62 % des Français utilisent "au moins une fois par mois" les services des startups issues des indices French Tech 120 et Next 40 – à l’image de Doctolib, Deezer ou Recommerce. C’est ce que nous apprend un baromètre réalisé par Cyrating, qui souligne également que nombre d’entreprises, d’associations ou d’organismes publics pilotent pour tout ou partie leur activité avec ces mêmes outils. "De par leur présence massive dans l’économie, ces solutions sont devenues des cibles privilégiées pour les cybercriminels. Connaître leur niveau de cybersécurité est un enjeu économique majeur" , pointe dans un communiqué Christophe Ternat, co-fondateur de Cyrating, assurant que ce baromètre est le premier du genre à voir le jour. L’agence de notation spécialisée en cybersécurité, qui assure "évaluer la maturité des entreprises" en la matière avec une "notation objective, automatisée et indépendante" , relève que "les entreprises des French Tech 120 et Next 40 font figure de bonnes élèves".
Des entreprises peu sensibilisées
Dans le détail, la liste des serveurs autorisés à envoyer des mails est déployée sur 24,3 % des noms de domaines détenus par les entreprises du French Tech 120 et du Next 40. Le spécialiste de la cybersécurité note toutefois que la politique à appliquer en cas de mails non conformes n’est présente que sur 7,4 % des noms de domaines. Un chiffre "éloigné des 22,3 % constatés chez les entreprises de la tech au niveau mondial" , selon lui. En matière de chiffrement des données, l’avis de l’Agence nationale de la sécurité des systèmes d’information (Anssi) serait largement suivi : 82 % des sites Web des sociétés des deux indices utilisent les protocoles de chiffrement recommandés. Parmi les points à surveiller figurent les consoles d’administration en ligne des entreprises étudiées, qui n’ont pas toutes verrouillé les accès. Ce qui n’empêche pas les pépites tricolores de faire mieux que leurs homologues étrangères : "En moyenne, 2,5 consoles d’administration se retrouvent exposées par nos championnes, contre 6,6 par les entreprises tech mondiales."
Cyrating alerte surtout quant au cycle de vie des applications. L’agence de notation a ainsi détecté 46 versions d’applications SaaS en fin de vie, au sein des sociétés des French Tech 120 et Next 40. "Ces dernières représentent un risque, puisqu’elles constituent une porte ouverte sur une possible prise de contrôle de ces dernières par des cybercriminels." En prenant l’enjeu de la cybersécurité d’un point de vue macro, le baromètre insiste sur le fait que la surface d’attaque est importante. "14 services inattendus ont été détectés sur les 120 acteurs, dont pas moins de 10 services de prises en main à distance" , observe Cyrating, ajoutant que "si le chiffre est faible, il montre néanmoins un manque de culture en matière de sécurité informatique chez certains des acteurs". Et de formuler un conseil de bon sens : "La détection et la fermeture de ces services s’avèrent cruciales."
Un peloton de tête à prendre en exemple
L’agence de notation salue, dans son étude, les efforts fournis en matière de cybersécurité par dix entreprises des deux indices : 360Learning, Alan, DentalMonitoring, ekWateur, Joone, Mirakl, Pigment, Vestiaire Collective, Wynd et Yousign. "La meilleure note s’établit à 89/100, avec une moyenne à 70/100 et une médiane à 71/100, indique Cyrating, sans décliner les scores de chacune des entreprises. Il convient de noter que 17 entreprises françaises figurent parmi les champions mondiaux de la tech en la matière." Et Christophe Ternat de lancer un appel : "Les dix champions du French Tech 120 et du Next 40 révélés par ce baromètre sont une formidable opportunité afin de diffuser la culture et les bonnes pratiques en matière de cybersécurité vers l’ensemble du tissu économique français."
La méthodologie de Cyrating consiste à s’enquérir de critères variés, portant aussi bien sur les messageries électroniques, sites Internet, consoles d’administration, applications SaaS, et services inattendus que la réputation de l’entreprise. Le niveau de cybersécurité évalué est alors traduit en un score, noté sur 100, afin de faciliter l’appréciation de tout un chacun. "Les entreprises notées peuvent aussi aisément comparer leur niveau à ceux de leurs concurrentes et suivre l’évolution de leur cybersécurité au cours du temps. C’est un bon moyen de donner envie aux collaborateurs d’améliorer leurs comportements, assure l’agence de notation, rappelant aussi le risque qu’encourent les investisseurs en mettant un ticket dans une société mal protégée. La cybersécurité doit devenir un critère de sélection du processus de valorisation des actifs des entreprises."