Comment une startup indienne de la distribution alimentaire a-t-elle pu perdre, puis retrouver, l’intégralité de ses données sans être capable d’expliquer ce qui s’est réellement passé ? KiranaPro, un récent acteur du marché, est aujourd’hui au cœur d’un incident troublant qui soulève de nombreuses interrogations sur la sécurité informatique et la gestion RH dans l’écosystème tech en Inde.
La semaine dernière, KiranaPro, basée à Bangalore, découvre subitement que ses serveurs sont inaccessibles, et que tous ses fichiers – y compris le code source de son application sur GitHub – ont disparu. Est-on face à une cyberattaque externe ou à une vengeance interne ? L’entreprise blâme, sans preuve définitive, un ancien employé – mais admet elle-même qu’aucune mesure sérieuse n’a été prise pour supprimer l’accès de ce salarié après son départ. N’est-ce pas là une brèche béante dans le protocole de sécurité ?
Face à la presse, le CEO Deepak Ravindran tente de rassurer mais laisse planer le doute : “Nous allons mener une enquête forensic, en discuter avec nos investisseurs et notre conseil”, annonce-t-il, tout en s’appuyant sur un simple email de GitHub mettant en cause le compte de l’ex-employé comme élément principal de sa “conviction”. Est-il possible que quelqu’un ait usurpé ce compte, ou la piste du malware est-elle totalement exclue ? L’entreprise semble loin d’avoir toutes les réponses, et le public, lui, reste sur sa faim.
En l’absence d’enquête technique approfondie, peut-on vraiment désigner un coupable, ou assiste-t-on à une gestion de crise maladroite et précipitée ?
La confusion grandit lorsque KiranaPro reconnaît, par la voix de son CTO Saurav Kumar, que l’entreprise n’a même pas “offboardé” l’ex-employé, faute de pôle RH dédié. On découvre ainsi que les fondamentaux de la gestion des accès semblent avoir été négligés, laissant le champ libre à toute exploitation malveillante post-départ. Le risque n’était-il pas prévisible, surtout dans une jeune pousse manipulant des données sensibles de plus de 55 000 clients dans 50 villes ?
Sur le plan opérationnel, KiranaPro a heureusement pu restaurer ses données GitHub via une sauvegarde détenue par un autre employé, et a regagné l’accès à son compte AWS. Mais là encore, les dirigeants peinent à expliquer techniquement comment leur système, protégé par une authentification à deux facteurs, a pu être compromis. Aucun signal d’alerte n’a été reçu, aucune sortie non-autorisée de données n’a été détectée – du moins selon leurs dires. Mais comment en être sûr alors que l’enquête ne fait que commencer ?
Une autre zone d’ombre plane : la société, malgré une récente levée de fonds d’1,2 million de dollars, n’aurait pas pu verser la totalité des salaires à ses employés. Les turbulences financières s’ajoutent donc à la crise de confiance, interpellant sur la solidité de la startup et sa gouvernance, d’autant qu’elle compte parmi ses investisseurs des poids lourds comme Blume Ventures ou même des personnalités du sport ou du conseil international.
KiranaPro se dit prête à porter plainte, mais devra-t-elle aussi se pencher sur ses propres failles organisationnelles avant d’incriminer quelqu’un d’autre ? Le flou entretenu autour de l’incident sape-t-il déjà la crédibilité d’un service qui fait de la confiance et de la rapidité ses arguments premiers ?
Face à cet imbroglio où personne, ni à la direction ni parmi les utilisateurs, n’a de certitudes, on ne peut que se demander : dans la jungle des startups indiennes de la tech, qui surveille vraiment la sécurité des données et assume les responsabilités en cas de catastrophe ?
Source : Techcrunch
