Cet article est le compte-rendu du webinar que nous avons réalisé avec Cédric Voisin, RSSI chez Doctolib.
Doctolib est le leader européen de la prise de rendez-vous médicale. L'entreprise compte 2800 collaborateurs, répartis entre la France, l'Italie et l'Allemagne. Cédric est le RSSI Groupe de Doctolib depuis 2021.
Nous avons pu l'interviewer dans le cadre d'un retour d'expérience interactif, dans lequel il nous a partagé de nombreux conseils. Pour participer au prochain évènement, n'hésitez pas à faire un tour sur notre page d'évènements.
Bonne lecture !
Quel est le contexte sécurité de Doctolib ?
Née en 2013, Doctolib a connu une croissance fulgurante et une notoriété accrue, en particulier à la suite de la pandémie. Entre 2021 et 2023, la société a triplé son nombre de collaborateurs, passant de 1000 à 3000.
Ce rapide essor pose des défis spécifiques en matière de sécurité, relevés par Cédric Voisin, qui a la chance de gérer une population majoritairement composée de "digital natives". Cette caractéristique a ses avantages, mais aussi ses inconvénients.
“Je suis un RSSI chanceux”.
La jeunesse de l'équipe, sa familiarité avec le numérique et l'exposition médiatique du produit ont créé une culture d'entreprise axée sur la gestion des risques. Chaque jour est une opportunité d'apprendre : chez Doctolib, le pilier de l'apprentissage consiste à apprendre trois choses par jour, un terreau fertile pour instiller une culture de la sécurité.
Cependant, cette population digitalisée présente aussi des défis. La génération digitale est exigeante, non seulement sur les sujets d'apprentissage, mais aussi sur la manière dont le contenu de formation est délivré. L'équipe sécurité a dû faire un effort important pour adapter ses méthodes de communication et d'éducation.
Le "hyperscaling", ou croissance extrêmement rapide, est un autre défi : avec 150 nouveaux employés par mois, maintenir une sensibilisation uniforme à la sécurité est une tâche herculéenne. L'équipe sécurité a dû redoubler d'efforts pour s'assurer que tout le monde ait le même niveau de connaissance des enjeux de la cybersécurité.
Quelles mesures ont été prises à l'arrivée de Cédric ?
Quand Cédric est arrivé chez Doctolib, il a trouvé une culture de sécurité déjà bien ancrée. Le risque business et d'image est énorme pour une entreprise comme Doctolib, plaçant la cybersécurité parmi les trois risques majeurs pour l'entreprise. Cette prise de conscience collective a permis d'établir une solide base pour développer davantage la culture de la sécurité.
Cependant, le véritable défi a été d'aller plus loin et de faire passer le message aux développeurs. La solution ? La contextualisation de l'information.
Un bot a été installé, capable d'envoyer des notifications personnalisées aux développeurs selon leurs erreurs. Cet outil s'est révélé particulièrement efficace sur ce type de populations.
A contrario, il est plus difficile de toucher les équipes moins techniques, qui ont plus de mal à intégrer ces pratiques.
L'onboarding s'est révélé crucial dans cette démarche : 100% des nouveaux utilisateurs suivent une formation commune de deux heures, consacrée à la sécurité et à la protection des données personnelles. Un podcast relatant une attaque en quatre épisodes de 15 minutes a été produit pour accompagner cette formation, complété par un livret et un quiz.
Ces outils ont permis à l'équipe sécurité de recueillir des statistiques sur les taux de réponse, fournissant des informations précieuses pour mesurer l'efficacité de leur stratégie. Ls résultats initiaux étaient impressionnants, avec un taux de réussite de 92% pour les premiers épisodes.
Un autre facteur clé dans l'adhésion des employés à la culture de la sécurité est le fait que 100% des collaborateurs sont actionnaires de l'entreprise. Cela génère un sentiment d'appartenance et de responsabilité qui favorise l'engagement envers la sécurité.
La communication joue également un rôle central : les collaborateurs doivent comprendre qu'il est essentiel de poser des questions, même s'ils ne sont pas experts. La culture de la sécurité ne doit pas être perçue comme une contrainte, mais comme un élément intégré à la vie de l'entreprise.
Enfin, l'aspect réglementaire joue un rôle indéniable dans le développement de cette culture de sécurité. Soumis à un cadre réglementaire strict, Doctolib n'a d'autre choix que de faire de la sécurité une priorité.
Quels sont les piliers de la sensibilisation ?
