Attaques web, phishing, rançongiciels... la cybermenace plane sur les e-commerçants, comme d'ailleurs sur l'ensemble des entreprises, de la start-up au grand groupe. Et à l'heure d'une numérisation galopante de l'économie, elle ne cesse de s'intensifier. En 2019, la place de marché ManoMano, une licorne de la French Tech spécialisée dans le bricolage (C.A. 2020 : 1,2 milliards d'euros), avait subi 400 000 tentatives d'attaques informatiques. Avec le développement de sa visibilité, du nombre de produits et de ses transactions, la cybermalveillance contre la plateforme a même atteint pas moins de 4 millions de tentatives d'assaut l'an dernier. « A date, nous avons toujours réussi à les anticiper et les bloquer », se félicite Fabien Lemarchand, Responsable Sécurité des Systèmes d'Information (RSSI) chez ManoMano.

La recette pour se protéger ? La start-up s'est armée d'une stratégie ambitieuse, à la hauteur des enjeux, puisque les attaques des cybercriminels peuvent non seulement rendre indisponible un site mais aussi dérober les données. Or, dans un secteur comme l'e-commerce, la confiance des clients est clé. Dès lors, on imagine l'impact négatif potentiel sur l'activité de l'entreprise, tant du point de vue réglementaire que financier et d'image... De quoi motiver la licorne, forte aujourd'hui de mille collaborateurs, à se doter d'une équipe de huit personnes dévolues exclusivement à la cybersécurité, tout en intégrant la sécurité informatique au fonctionnement de l'ensemble des métiers.

De l'entraînement au « bug bounty »

« Nous entraînons nos collaborateurs en les mettant en situation réelle. L'équipe de cybersécurité se met dans la peau d'un acteur malicieux et utilise les données disponibles publiquement pour essayer de viser les collaborateurs de ManoMano. Puis, nous voyons ensemble comment ils réagissent pour ensuite corriger, dans un cadre bienveillant et pédagogique, leurs démarches », détaille Fabien Lemarchand. « De fait, 99 % des attaques surviennent à la suite du dernier geste, qui est humain, comme un clic, un téléchargement ou le fait de donner une information », précise-t-il.

Autre pilier, plus offensif : le « bug bounty », autrement dit des primes attribuées à des « hackers éthiques » qui cherchent des failles de sécurité dans le système avant que les cyberattaquants malicieux le fassent. Des opérations qui font appel à la communauté externe, mais aussi en interne. « La moitié de notre équipe de cybersécurité est constituée de hackers éthiques », indique Fabien Lemarchand. « Comme la plateforme d'une start-up en hypercroissance évolue tous les jours, ces mesures permettent de tester la sécurité en temps réel ».

Le cloud, un écosystème agile

Un environnement, en somme, qui nécessite une grande agilité. C'est pour cette raison que ManoMano a migré, fin 2019, ses sites et ses applications d'un ancien hébergeur vers le cloud Amazon Web Services (AWS). « Nous avions besoin d'un écosystème beaucoup plus flexible et agile pour accélérer notre innovation et le développement de notre plateforme. Or, notre ancien infogéreur avait une organisation très statique qui rendaient les modifications plus difficiles », affirme Fabien Lemarchand. « En migrant vers le cloud AWS, nous avons récupéré en interne la gestion de notre plateforme. Surtout, nous avons pu mettre en place beaucoup de processus et d'outils pour automatiser la maintenance et la gestion de l'infrastructure et de technologies, ce qui permet à nos développeurs de se concentrer sur un travail plus avancé pour nos clients et nos marchands », développe le responsable.

En résumé, « le cloud nous a permis de consolider et d'harmoniser tous nos processus métiers et techniques. Résultat, moins de risque d'exceptions et donc une meilleure visibilité, un meilleur contrôle et une meilleure maîtrise de la cybersécurité », estime Fabien Lemarchand. Autre point, « nous pouvons ajouter nos propres vérifications dans ces processus automatisés de sécurité ». Enfin, « les serveurs sont gérés par AWS. Nous n'avons donc pas à nous soucier des mises à jour », ajoute ce responsable. Sans oublier que dans le cloud AWS, les données de ManoMano sont chiffrées. « Nous sommes les seuls à posséder les clés de chiffrement », assure-t-il. Last but not least, le cloud AWS, fruit du groupe Amazon, est « bien construit pour le retail et les e-commerçants ». Autant d'avantages qui confortent la pépite, valorisée à plus de 2 milliards d'euros, dans son approche de cybersécurité... pour mieux poursuivre son développement fulgurant.