l’adoption croissante des environnements multi-cloud, le groupe de travail sur la sécurité multi-cloud du NIST se concentre sur la recherche et le développement des meilleures pratiques pour sécuriser les solutions cloud complexes qui impliquent plusieurs fournisseurs de services cloud et environnements cloud.
• Publication spéciale du NIST (SP) 800-53 Rev. 5 : Cette publication fournit un catalogue complet des contrôles de sécurité et de confidentialité pour les systèmes d’information et les organisations. Il couvre un large éventail de menaces et de risques, y compris les attaques hostiles, les erreurs humaines, les catastrophes naturelles et les problèmes de confidentialité.
• NIST SP 800-171, SP 800-171A, SP 800-172 et SP 800-172A: Protection des informations non classifiées contrôlées, qui fait référence aux systèmes et organisations non fédéraux critiques pour les agences fédérales. La série de directives se concentre sur la protection de la confidentialité des CUI et recommande des exigences de sécurité spécifiques pour atteindre cet objectif. Les mises à jour les plus récentes ont été publiées en février. 21, 2024.
• Livre de jeu NIST AI RMF – VS NIST RMF: Le nouveau manuel d’IA du NIST est informatif et est une réaction à la loi européenne sur l’IA.
• ISO/IEC 42001 :2023(E): Bien que ce règlement ne puisse pas être republié (en voici un aperçu), nous pouvons le décrire comme relatif aux contrôles de référence de sécurité qui fournissent à une organisation une référence pour atteindre les objectifs organisationnels et gérer les risques liés à la conception et à l’exploitation des systèmes d’IA.
• Modèle de cadre de gouvernance de l’intelligence artificielle : Il s’agit d’un cadre de gouvernance de la vie privée préconisé par la Commission de protection des données personnelles de Singapour et adopté dans le monde entier.

Voici quelques points clés à prendre en compte par les fondateurs :

• Concentrez-vous sur la protection de vos actifs de données les plus précieux. Toutes les réglementations ne s’appliquent pas de la même manière, alors priorisez les contrôles en fonction de votre profil de risque.
• La cybersécurité ne doit pas être une réflexion après coup. Mettez en œuvre des pratiques solides dès le début et adaptez-les au fur et à mesure que votre entreprise se développe.
• La conformité peut être complexe. Envisagez de consulter des professionnels de la cybersécurité et d’utiliser des plateformes d’automatisation pour évaluer vos risques et élaborer un plan.

Vous pouvez participer à l’établissement d’une nouvelle réglementation

Dans certains cas, les meilleures pratiques recommandées par la réglementation et les comités de travail ont dépassé ce que les solutions grand public disponibles sur le marché ont à offrir. Ces recommandations, si elles sont largement adoptées, peuvent être une rampe de lancement pour l’innovation par de nouvelles startups qui ont un moyen créatif d’aider les entreprises à se conformer aux dernières meilleures pratiques.

Cela s’est produit dans le passé. Parallèlement à l’activité gouvernementale dans le domaine du cryptage, des entreprises telles que RSA et Verisign ont participé à la discussion sur les meilleures pratiques, se sont développées parallèlement aux recommandations du bureau sur le cryptage et ont pris part à la discussion qui a permis un Internet plus sûr.

Avec l’essor des charges de travail dans le cloud et les conteneurs, des entreprises telles que Twistlock (rachetée par PANW) ont participé en tant qu’auteurs à la création du guide du NIST sur la sécurité des conteneurs. Checkov (un outil que j’ai aidé à construire chez Bridgecrew) a été recommandé par la CISA et, dans le cadre de ces activités, a contribué à gagner en notoriété grâce à un leadership éclairé et à faire du cloud un espace plus sûr.

Aujourd’hui, avec la révolution de l’IA en place et les réglementations – telles que le nouveau manuel d’IA du NIST en réaction à la loi européenne sur l’IA – créant de nouvelles recommandations pour gérer les charges de travail de l’IA, les startups de cybersécurité et de gouvernance ont une occasion en or de participer aux discussions réglementaires et d’aider à automatiser certaines des meilleures pratiques.

Nous continuons de voir des startups d’infrastructure au sein du portefeuille Battery profiter de cette opportunité : de MineOS*, qui a créé des modèles de gouvernance de l’IA pour aider les organisations à gouverner et à se conformer à la législation européenne sur l’IA ; à Contrast Security*, où l’équipe de sécurité de l’entreprise a fait partie du Top 10 de l’Open Source Foundation for Application Security (OWASP) pour la sécurité LLM; à Normalyze Security*, qui aide à détecter les dérives de l’infrastructure cloud et des référentiels de données à partir des contrôles de conformité ; Et au-delà, nous sommes ravis de voir les fondateurs et les équipes de direction appliquer des solutions techniques à ces défis.

Voici comment commencer

De mon point de vue, les fondateurs de startups informatiques et de cybersécurité peuvent très bien créer un avenir où l’innovation dans les entreprises prospère aux côtés des défenses numériques de nouvelle génération. Mais le voyage commence par une prise de conscience éclairée.

Les fondateurs peuvent garder une longueur d’avance en se familiarisant avec les réglementations en matière de cybersécurité et les normes de l’industrie, telles que celles mentionnées ci-dessus. La participation à des ateliers et à des événements de l’industrie axés sur les discussions politiques est une étape supplémentaire pour s’informer et s’engager.

Mais les fondateurs peuvent et doivent faire plus qu’écouter. Les startups, souvent à l’avant-garde des progrès technologiques, peuvent défendre avec intérêt les politiques qui favorisent l’innovation ; partager les connaissances avec les décideurs sur les menaces émergentes et proposer des solutions potentielles ; et participer à des initiatives gouvernementales, telles que des groupes de travail et des programmes pilotes.

Les fondateurs peuvent également mener des initiatives qui comblent le fossé entre les startups et les experts en cybersécurité en co-organisant des ateliers ou en animant des événements de partage des connaissances, créant ainsi un espace où les deux parties peuvent apprendre et se développer.

Les avantages de cette collaboration sont considérables. Un engagement proactif avec les décideurs politiques peut conduire à des politiques adaptables qui suivent le rythme de l’évolution rapide du paysage des startups. Les startups, à leur tour, obtiennent des informations précieuses sur les futures orientations réglementaires, ce qui leur permet de planifier leurs mesures de sécurité de manière stratégique.

En fin de compte, en partageant leur expertise, les deux parties - fondateurs et décideurs politiques - peuvent contribuer à la construction d’un écosystème numérique plus sûr et innovant pour toutes les parties concernées.