Gorodenkoff - stock.adobe.com

Doctolib et le Crédit Agricole traquent les fuites de données avec XMCO Serenety

Lorsqu’une fuite de données survient, le délai de réaction est clé pour en limiter les dommages. Une solution de surveillance automatique permet de scruter en permanence le Web et le Darknet, pour accroître au maximum la réactivité.

Voir un fichier de dizaines et même de centaines d’utilisateurs avec les login/mot de passe en vente sur le Darknet est la hantise de nombreux RSSI. Non seulement il faut réinitialiser tous les mots de passe des utilisateurs concernés, mais il faut aussi débusquer et remédier la faille de sécurité qui a donné lieu à cette fuite de données. À cet égard, les chiffres diffusés par IBM sont éloquents : il faut 197 jours en moyenne pour identifier un vol de données et 69 jours pour colmater la brèche de sécurité…

Un outil de veille automatique pour scanner le Web et le Darknet

Afin de détecter le plus rapidement possible une éventuelle fuite de données, Cédric Voisin, RSSI Groupe de Doctolib a fait le choix de s’appuyer sur la solution de CTI (Cyber Threat Intelligence, ou renseignement sur les menaces) Serenety de XMCO.

L’activité sur le site est intense, de l’ordre de 100 millions de visites par mois : « lors de la pandémie, nous avons enregistré sur notre plateforme jusqu’à 50 millions de rendez-vous par mois. Nous devons nous assurer à tout moment que nous sommes le mieux protégés possible, et être en capacité de détecter le plus vite possible une fuite de données ».

Un deuxième enjeu fort pour Doctolib, c’est la lutte contre le Shadow IT. L’entreprise est un acteur du Web dont quasiment 100 % de l’infrastructure est portée par le cloud public. Ce sont entre 300 à 350 applications SaaS que les collaborateurs sont amenés à utiliser, mais le RSSI souhaite limiter les usages à ces applications Saas dûment identifiées et cartographiées : « dans un contexte de croissance rapide, n’importe qui peut ajouter des solutions dans votre système d’information sans que vous en soyez avertis. Ce que nous permet la solution Serenety est assez simple : nous avons un portefeuille de 250 noms de domaines que nous avons placés sous surveillance ».

Les règles définies dans l’outil permettent à la DSI de détecter les fuites de données, mais aussi d’identifier d’éventuels actifs adoptés par les métiers : « si les adresses IP à surveiller sont correctement paramétrées, ainsi que les noms de domaines et les mots-clés qui sont importants pour l’activité de l’entreprise, il est assez simple de mettre en place ce type de détection. Ce n’est pas une approche parfaite, mais elle permet néanmoins de découvrir énormément de choses suspectes assez rapidement ».

Le typosquatting, un possible signe précurseur d’une attaque par phishing

La surveillance des noms de domaine permet notamment de remonter les tentatives de typosquatting susceptibles de viser Doctolib. L’outil a ainsi permis de détecter les domaines doctolille.com, doctoclic.com ou même un doctolibertin.com.

« Si nous constatons qu’un domaine a été déposé dans une orthographe qui ressemble beaucoup à notre marque, nous pouvons rapidement mener des actions avant que la campagne de phishing ne soit lancée. »
Cédric VoisinRSSI, Groupe de Doctolib

Au-delà de l’anecdote, le dépôt de noms de domaines très proches est aussi un signe annonciateur d’une possible campagne de phishing en cours de préparation : « il est très important pour nous d’être capable de détecter ces domaines, car nous avons vu par le passé des campagnes de phishing qui ciblaient, soit des patients, soit des praticiens. Aujourd’hui, nous disposons de capacités de détection relativement rapides, ce qui nous permet de mener des actions de type “Take Down”. Si nous constatons qu’un domaine a été déposé dans une orthographe qui ressemble beaucoup à notre marque, nous pouvons rapidement mener des actions avant que la campagne de phishing ne soit lancée ».

