Projets

Fabien Lemarchand (RSSI de ManoMano) : « la confiance numérique a une valeur business »

Retrouvez cet article dans le CIO FOCUS n°180 !

La transformation numérique est aussi une transformation de la DSI

Des Etats-Unis à l'Afrique en passant par l'Europe, la transformation numérique ne se fait pas sans transformation de la DSI. Il faut repositionner le rôle du CIO et de la DSI. Il faut transformer son fonctionnement. Et ne jamais oublier que les budgets restent limités.

Découvrir

---

ManoMano, la place de marché dédiée au bricolage, au jardinage et à l'équipement de la maison, a créé le poste de RSSI en juin 2019. L'entreprise devait en effet structurer sa stratégie de sécurité pour accompagner sa très forte croissance. Six mois après, Fabien Lemarchand, le RSSI, a pu lancer avec Yogosha une campagne permanente de bug bounty.

PublicitéCIO : Pouvez-vous nous présenter ManoMano ?

Fabien Lemarchand : Créée en 2013, ManoMano est une plate-forme de mise en relation entre des vendeurs spécialisés et les clients finaux. C'est une place de marché en ligne pure : nous ne gérons pas de stock. Cependant, nous mettons en oeuvre nos premiers entrepôts pour proposer de gérer le stockage, l'emballage et l'expédition pour le compte des vendeurs. Nous intervenons dans les domaines du bricolage, du jardinage et de l'équipement de la maison en France, en Belgique, en Grande-Bretagne, en Italie, en Allemagne et en Espagne. Nous avons trois sites : Paris, Bordeaux et Barcelone.
Notre entreprise connaît une très forte croissance, de l'ordre de 50 % par an. Nous avions un chiffre d'affaires d'environ 300 millions d'euros en 2018 et nous avons atteint les 620 millions en 2019.

CIO : Vous avez été nommé RSSI de ManoMano en Juin 2019. Quelle était alors la situation ?

Fabien Lemarchand : C'était une création de poste. Auparavant, la sécurité était gérée par le CTO. Et les développeurs s'occupaient de la sécurité dans le cadre de leurs tâches quotidiennes. Il n'y avait donc pas de stratégie de sécurité mais cela ne veut pas dire qu'il n'y avait pas de sécurité.
La direction de l'entreprise avait pris la décision de construire une stratégie de sécurité informatique pour permettre et accompagner la croissance de l'entreprise. En effet, avant, tout était à taille humaine et nous avions une faible visibilité. Mais, avec l'hypercroissance, le cyber-risque devenait un enjeu important. Depuis mon arrivée, le nombre de cyber-attaques s'est accru d'un facteur compris entre 100 et 200 !

CIO : Pourquoi avoir rejoint ManoMano ?

Fabien Lemarchand : Rejoindre ManoMano était une opportunité de partir d'une feuille blanche avec un vrai soutien du management pour qui le sujet de la sécurité IT était essentiel à la croissance du business.

CIO : Qu'avez-vous fait dans les premiers temps ?

Fabien Lemarchand : Il est important de faire les choses bien dès le début pour donner une bonne image de la sécurité informatique.
Les trente premiers jours, je les ai consacrés aux évaluations et surtout à rencontrer tous les métiers un à un pour bien comprendre la vision que chacun avait de la sécurité : CODIR, management, développeurs, business, operations, finance, service client... aussi bien en dehors de l'IT qu'au sein de l'IT. J'ai d'ailleurs commencé par les métiers hors IT pour comprendre l'entreprise et ses process. Il était important de bien les écouter et de raconter ce que nous allions faire ensemble. Ainsi, en tant que RSSI, je pouvais comprendre non seulement ce qu'attendait de moi la direction mais aussi les opérationnels. Simultanément, nous avons commencé à constituer une équipe dédiée à la sécurité.
Le mois suivant, nous avons créé deux feuilles de route : un plan d'action à six mois avec des gains rapides aux bénéfices compréhensibles [« quick wins »] et un plan stratégique sur trois ans. Ces deux plans ont ensuite été présentés.
Enfin, nous avons mis en oeuvre les décisions prises et nous en avons mesuré les résultats.
Sur les six premiers mois, nous avons également organisé l'équipe dédiée à la sécurité IT (composée aujourd'hui de cinq personnes sous mes ordres), nous nous sommes protégés contre les menaces externes et nous avons amorcé l'acquisition d'une culture de la sécurité par tous les collaborateurs. Le bug bounty mis en place à partir de six mois est un vecteur parfait pour raconter une histoire... si on estime que la sécurité est suffisante : les équipes sont ainsi motivées pour s'y préparer. Et on a aussi démontré que la sécurité des SI peut proposer des gains rapides.

PublicitéCIO : Quelle différence y-a-t-il entre une entreprise installée, comme celle où vous travailliez auparavant, et une entreprise en hyper-croissance comme ManoMano ?