La sensibilisation à la cybersécurité repose sur deux piliers principaux :- "Contextualiser pour éduquer"
- "Tester et améliorer de manière continue les connaissances des utilisateurs"
Le premier pilier, "Contextualiser pour éduquer", souligne l'importance de lier les informations de sécurité aux situations réelles que les employés peuvent rencontrer dans leur travail quotidien. L'objectif n'est pas seulement de transmettre des informations, mais aussi de les rendre pertinentes et applicables.
L'apprentissage contextualisé facilite la compréhension et l'application des principes de sécurité, permettant aux employés de comprendre pourquoi certaines actions sont nécessaires et comment ils peuvent contribuer à la sécurité globale de l'entreprise.
Le second pilier, "Tester et améliorer de manière continue les connaissances des utilisateurs", est axé sur la mise en pratique et l'évaluation régulière des connaissances des employés en matière de sécurité. Cela signifie que la sensibilisation à la sécurité n'est pas une activité ponctuelle, mais un processus continu qui nécessite une mise à jour et une amélioration constantes.
Ce pilier reconnaît également que la formation initiale n'est que le début du voyage en matière de sécurité. Les employés doivent régulièrement tester et affiner leurs compétences pour rester à jour face aux nouvelles menaces et aux évolutions du paysage de la sécurité.
Comment contextualiser la formation ?
Pour instaurer une culture de la sécurité efficace et pertinente, il est essentiel de comprendre les particularités de chaque rôle dans l'entreprise. Chez Doctolib, cette compréhension se traduit par une contextualisation spécifique des pratiques de sécurité.
Pour les équipes de vente, de marketing et de RH, par exemple, une approche centrée sur la gestion de l'information est utilisée. La labellisation et la classification des informations sont intégrées au quotidien des commerciaux grâce à l'application de labels automatiques. Cela peut entraîner des défis, car tous les collaborateurs ne comprennent pas nécessairement pourquoi certaines restrictions de partage sont imposées en fonction des labels.
Pour pallier à cela, différentes politiques de partage sont mises en place en fonction des populations. L'objectif est d'aligner autant que possible les pratiques de sécurité avec les comportements habituels des collaborateurs. De même, le choix des appareils fournis aux employés est également adapté en fonction de leurs rôles.
Comment instaurer une culture de la communication ?
Instaurer une culture de communication en matière de sécurité nécessite une approche sans culpabilité (blameless), qui permet aux employés de partager ouvertement leurs erreurs et leurs leçons apprises sans craindre de répercussions négatives.
Dans cette approche, la transparence et l'apprentissage sont prioritaires. Par exemple, lorsqu'il a été découvert que certains Doctolibers avaient eu accès à des données appartenant à d'autres utilisateurs en raison d'un partage de données trop ouvert, l'entreprise n'a pas puni les individus concernés. Au lieu de cela, ils ont utilisé l'incident comme une opportunité d'apprentissage, en mettant en place des mesures pour prévenir des incidents similaires à l'avenir.
Cette approche blameless est complétée par une culture du post-mortem, où les incidents de sécurité sont documentés en détail, y compris les causes, les effets et les actions entreprises pour résoudre le problème. Le but de ces post-mortems est de partager les leçons apprises et de mettre en place des mesures correctives pour éviter que de tels incidents ne se reproduisent à l'avenir.
Il est toutefois important de noter que si le droit à l'erreur est encouragé, répéter la même erreur n'est pas acceptable. L'objectif de cette approche est de permettre aux employés d'apprendre de leurs erreurs et de s'améliorer constamment, tout en promouvant une culture de responsabilité et de diligence en matière de sécurité.
“Le droit à l’erreur est très important. En revanche, faire deux fois la même erreur, c’est compliqué”.
Comment gérer la sur-confiance des populations techniques ?
Les experts en cybersécurité sont souvent confrontés à la difficulté de gérer la sur-confiance des populations techniques, et Doctolib n'est pas une exception à cette règle. Afin de surmonter ce défi, l'entreprise a mis en place une série de mesures pour encourager l'implication des développeurs dans les efforts de sécurité.
Tout d'abord, ils ont tenté d'instaurer des "Security Champions", mais cette initiative n'a pas donné les résultats escomptés. Cela est en grande partie dû au fait que cette tâche supplémentaire n'a pas été facilement intégrée à la charge de travail existante des employés.
En réponse à ce défi, une solution organisationnelle a été mise en place. L'organisation technique est désormais divisée en domaines, avec des équipes de 50 à 75 personnes, et un référent de sécurité est désigné pour chaque domaine. Ce référent est chargé de veiller à ce que chaque aspect de son domaine respecte les normes de sécurité.