L’équipe cyber de Doctolib s’est structurée afin de traiter les alertes remontées par Serenety le plus rapidement possible. L’outil diffuse les alertes sur un portail, mais aussi au travers d’API et c’est par ce moyen que la DSI traite les informations remontées par l’outil : « l’ADN de Doctolib est résolument technologique et nous sommes des grands fans de l’automatisation. Nous exploitons donc l’API exposée par XMCO pour remonter les alertes sur notre ITSM qui est connectée à des Slackbots. En fonction de la sévérité de l’alerte, cela va déclencher soit un simple ticket qui sera être traité par l’équipe support, soit déclencher une véritable gestion de crise qui est, elle aussi, automatisée ».

Chaque jour, un membre de l’équipe sécurité est désigné afin de traiter le fil de tickets généré par Serenety et assurer le suivi des alertes. Un tracking du traitement de ces alertes permet à l’équipe cyber de se placer dans un cycle d’amélioration continue.

Un outil qui a aussi des vertus pédagogiques

Si la cybersurveillance est capitale pour un pure player internet aussi exposé aux tentatives d’attaques que l’est Doctolib, la solution Serenety est aussi mise en œuvre par une entreprise bien plus conventionnelle, le Crédit Agricole Alpes Provence. « Le plus difficile, c’est le premier coup de manivelle. La première alerte remontée par l’outil XMCO portait sur un gros volume d’adresses email dont les mots de passe étaient en clair ! », se souvient Franck Chemin, RSSI du Crédit Agricole Alpes Provence.

« Le plus difficile, c’est le premier coup de manivelle. La première alerte remontée par l’outil XMCO portait sur un gros volume d’adresses email dont les mots de passe étaient en clair ! »
Franck CheminRSSI, Crédit Agricole Alpes Provence.

Pour lui, « c’est un super outil de sensibilisation, car une fois que nous avons rappelé à l’ordre une centaine de collaborateurs, il y a eu un effet boule de neige et ce coup de poing a été une mesure de sensibilisation extrêmement efficace quant à la sécurisation des mots de passe ». Cette opération a été l’occasion de rappeler aux utilisateurs du Crédit Agricole de ne pas utiliser les mots de passe professionnels dans leur sphère privée.

Outre cette lutte contre la divulgation de mots de passe des utilisateurs internes, le RSSI s’intéresse à l’outil afin de couvrir les risques de fuite issue de la Supply Chain, c’est-à-dire les prestataires qui travaillent pour le Crédit Agricole Alpes Provence : « pour une banque, l’enjeu lié à la protection des données est réglementaire, le secret bancaire n’est pas une nouveauté. L’objectif premier est de protéger nos données, mais aussi de surveiller mes prestataires et des données qui sont amenées à sortir chez nos fournisseurs ».

De la protection des données internes à la sécurité de la Supply Chain

La position adoptée par la banque n’est pas de placer ses fournisseurs sous la surveillance de Serenety à leur insu : « avant de les intégrer, il me faut leur accord préalable et mettre en place un accord commercial, car je ne vais pas fournir le service gratuitement à tous nos fournisseurs. Nous leur proposons une surveillance de leurs actifs dans le cadre d’un contrat tripartite avec XMCO. C’est quelque chose que nous avons déjà fait et nous allons poursuivre dans cette voie ».

Cette approche pourrait peut-être même s’étendre aux clients du Crédit Agricole. Le RSSI estime que la banque pourrait proposer ce type de service à ses clients, leur envoyer une alerte si jamais leur couple login/password se retrouvait sur le Darknet : « c’est une démarche qui est un peu nouvelle pour nous. XMCO pourrait nous aider à sécuriser nos clients, ce qui pourrait représenter une forte valeur perçue pour eux. Être au plus proche de nos clients est un de nos enjeux pour 2022 et sécuriser différemment leurs données est un intérêt convergeant pour nous et nos clients ». Le RSSI espère pouvoir tester prochainement un tel service auprès des clients du Crédit Agricole Alpes Provence.

Texte rédigé à partir de la présentation de Cédric Voisin, RSSI Groupe de Doctolib et de Franck Chemin, RSSI du Crédit Agricole Alpes Provence, lors des Assises de la Sécurité 2021.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close