Fabien Lemarchand (ManoMano) : « identifier les menaces pour être prêts quand elles surviennent »

Pouvez-vous nous présenter ManoMano ?

ManoMano est une place de marché dédiée au bricolage, au jardin et à la maison présente sur six pays. Notre offre marchande est uniquement en ligne, sur navigateur ou via application mobile. Par ailleurs, nous avons développé une offre logistique et entrepôts pour les marchands qui souhaitent nous déléguer cette partie mais ce n’est nullement une obligation pour eux.

En tout, nous proposons seize millions de références produits issues de 5000 marchands partenaires mais nous sommes une place de marché pure, donc sans aucun stock en propre. Notre site reçoit cinquante millions de visites par mois et sept millions de clients actifs nous font confiance.

Vous êtes « vice-président plate-forme et sécurité ». Qu’est-ce que cela signifie ?

J’ai toujours en charge la cybersécurité (auparavant, j’étais RSSI). Je m’occupe également de nos infrastructures cloud, de la DSI interne et je suis product owner de la plate-forme e-commerce. Par contre, je ne m’occupe pas du développement de cette plate-forme.

Quelle est l’architecture générale adoptée par ManoMano ?

Nous avons fait le choix, en 2019, d’être full cloud chez AWS. Auparavant, nous étions chez un petit hébergeur privé mais seul le cloud nous permettait la scalabilité et la flexibilité (à la hausse comme à la baisse) pour accompagner notre hyper-croissance d’un facteur sept depuis 2019. Au delà d’absorber le trafic en croissance exponentielle, il s’agissait aussi de disposer de l’outillage pour automatiser la production et pour maîtriser nos coûts.

ManoMano est une entreprise technologique : nous développons toute la plate-forme e-commerce en interne avec nos 500 collaborateurs dans la Tech dont 250 développeurs. L’architecture est à base de micro-services. Notre Legacy est en PHP mais, de plus en plus, nous utilisons Java et Go.

Quelle est votre approche de la résilience et de la cybersécurité ?

Notre approche est transparente et claire pour tous. L’équipe cybersécurité a rencontré chaque collaborateur, du fondateur au personnel des entrepôts, pour bien expliquer la cybersécurité à chacun. Le but était de faire prendre conscience des menaces effectives pouvant impacter l’entreprise. En effet, nous avons tous, individuellement, un rôle à jouer pour la résilience de l’entreprise.

De ce fait, nous devons tous nous entraîner. C’est la raison pour laquelle, et chacun le sait dans l’entreprise, nous simulons pédagogiquement de manière inopinée des incidents pour entraîner nos collaborateurs autour de faiblesses réelles. La résilience a deux piliers : l’humain (nous devons faire comprendre les risques et les bonnes pratiques) et l’offensif (identifier les vraies menaces, s’entraîner pour être prêts quand cela arrivera). Chaque collaborateur est devenu notre premier lanceur d’alerte. La moitié des alertes est ainsi issue des collaborateurs, l’autre moitié des outils.

Toutes les semaines, nous allons lancer une simulation pédagogique et inopinée en conditions réelles (phishing, intrusion, etc.) en tenant compte de l’actualité, des tendances. Nous entraînons tout le monde, du fondateur aux salariés en entrepôts. Il n’est pas question d’égo mais uniquement d’apprendre et d’être prêt.

Notre équipe sécurité est essentiellement composée de hackers éthiques donc avec un état d’esprit de bug bounty et très « coach » pour nos collaborateurs. J’insiste : il s’agit d’anticiper les menaces, de permettre à tout le monde de progresser et d’être prêt lorsqu’une menace survient réellement.

Vous avez mis en œuvre l’approche SASE. Etant donné que vous avec une architecture full cloud, quelle en est la raison ?