Le rôle de ce Product Security va bien au-delà de la simple supervision. Il est chargé de revoir le code, cadrer les fonctionnalités et de veiller à ce que toutes les mesures de sécurité soient respectées à chaque étape du processus. Il s'agit d'un rôle pivot dans l'infrastructure de cybersécurité de Doctolib, garantissant que chaque domaine opérationnel est conscient de ses obligations en matière de sécurité et est à même de les respecter.
En plus de cette restructuration, l'entreprise a ajouté un aspect ludique à son programme de sécurité pour stimuler l'engagement des développeurs. Cela comprend des récompenses internes, des badges, des goodies, ainsi qu'un programme de bug bounty.
Enfin, il a été décidé qu'une partie du temps de travail des développeurs serait spécifiquement consacrée à la sécurité. Cette décision reconnaît l'importance de la sécurité dans le processus de développement et encourage les développeurs à prendre le temps nécessaire pour s'assurer que leurs travaux respectent les normes de sécurité les plus élevées.
Quel est le rôle des campagnes de phishing dans la sensibilisation sécurité ?
Le phishing est l'une des menaces les plus courantes auxquelles sont confrontées les entreprises d'aujourd'hui. Chez Doctolib, ils reconnaissent l'importance de former leurs employés à reconnaître et à réagir à ces attaques. Cependant, les campagnes de phishing génériques n'ont pas donné les résultats escomptés. Au lieu de cela, ils ont constaté que la personnalisation des e-mails était la clé pour obtenir des résultats probants.
En particulier, ils se concentrent sur le spear phishing, une forme plus ciblée et sophistiquée de phishing. Ce type d'attaque vise les populations qui ont des droits à privilège, comme les équipes tech et finance, en raison du risque élevé d'exfiltration de données qu'elles représentent.
“L’enjeu principal, c’est le spear phishing sur les populations qui ont des droits à privilège, et donc le risque d’exfiltration de données”.
Quant à la fréquence des campagnes de phishing, elle varie. Bien qu'il n'y en ait pas eu beaucoup récemment, la fréquence idéale est estimée à deux fois par an. Néanmoins, la décision est principalement basée sur les retours sur les formations et sur le besoin de mesurer les risques.
Pour les équipes Site Reliability Engineering (SRE), par exemple, ce type de campagne n'est pas nécessairement pertinent car elles sont déjà très sollicitées. Cependant, pour d'autres populations, les campagnes de phishing peuvent être un outil efficace de sensibilisation à la sécurité.
Quelles métriques utiliser pour suivre les avancées ?
En tant qu'entreprise tournée vers les données, l'utilisation de KPIs est naturellement intégrée dans leur processus. Cependant, quantifier l'impact de l'éducation à la sécurité représente un défi spécifique.
Il existe plusieurs facettes de la sécurité qui sont suivies de près. Cela inclut des points de contact réguliers avec les équipes techniques, d'infrastructure et juridiques.
L'équipe de sécurité se réunit chaque semaine avec le Chief Technology Officer (CTO) et le Chief Product Officer (CPO) pour examiner l'état de santé de la technologie. Ils suivent un certain nombre d'indicateurs, tels que le nombre de crises (ou incidents) déclenchées - une tendance à la baisse étant un signe positif -, le taux d'injection de bugs et de nombreux autres paramètres dans le cadre du cycle de vie du développement logiciel sécurisé (SSDLC).
Les aspects liés à la conformité et à la réglementation sont également sous haute surveillance, tout comme les résultats des exercices Redteam / Blueteam et les signalements de tentatives de phishing.
Doctolib utilise également des initiatives d'engagement facultatives, telles que le Docto Defender Bootcamp et les Brown-Bag Lunchs, pour favoriser la discussion et l'apprentissage autour de la sécurité. Les retours informels de ces événements, ainsi que les discussions générales avec les collaborateurs, servent également d'indicateurs pour évaluer l'état de la culture de la sécurité.
Cependant, mesurer le taux de complétion du training en matière de sécurité s'est révélé particulièrement ardu. Il est devenu clair que le véritable défi ne réside pas dans l'obtention de 100% de participation, mais plutôt dans la capacité à contextualiser l'information pour la rendre applicable à chaque rôle.