Fabien Lemarchand : Bien sûr, les moyens ne sont pas illimités dans une entreprise en hyper-croissance. Il n'est pas possible d'acquérir des licences de logiciels hors de prix mais il faut plutôt chercher la cohérence économique. Cela ne veut pas dire que nous n'avons pas de moyens : le budget dédié au recrutement a ainsi été intéressant. Ce n'est donc pas forcément une contrainte : moins de coûts récurrents, plus en ressources humaines. Nous avons besoin d'être ingénieux. C'est d'autant plus intéressant.
Dans mon entreprise précédente, il y avait une belle équipe et de bons moyens. Mais quand on vient vous chercher pour une société en hypercroissance, cela signifie que la direction est très motivée. Le terrain est vierge, il y a de la volonté et il est donc facile de planter les graines de la cybersécurité dans un terreau favorable.
Nous sommes en mode construction. Nous sommes partis d'une feuille blanche. Nous avons eu la possibilité de définir la sécurité sans contraintes issues d'un passé.
Les besoins métier évoluent vite. Nous avons besoin d'être agiles et innovants.

CIO : Vous avez parlé de cohérence économique. Comment tirez-vous une valeur business de la sécurité informatique ?

Fabien Lemarchand : De fait, la valeur business se mesure de façon indirecte et sur le long terme.
D'abord, il s'agit de soutenir l'entreprise pour atteindre ses objectifs. La sécurité amène une absence de freins liés à des cyber-attaques, du phishing, des fuites de données, etc.
Surtout, la cybersécurité est utilisable pour développer une cyberconfiance avec notre écosystème de commerçants et de clients. Nous pouvons fidéliser avec la confiance : en protégeant ManoMano, nous protégeons à la fois nos clients et nos marchands. La confiance numérique a une valeur business.
Et la confiance numérique interne à l'entreprise aussi a une valeur business. Nous développons plus une vision attaquants que défenseurs : nous cherchons à nous piéger selon des risques étudiés pour tirer un bilan et mettre en place une correction.

« Sur mes cent premiers jours, j'ai fait plus de communication que de technique. »

CIO : Qu'apporte concrètement cette approche « attaquants » ?

Fabien Lemarchand : Nous avons pu développer une stratégie de sécurité en six mois et démontrer rapidement la valeur de certaines recommandations comme la double-identification. Une fois piégés (messageries piratées...), les gens la mettent en place !
Les collaborateurs ont pris l'habitude d'être mis à l'épreuve et font donc attention sur les vraies menaces. La sécurité n'est plus réalisée pour la conformité réglementaire mais parce que c'est bon pour l'entreprise.
Pour moi, la culture sécurité est nettement plus importante que l'IA, les firewalls, etc. En effet, grâce à la culture sécurité, les collaborateurs font attention et appliquent les procédures.
Sur mes cent premiers jours, j'ai sans aucun doute fait plus de communication que de technique.

CIO : Au bout de six mois seulement, vous vous êtes lancé dans un bug bounty. Combien de temps votre campagne a-t-elle duré ? Comment avez-vous procédé ?

Fabien Lemarchand : La campagne a démarré le 2 décembre 2019... et continue aujourd'hui, sur toute la plate-forme. L'approche est concrète, ambitieuse et aux résultats mesurables. Il ne s'agissait pas d'être bon seulement le 2 décembre. Il faut être bon tout le temps : dès que l'on baisse la garde, les pirates arrivent. Nous n'avons pas le droit d'être mauvais une heure parce que l'on a appliqué une évolution de code de mauvaise qualité.
Quand une entreprise se lance dans un bug bounty, c'est que l'amont a été réalisé : le code est sécurisé, les tests d'intrusion achevés en interne, les correctifs (mis au point par collaboration entre l'équipe sécurité et les développeurs) appliqués... Il est d'ailleurs important que l'équipe sécurité mette les mains dans le cambouis avec les développeurs pour bien montrer à tous que nous travaillons non pas l'un contre l'autre mais l'un avec l'autre, pour l'entreprise.
Le 2 décembre, seul le CTO de l'entreprise était au courant. Tout d'un coup, il y a eu un gros trafic illégitime. Et cela a permis de vérifier que les réactions des équipes étaient bonnes. Nous travaillons avec Yogosha qui recrute les hackers, vérifie leur profil et les gère. Un bug bounty, c'est un challenge quotidien, continu, qui n'a rien à voir avec des tests d'intrusion focalisés toujours sur les mêmes choses. Yogosha est commissionné selon la gravité de la faille découverte. Un bug bounty peut donc coûter très cher si on ne maîtrise pas sa sécurité. Nous pouvons dire que c'est un succès car les hackers de Yogosha ont eu du mal à trouver des choses intéressantes.
En moins de six mois, nous avons donc réussi à nous lancer avec succès dans du bug bounty. C'est une vraie fierté pour nos équipes.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article