Notre architecture est effectivement full cloud, qu’il s’agisse de notre plate-forme e-commerce comme de nos outils internes (ERP fait maison sur AWS, Google Workplace…). Mais, pour maîtriser les identités et les accès, il fallait centraliser cette fonction de gestion des identités et celle d’identification. Auparavant, nous avions uniquement une solution interne basée sur la solution open-source KeyCloak. Nous avons conservé cette solution pour l’identification des clients. Par contre, pour l’interne, nous avons opté pour Okta avec une double-authentification systématique pour accéder à tous nos systèmes.

A ce jour, nous n’avons pas eu à déplorer des attaques réussies en force brute ou suite à une tentative de phishing. Celles-ci sont en effet systématiquement bloquées. Nous misons sur un monitoring permanent des comportements pour repérer les anomalies.

Par ailleurs, nous surveillons également les dataleaks [annonces de captations de données suite à des piratages, notamment sur les forums de cybercriminels, NDLR] concernant nos partenaires. Si un problème apparaît, nous appelons le client concerné et l’invitons à changer ses mots de passe. Il peut souvent arriver que le mot de passe utilisé pour ManoMano soit le même que sur Amazon ou autres plates-formes. De même, si nous détectons une anomalie dans le comportement de leur compte, nous les prévenons.

Pour garantir votre résilience, vous avez adopté le « chaos engeneering ». De quoi s’agit-il exactement ?

Cette pratique date d’une dizaine d’années chez Netflix et nous l’appliquons nous-mêmes depuis plusieurs années. Le principe est simple : on casse un élément du SI au hasard (on éteint un serveur par exemple) et on regarde ce qui se passe. Les équipes ne savent pas, à l’avance, ni où la fausse-panne va avoir lieu, ni quand, ni selon quel scénario.

Depuis un an, nous avons élargie à la cybersécurité cette approche. Par exemple, nous simulons une intrusion. L’équipe doit alors trouver ce qui s’est passé, le mode opératoire, bloquer l’intrus, résoudre le problème et corriger l’éventuelle faille.

Nous menons plusieurs opérations de chaos par an.

Pour vous, la guerre des talents est-elle un sujet ?

Comme partout, bien sûr. D’autant que nous voulons justement des « talents », les bonnes personnes pour couvrir nos besoins. Le recrutement, la rétention des talents et leur évolution sont des piliers de notre fonctionnement. Cela dit, quand un de nos collaborateurs part pour gagner en responsabilités ailleurs, nous sommes fiers de l’avoir formé et nous ne mettons aucune barrière à son départ.

Parmi les facteurs de notre séduction, il y a bien sûr le télétravail, notre contexte technique avec les dernières technologies présentes sur le marché et notre hypercroissance. Mais le tout premier, clairement, est constitué par les nombreux challenges sur lesquels nous faisons travailler nos collaborateurs. Ceux-ci apprécient leur grande autonomie, leur formation en continu et la liberté de parole. Cette liberté de parole permet, en interne, de pousser les sujets que l’on estime importants et, en externe, de témoigner dans des colloques, des médias, etc. Nous estimons en effet que multiplier de tels témoignages permet, d’une part, d’échanger avec nos pairs pour progresser et, d’autre part, montrer ce dont nous sommes fiers.

La French Tech est une très belle chose pour le dynamisme de la France. Il y a certes une compétition pour les meilleurs talents mais cette compétition est saine.

Quels sont vos prochains défis ?

Tout d’abord que les tests selon l’approche du chaos engeneering ne constituent plus des événements, des défis ponctuels, mais que ce soit la norme dans le travail quotidien. Nous testons régulièrement la qualité de notre code, la cybersécurité et la résilience de la production informatique.

Nous devons également élever le niveau de confiance avec nos partenaires, savoir mieux collaborer avec eux. Nous effectuons aussi des tests pédagogiques auprès d’eux pour les entraîner.

En interne, nous devons veiller à maintenir notre niveau d’entraînement.

Enfin, nous voulons contribuer à un impact positif sur la société. A ce titre, nous participons à Hack4Values, un bug bounty gratuit offert aux ONG.