Mesurer le retour sur investissement (ROI) de ces mesures est une tâche complexe. Non seulement il peut être difficile d'établir une corrélation directe entre les mesures de sécurité et les bénéfices tangibles, mais il faut aussi tenir compte du fait que la sécurité n'est pas seulement une question de coûts, mais aussi de protection de la réputation et de conformité réglementaire.
Quant à la sensibilisation à la sécurité pour les autres populations au sein de l'entreprise, il reste encore beaucoup à faire. L'effort constant pour inculquer une culture de sécurité et mesurer son efficacité est un travail continu pour l'équipe de sécurité de Doctolib.
Comment suivre la satisfaction des équipes ?
Évaluer la satisfaction des actions de sécurité est une tâche difficile. Néanmoins, Cédric a développé une méthode unique pour mesurer l'efficacité de ses initiatives : le nombre d'e-mails qu'il reçoit sur une mesure de sécurité. En effet, moins il reçoit de mails à ce sujet, plus l'action est efficace. Cela signifie que l'action ou la mesure mise en place est bien comprise et acceptée par les équipes, qui ne ressentent pas le besoin de poser des questions ou de soulever des préoccupations.
De plus, des questionnaires de satisfaction, tels que le Net Promoter Score (NPS), sont utilisés pour recueillir des commentaires plus formels sur la satisfaction des équipes face aux actions de sécurité. Ces outils permettent de recueillir des commentaires précieux sur les initiatives de sécurité, et fournissent une mesure quantifiable de leur impact sur les équipes.
Comment convaincre les directions d'investir dans la sécurité ?
Pour donner du poids à ses arguments, on peut utiliser des ratios, notamment des ratios basés sur le chiffre d'affaires. Cédric estime que les entreprises technologiques devraient consacrer environ 10 à 15% de leur chiffre d'affaires à l'investissement en sécurité.
En France, la norme est plutôt de 3% du budget de la DSI dédié à la sécurité. Bien que ce soit moins que le ratio idéal qu'il préconise, cela reste un indicateur clé pour justifier l'investissement en sécurité auprès de la direction.
De plus, il utilise l'approche du calcul du retour sur investissement (ROI) pour démontrer la valeur de l'investissement en sécurité. Il mesure le delta entre ce que le risque aurait coûté à l'entreprise s'il n'était pas contrôlé, versus le coût de contrôle de ce risque. Cela permet de mettre en évidence les économies potentielles réalisées grâce à un investissement efficace en sécurité.
Comment répliquer ces conseils pour des acteurs qui ne sont pas dans la santé ?
L'un des aspects clés est la gestion des parties prenantes. Cédric insiste sur l'importance de prendre le temps d'échanger avec tout le monde, car cela permet de comprendre les différents points de vue et besoins, et d'adapter la stratégie de sécurité en conséquence.
Il met également en avant la nécessité de contextualiser les informations de sécurité et de les diffuser petit à petit. Selon lui, essayer d'intégrer toutes les informations de sécurité d'un coup peut être écrasant et contre-productif. Il compare cela à essayer de faire piloter une Formule 1 à quelqu'un qui vient d'obtenir son permis de conduire.
En d'autres termes, la sécurité est un processus évolutif qui nécessite une approche graduelle, en commençant par les bases et en progressant vers des concepts plus avancés au fur et à mesure que l'organisation et ses employés deviennent plus matures en matière de sécurité.
À quoi ressemble le futur du risque cyber ?
Le paysage de la cybersécurité est en constante évolution, et les défis auxquels nous serons confrontés dans les années à venir seront probablement différents de ceux auxquels nous sommes habitués aujourd'hui.
L'une des principales tendances qu'il a identifiées est que les attaques sont de plus en plus ciblées sur l'utilisateur final. Il s'agit d'une évolution préoccupante, car il peut être plus facile pour les cybercriminels de réussir leurs attaques en ciblant les utilisateurs plutôt que les infrastructures, qui sont généralement bien protégées.
Cédric estime que le risque de cybersécurité va continuer à augmenter au cours des 3 à 5 prochaines années, et souligne l'importance de prendre des mesures de base telles que la sécurisation des flux de courriels, la mise en place de l'authentification à plusieurs facteurs (MFA) et la compréhension claire de la classification de ses populations et des catastrophes qu'elles pourraient engendrer.
Cependant, il est clair que la sensibilisation à la sécurité est une option, mais pas la seule. Il y a encore beaucoup à faire pour améliorer la cybersécurité, et c'est précisément ce qui fait la beauté du métier selon lui. Les professionnels de la sécurité doivent constamment s'adapter et innover pour faire face à l'évolution constante des menaces.
