Fabien Lemarchand est le vice-président Platform and Security de ManoMano, spécialiste français du commerce en ligne dédié au bricolage et au jardinage. Il décrit la culture cyber spécifique de son entreprise et la vision qu’il porte sur l’opportunité de créer une cybersécurité plus collective avec ses prestataires et partenaires.

Alliancy. Comment décririez-vous la « culture sécurité » de ManoMano ?

Fabien Lemarchand. Pour comprendre notre culture cyber, il faut aussi avoir en tête l’originalité de mon périmètre : je suis responsable d’environ 80 personnes qui couvrent à la fois la cybersécurité, les infrastructures techniques et les outils développeurs pour notre marketplace, jusqu’aux product managers. J’ai également la responsabilité de notre DSI, c’est-à-dire de nos outils internes.

Quand j’ai rejoint l’entreprise en 2019, ma mission était de monter une équipe cyber transverse, pour éviter que le sujet soit traité séparément au niveau de chaque équipe. Cela a été l’occasion de partir d’une feuille blanche en mettant vraiment à plat ce que l’on voulait en matière de pratiques de sécurité. C’est ce qui a conduit en 2022 à cet élargissement du département assez atypique.  En entreprise, c’est en effet rarement un chief information security officer qui prend la responsabilité de la plateforme ! C’est pourtant un atout majeur pour déployer des stratégies cyber pertinentes. Dans cette dynamique, la construction de notre culture sécurité s’est concentrée sur deux aspects principaux : partir de l’humain plutôt que des technologies d’une part ; penser comme un attaquant plutôt que comme un défenseur d’autre part.

Comment cela se traduit-il concrètement ?

Dès mon arrivée dans l’entreprise, j’ai préféré consacrer mes premiers mois, non pas à déployer des mesures techniques, mais à construire des pratiques de transparence, de clarté, de collaboration et de marketing de la cybersécurité. L’objectif était d’intégrer le sujet cyber partout au sein de l’organisation. C’était un préalable pour concevoir une stratégie cyber personnalisée par rapport à la réalité de ManoMano, plutôt que de coller un modèle-type existant. Cette personnalisation est pour moi essentielle : nous savons que le risque zéro est impossible vu la croissance exponentielle des cyberattaques ; s’il est impossible de tout bloquer, il est donc important de bien choisir ses combats. Or, certaines menaces sont beaucoup plus significatives pour une organisation plutôt que pour une autre. Il a fallu rendre ce parti-pris visible auprès de tous. On a dû écouter, observer, comprendre les enjeux avant de proposer des démarches de sécurité. Ce travail marketing a été mené à tous les niveaux : auprès du board, des managers, des collaborateurs jusque dans les entrepôts…

Ensuite, l’idée clé est que la sensibilisation ne suffit pas : il faut s’entrainer en permanence. Le sujet cyber est difficile à saisir tant que l’on n’a pas été confronté directement à un problème : mieux vaut donc que cette première expérience se fasse sous contrôle, en interne, plutôt que venant de personnes vraiment mal intentionnées. C’est pourquoi il est si important à mes yeux de penser offensif plutôt que défensif. Le deuxième point clé de notre culture sécurité est donc de faire appel en permanence à des hackers éthiques qui connaissent les techniques et comprennent le mindset des attaquants : ils nous montrent ce qui est possible et réalisable chez nous. Concrètement, cela passe aussi par énormément de bug bounty.

Pourquoi cette mise en avant du bug bounty ?

Déjà, cela permet de faire appel à une communauté et de passer de huit hackers éthiques en interne à plus de 500 contributeurs facilement… Ensuite, c’est ce qui permet de se concentrer sur les vraies menaces, plutôt que celles que l’on théorise ou imagine. Enfin, c’est un moyen de diffuser la cybersécurité dans l’organisation, notamment en impliquant directement les développeurs. Nous nous interdisons d’avoir des processus, des composants, des équipes sécurité, qui ne sont pas intégrés directement dans le quotidien de la production ; que ce soit pour la vérification de code ou la revue contractuelle des prestataires, la sécurité doit être un sujet collectif, partagé. Dans le même ordre d’idée, on fait également beaucoup de « Red Team » pour tester en continue l’organisation et se projeter sur la menace. Il s’agit de tester autant les intrusions physiques que logiques.

De cette façon, on montre que l’organisation doit savoir vivre face à n’importe quelle situation de dégradation… C’est aussi cela qui a permis de faire naître une culture forte en seulement quatre ans.

