On n’ose à peine la reprendre à son compte… Pourtant la locution « la meilleure défense, c’est l’attaque » résume bien la stratégie de cybersécurité offensive déployée depuis deux ans par Fabien Lemarchand, le vice-président Platform & Security de ManoMano, site e-commerce leader sur le marché du bricolage, jardinage et maison.
« Notre approche est simple : nous pensons et agissons comme un attaquant, malveillant », résume-t-il. « Nous », c’est la Red Team, une équipe de huit hackers éthiques recrutés par ses soins après une longue période d’observation.
Et « Agir comme un attaquant » signifie organiser des attaques répétées et sans alerte préalable sur le système d’information mais aussi sur les collaborateurs. D’autant que le nombre d’attaques augmente avec la notoriété acquise par ManoMano : 1 million d’attaques quotidiennes à son arrivée contre plus de 4 millions aujourd’hui.
« Les deux piliers de notre action cyber sont cette approche offensive et les collaborateurs de l’entreprise. Ici, ils sont considérés comme un maillon fort car, quel que soit le type d’attaque, le dernier geste qui permet le succès ou l’échec d’une cyberattaque demeure un geste humain »
Cette stratégie il l’a « vendu » à son comité exécutif. Et il a obtenu carte blanche.
Le choix de ManoMano fait figure d’exception tant son approche est à contre-courant. « Notre travail n’a pas vocation à protéger l’entreprise mais de la rendre autonome afin qu’elle se protège elle-même. L’objectif n’est pas de sensibiliser mais d’entrainer. » détaille Fabien Lemarchand.
A l’instar des attaques externes, tous les coups sont permis…du ransomware au social engineering en passant par le vol de données. « On attaque tout le temps et tout le monde, même le week-end » précise-t-il.
Après chaque attaque vient le moment de la pédagogie. « Notre méthode, c’est ‘’connect before correct’’. Nous rencontrons toutes les équipes de ManoMano pour expliquer nos actions : quelles étaient les faiblesses et comment nous pouvons les améliorer. Ça nous a permis de créer une culture cyber très forte. Nous sommes des coachs pour rendre les gens plus performants. L’objectif ultime c’est que l’entreprise puisse vivre sans nous » insiste Fabien Lemarchand.
Les « soft skills » sont les critères qui ont déterminé le recrutement de la Red Team. « La réussite de cette stratégie repose sur cette équipe. Ce sont de supers communicants.»
La Red Team développe d’ailleurs un autre volet de sa stratégie offensive : le Chaos Engineering. Les responsables de la production sont prévenus : des attaques sur des portions du système d’information vont se multiplier. Objectifs : mesurer la capacité de réaction de ManoMano en entrainant les « Ops » à être réactifs.
> Je vote pour le Manager IT 2022 ici
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…