peopleimages.com - stock.adobe.c
Cdiscount opte pour la plateformisation de sa sécurité
Le site de E-Commerce et ses filiales, 400 sites en tout, a refondu son architecture de sécurité maison pour aller chez Cloudflare. A la clé, plus de simplicité au quotidien pour opérer la plateforme, mais aussi pour analyser les attaques et les bots.
Filiale IT de Cdiscount, Peaksys a été créée en 2021. Cette entité compte aujourd’hui plus de 600 personnes et soutient le développement de Cdiscount dans le B2C, mais aussi les activités B2B comme la marketplace Octopia, C-Logistics et Cdiscount Advertising.
Le groupe compte de l’ordre de 16 millions de visiteurs uniques par mois. Ce trafic représente plus d'un milliard de requêtes sur le moteur de recherche. Le site de Cdiscount représente plus de 90 % du trafic, avec 25 milliards de requêtes et un volume de trafic aux alentours des 800 To par mois. Le CDN opéré en propre par Peaksys représente 6 To d'images stockées sur une durée de 10 jours, soit 60 millions d'objets.
« Pour un leader français du commerce, on ne peut pas se permettre d'avoir d'indisponibilité, parce que chacune d'entre elles nous coûte beaucoup d'argent », résume Thibault Mori, directeur infrastructure et production de Peaksys. Jusqu’en 2024, l’infrastructure de sécurité de Cdiscount reposait sur une solution anti-DDoS de niveau 7, un WAF SaaS en amont des deux points d’accès interconnectant les deux datacenters du groupe, dotés chacun d’un firewall on-premise : « le constat réalisé en 2024 a fait apparaître plusieurs difficultés du point de vue opérationnel, sécurité et un problème de coût de cette infrastructure. Nous avons estimé que nous ne pouvions continuer comme ça face à la croissance de l’entreprise. Nous devions repenser toute cette stratégie ».
L’équipe infrastructure devait gérer différentes solutions issues de plusieurs éditeurs, avec toute la complexité qu’implique de devoir corréler des données de plusieurs solutions.
Objectif n°1: simplifier l’architecture de sécurité
Début 2025, l’équipe infrastructure décide de refondre cette architecture pour simplifier sa sécurité et sa gestion opérationnelle : « nous avons souhaité aller vers un leader du marché sur lequel on pourrait venir poser toutes les briques de sécurité, notamment l’anti-DDoS, la protection contre les bots, la protection applicative », explique Thibault Mori, « mais aussi les éléments plus custom que nous avions bâtis, notamment la partie CSP, donc client-side protection, pour tout ce qui est paiement, et la partie CDN ».
Cette simplification du socle technique devait aussi permettre d’accélérer l'analyse en cas d'incident, notamment sur les incidents récurrents, qu’il s’agisse de tentatives d’attaques ou de bots qui parvenaient à déjouer les défenses : « corréler l'analyse dans les différentes strates d'outils, dans les logs, c'était complexe. Et on perdait énormément de temps sur la résolution », ajoute le responsable. Enfin, cette consolidation devait permettre à Peaksys d’optimiser ses coûts. Une phase de 3 mois de PoC est alors menée auprès des plus gros acteurs du marché.
Donatien Miramont, responsable de l'équipe Réseau Sécurité Opérationnelle de Peaksys explique pourquoi Cloudflare est sorti gagnant de cette phase d’évaluation : « le premier argument en faveur de la plateforme, c’est la simplicité. Quand on a fait le choix de la solution, en gros, nous disposions d’un mois seulement pour basculer de nos technologies à la solution. Un mois, c'est très court, surtout en période de soldes d'été. Nous devions aller vite et ce qui nous a plu dans Cloudflare, c'est la simplicité de la solution ».
La phase d’onboarding des équipes est simplifiée car une seule console donne accès à l’ensemble des fonctionnalités de la plateforme. En outre, les utilisateurs peuvent être autonomes dans la création des règles et dans le tuning, sans devoir faire appel au support.