Est-ce que l’enjeu de « faire de la sécurité un sujet collectif » concerne seulement l’entreprise et ses collaborateurs ?

Non, l’enjeu de tout CISO est d’avoir le même niveau d’exigence en interne que vis-à-vis de ses prestataires notamment. Après tout, ces prestataires traitent des processus métier et des données importantes au même titre que les collaborateurs. Nous sommes main dans la main au niveau business au quotidien… Et en cybersécurité, qu’en est-il ?

Dans ma vision, la sécurité collective repose avant tout sur la création d’un lien de confiance. En interne, on sent que ce lien est créé quand les collaborateurs remontent d’eux-mêmes plus d’alertes réelles de sécurité que votre système : vous voyez qu’ils sont engagés sur des problèmes de sécurité vus par le prisme du business… Nous voulons obtenir le même niveau de confiance et d’engagement vis-à-vis des partenaires : nous sommes honnêtes sur ce que l’on cherche, nous jouons la transparence et nous évitons le « mode répressif » qui consiste à punir les tiers pour des faiblesses. En résumé, oui, on demande à les tester, mais pas dans l’optique de changer les contrats derrière… plutôt pour être plus fort les uns avec les autres.

Est-ce un message audible pour vos prestataires ?

Le plus dur, c’est l’acceptation initiale. Cela nous demande de passer du temps à expliquer notre position, pour qu’ils se mobilisent en ce sens. Toutefois, une fois qu’ils sont convaincus d’agir, il est facile de mettre en place une action collective et de les aider.  Nous avons même communiqué autour d’articles de presse pour démontrer ce que l’on arrive à faire collectivement une fois que ce cap est passé ! Encore une fois, les actions efficaces vont beaucoup reposer sur du bug bounty pour détecter les points faibles réels. En revanche, il est important de souligner la logique de partenariat : plutôt que de rester seulement sur la partie sécurité, cette action collective doit aussi permettre de créer une logique de co-construction autour du produit et du business. Nous montrons aussi que l’on est ouvert pour communiquer conjointement sur ces sujets, pour valoriser le travail réalisé. C’est ce qui permet aussi de passer de l’image de contrainte à celle d’aide au développement. Le plus important, ce n’est pas que nos partenaires n’aient plus de vulnérabilité, c’est impossible, mais qu’ils soient entrés dans une optique de réaction rapide et de transparence vis-à-vis de l’écosystème.

La question se pose-t-elle de la même manière pour les supply chain attacks récentes, qui voient des prestataires SaaS risquer de compromettre leurs clients par le biais de leur mise à jour par exemple ?

Ce risque existera toujours : les cyber-attaques qui fonctionnent le mieux sont justement celles qui entrent par le biais des partenaires et, en rebond, touchent d’autres organisations, souvent plus grandes. Il n’y a pas de solution miracle sur le sujet, mais, dans mon expérience, la veille est un sujet extrêmement important : il faut détecter assez tôt ce qui ne fonctionne pas et comprendre ce qui est réellement exploitable dans son entreprise. On parle beaucoup des vulnérabilités, mais pour une majorité d’entre elle, une vulnérabilité ne signifiera pas une crise. Pour mieux gérer cette menace venant de l’écosystème de l’entreprise, la clé est donc la vitesse de détection et d’exécution. Quand on entre sur un incident de niveau 1 chez ManoMano, toute l’entreprise est mobilisée. Cela permet d’échanger efficacement avec les partenaires technologiques, d’appeler les bonnes personnes pour réagir. Souvent, à travers l’expérience du bug bounty par exemple, nous aurons même une compréhension plus fine du problème que l’éditeur. Pour lui, la vulnérabilité peut ne pas être critique, mais pour nous, couplé avec les caractéristiques de notre système que nous connaissons bien, nous pouvons lui faire apparaître l’impact de la situation pour qu’il réagisse au plus vite.

En ce sens, pousser cette culture du hacker éthique auprès des partenaires, y compris des éditeurs, vaut la peine ; mais c’est du travail. En France, il y a encore un retard considérable sur le sujet. Dans mon écosystème, je dois avoir peut-être 10% des partenaires qui organisent ce type de pratiques d’eux-mêmes sans que je leur demande. C’est aussi pour cela que l’on est très actif auprès des législateurs pour renforcer ce sentiment de responsabilité de tous les acteurs technologiques.