Rawpixel.com - stock.adobe.com

Cdiscount protège ses applications Web

Le site de commerce électronique utilise les équipements d'Imperva depuis 2008. Mais depuis deux ans, il va plus loin, s'appuyant sur eux pour gagner en visibilité sur les automates.

Cela fait quasiment dix ans que Cdiscount a décidé de s’appuyer sur les équipements d’Imperva pour protéger des applications Web d’éventuelles attaques. Ceux-ci ont été retenus à la suite d’un appel d’offres, essentiellement pour leur adaptabilité. Fabien Lemarchand, RSSI de Cdiscount, explique en effet que le commerçant en ligne avait besoin de beaucoup de flexibilité et de souplesse pour ses WAF afin de pouvoir en ajuster rapidement la configuration face à des « menaces complexes » nécessitant « beaucoup de spécifique ». Et rapidement, dans son environnement, cela peut vouloir dire « dans l’heure ».

Et s’il a continué d’accorder sa confiance à Imperva, c’est aussi parce que l’équipementier a su, au fil des ans, faire la démonstration de la même flexibilité dans la conception de ces produits : « on les met au défi tous les jours ». Et pour Fabien Lemarchand, l’équipementier sait faire avancer ses produits en écoutant les demandes de ses clients et en « sortant des releases rapidement ».

Plus loin, en 2011, la certification PCI DSS (« Payment Card Industry Data Security Standard ») d’Imperva a été l’occasion de renforcer encore les liens entre l’équipementier et Cdiscount : « nous voulions être nous-mêmes certifiés PCI DSS. Nous avons été le premier site d’e-commerce en Europe à l’être », explique Fabien Lemarchand.

Dans la pratique, les équipements d’Imperva sont déployés derrière les équilibreurs de charge, et devant les serveurs applicatifs Web. Ils n’assurent pas la protection contre les dénis de service. Pour cela, Cdiscount s’appuie sur Acorus Networks, même s’il fait parfois appel à Incapsula pour des applications à courte durée de vie.

Mais depuis deux ans, Cdiscount compte aussi sur Imperva pour l’aider à gagner en visibilité sur les bots, un sujet difficile, comme a récemment pu l’expliquer Oui.sncf (ex-Voyages-SNCF). Comme le souligne Fabien Lemarchand, les « bons » bots d’indexation sont connus. De nombreux « mauvais » bots le sont aussi. Mais entre les deux, la zone grise n’est pas mince : « Imperva nous amène de la visibilité et nous aide à classer les bots afin que l’on puisse leur apporter la bonne stratégie », comme décider de couper la connexion, d’afficher un captcha ou de basculer sur une autre ferme de serveurs.

Les équipements d’Imperva n’interviennent pas là seuls : outre une veille régulière sur les menaces Web, les équipes de Cdiscount assurent une analyse approfondie pour affiner et finaliser la classification des bots.

Et l’enjeu est important. Car les bots représentent tout de même de l’ordre de 50 % du trafic. Alors dans ces conditions, il n’est pas question de les laisser affecter l’expérience utilisateur… Et c’est moins une question de bande passante que de charge sur les serveurs : « c’est un point crucial sur lequel nous sommes très satisfaits », souligne Fabien Lemarchand.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close