La performance est le deuxième atout de la plateforme cloud américaine puisque celle-ci a déjà à faire face aux plus grosses attaques anti-DDoS de l’histoire. En outre, en termes de coûts, selon les calculs de Peaksys, Cloudflare présentait un TCO plus intéressant que ses concurrents avec un ROI de 20 % inférieur à ceux de ses concurrents.
Priorité à l’Infrastructure as Code
Dernier point capital en faveur de la plateforme Cloudflare, la capacité d’automatisation des services délivrés par la plateforme : « chez Cdiscount, il est fondamental d'aller très vite en production. Nous livrons un changement sur la plateforme toutes les 7 minutes. Sur un marché concurrentiel comme l'e-commerce, il faut aller vite. Pour tester une idée, suivre la réaction du marché, on se doit d'être dans une culture d'automatisation. Pour tous nos outils, nous privilégions avant tout cet aspect automatisation et DevOps. Ceux-ci doivent s’intégrer parfaitement à notre CI/CD ».
Avec ses connecteurs Terraform et Ansible, Cloudflare répondait à cette attente, même si, après 4 mois d’utilisation, beaucoup de tâches restent encore manuelles, faute de temps pour les intégrer. Sur 400 sites, plus de 140 doivent migrer rapidement sur la plateforme car leur WAF arrivait en fin de support. 79 ont été migrés pendant l’été 2025. Un troisième lot concerne les sites qui doivent être protégés contre l'utilisation de comptes volés via la fonction Leaked Credentials Checks de Cloudflare. Les lots vont s’enchaîner ces prochains mois à un rythme rapide et le projet doit s’achever en juillet 2026 avec la totalité des sites portés sur la nouvelle architecture.
L'équipe s'est largement appuyée sur les métiers, notamment pour affiner les règles WAF, et s'assurer de ne pas bloquer de trafic légitime. Tout a commencé avec les règles WAF managées, maintenues et gérées par Cloudflare, avec en prime règles OWASP, qui protègent contre les attaques courantes.
L'une des difficulté a été de tuner les règles des WAF. Les ingénieurs ont dû récupérer les signatures OWASP avec les charges utiles et trouver les règles correspondantes : « cela a été un défi pour nous et nous avons dû nous adapter. Nous nous sommes appuyés sur ChatGPT. Nous avions un ChatGPT sur notre tenant Azure, ce qui nous permet de lui fournir des données d’entreprise. En lui donnant le payload et la signature d’une attaque, il nous donnait en résultat la règle à définir dans Cloudflare. Dans 90 % des cas, ChatGPT nous donnait quelque chose de valable dès le début. Nous avons gagné beaucoup de temps grâce à ça », explique Donatien Miramont.
Une large utilisation des capacités de la plateforme
L’équipe a également déployé du Rate Limiting sur les chemins et les pages critiques, les pages de login ou les pages formulaires de bons de réduction afin d’éviter les abus automatisés et les attaques par force brute. L’anti-DDoS de niveau 7 a été déployé sans réglage particulier, sans tuning, pour protéger les sites des attaques volumétriques. Un gros travail a été réalisé sur la protection contre les bots, avec la mise en place de règles personnalisées, pour bloquer ou challenger les bots : « nous avons aussi opté pour l'option avec les certificats SSL, qui nous permet de venir importer et utiliser nos propres certificats ».
Cette migration a été l’occasion de mettre en place des pages erreur personnalisées propres à chaque filiale. De même, un canal de communication a été mis en place pour les utilisateurs légitimes qui sont bloqués : « cela a été un vrai point d'équilibre entre la sécurité et les équipes métiers. En effet, les métiers avaient une inquiétude à passer sur cette nouvelle solution et voulaient s'assurer qu'on ne bloquait pas des clients légitimes ».
Car certains passent par le réseau TOR pour accéder au site de E-Commerce ou exploitent les VPN embarqués dans Safari, Opera ou le nouveau service VPN de Free. Désormais, ces utilisateurs « cachés » sont challengés, un moyen de nettoyer le trafic de manière automatisée, tout en permettant le trafic légitime.
