Comment Yves Rocher pilote en continu la sécurité de ses sites Web

Cela fait plus de quatre ans que le groupe Rocher s’appuie sur les compétences d’Intrinsec pour assurer la sécurité de ses sites Web. Le déclencheur : une attaque, en 2011, qui a provoqué l’indisponibilité du site institutionnel pendant deux semaines. De quoi induire une sérieuse prise de conscience à un moment où peu s’imaginaient que le groupe pouvait constituer une cible.

Aujourd’hui, Éric de Bernouis, RSSI du groupe Yves Rocher, met à profit un tableau de bord qui lui est fourni par l’ESN. Là, il retrouve des alertes issues des flux de renseignements produits par Intrinsec, des systèmes automatisés de recherche de vulnérabilités, des divulgations de nouvelles vulnérabilités diffusées par l’ESN, ainsi que des tests d’intrusion réalisés par cette dernière pour son client.

Dans un entretien avec la rédaction, en marge de l’atelier auquel il participait aux Assises de la Sécurité, début octobre, Éric de Bernouis explique disposer là d’un outil « permettant de centraliser toutes ces alertes, de les classer pour ensuite les affecter aux acteurs concernés pour qu’elles soient prises en compte et traitées ».

Pas question, bien sûr, de courir le risque de se laisser submerger par des alertes importunes ou dépourvues de pertinence dans le contexte précis du groupe Rocher : Intrinsec assure, en amont, un premier niveau de filtrage : « nous avons défini avec eux le périmètre sur lequel nous attendons de l’information de leur part ». Qui plus est, les alertes présentées sont assorties d’un indice de criticité, « ce qui nous permet de savoir quoi traiter au plus vite ». En somme, le tableau de bord permet l’agrégation ; à charge pour le RSSI et ses équipes de gérer la hiérarchisation.

Intégrant également des capacités de gestion de tickets, le tableau de bord permet aussi de suivre le traitement des alertes dans le temps. Une intégration avec un outil d’ITSM n’est pas exclue, mais dans ce domaine, l’uniformisation à l’échelle du groupe n’est pas achevée. Quoi qu’il en soit, le tableau de bord d’Intrinsec disposerait des APIs nécessaires à une telle intégration.

Dans la pratique, ce tableau de bord n’a rien d’accessoire. À l’échelle du groupe Rocher, il faut compter 450 sites Web, dont certains sont gérés par l’informatique centrale, d’autres par l’informatique locale, et d’autres encore par un métier. Dans 95 % des cas, ils sont développés et hébergés en dehors du groupe, par un tiers. Au total, le tableau de bord d’Intrinsec remonte à Éric de Bernouis et à ses équipes quelque 600 alertes par an.

Partant de là, le RSSI retire des indicateurs qui lui permettent de faire un rapport à la direction générale du groupe. Le premier d’entre eux porte sur les volumes d’alertes, qui sont également mis en perspective chronologiquement pour identifier des tendances de fond. Le second indicateur porte sur les taux de correction, quand un troisième touche aux délais de traitement.

Éric de Bernouis s’appuie notamment sur ce dernier indicateur pour « déclencher des campagnes de sensibilisation auprès de certains pays, par exemple pour promouvoir les bonnes pratiques de gestion des correctifs ». Mais cela s’ajoute aux campagnes régulières de sensibilisation à des menaces telles que le hameçonnage, ou encore de prévention du célèbre shadow IT.

Un guide a d’ailleurs été édité en anglais, pour tout le groupe, afin d’aider chacun, dans les métiers, à appliquer des pratiques sûres lors de la commande du développement d’un nouveau site Web. Et la RSSI groupe maintient notamment un catalogue de prestations d’hébergement pour aider chacun à choisir un partenaire en fonction du coût de ses offres et de la criticité du site à mettre en place.