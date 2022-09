Silicon.fr vous invite à participer à l’élection du MANAGER IT 2022. Découvrez Fabien Lemarchand, VP Platform & Security de ManoMano.

On n’ose à peine la reprendre à son compte… Pourtant la locution « la meilleure défense, c’est l’attaque » résume bien la stratégie de cybersécurité offensive déployée depuis deux ans par Fabien Lemarchand, le vice-président Platform & Security de ManoMano, site e-commerce leader sur le marché du bricolage, jardinage et maison.

« Notre approche est simple : nous pensons et agissons comme un attaquant, malveillant », résume-t-il. « Nous », c’est la Red Team, une équipe de huit hackers éthiques recrutés par ses soins après une longue période d’observation.

Et « Agir comme un attaquant » signifie organiser des attaques répétées et sans alerte préalable sur le système d’information mais aussi sur les collaborateurs. D’autant que le nombre d’attaques augmente avec la notoriété acquise par ManoMano : 1 million d’attaques quotidiennes à son arrivée contre plus de 4 millions aujourd’hui.

« Les deux piliers de notre action cyber sont cette approche offensive et les collaborateurs de l’entreprise. Ici, ils sont considérés comme un maillon fort car, quel que soit le type d’attaque, le dernier geste qui permet le succès ou l’échec d’une cyberattaque demeure un geste humain »

De la cybersécurité offensive au Chaos Engineering

Cette stratégie il l’a « vendu » à son comité exécutif. Et il a obtenu carte blanche.

Le choix de ManoMano fait figure d’exception tant son approche est à contre-courant. « Notre travail n’a pas vocation à protéger l’entreprise mais de la rendre autonome afin qu’elle se protège elle-même. L’objectif n’est pas de sensibiliser mais d’entrainer. » détaille Fabien Lemarchand.

A l’instar des attaques externes, tous les coups sont permis…du ransomware au social engineering en passant par le vol de données. « On attaque tout le temps et tout le monde, même le week-end » précise-t-il.

Après chaque attaque vient le moment de la pédagogie. « Notre méthode, c’est ‘’connect before correct’’. Nous rencontrons toutes les équipes de ManoMano pour expliquer nos actions : quelles étaient les faiblesses et comment nous pouvons les améliorer. Ça nous a permis de créer une culture cyber très forte. Nous sommes des coachs pour rendre les gens plus performants. L’objectif ultime c’est que l’entreprise puisse vivre sans nous » insiste Fabien Lemarchand.

Les « soft skills » sont les critères qui ont déterminé le recrutement de la Red Team. « La réussite de cette stratégie repose sur cette équipe. Ce sont de supers communicants.»

La Red Team développe d’ailleurs un autre volet de sa stratégie offensive : le Chaos Engineering. Les responsables de la production sont prévenus : des attaques sur des portions du système d’information vont se multiplier. Objectifs : mesurer la capacité de réaction de ManoMano en entrainant les « Ops » à être réactifs.

