Le défi de la cybersécurité : une plongée dans le système de défense de leboncoin
Avec près de 27,5 millions de visiteurs uniques en mai 2023, leboncoin s'impose comme une véritable institution en France. Cependant, cette popularité impose des responsabilités en termes de sécurité. Comment le groupe gère les défis de la cybersécurité ?
Leboncoin, c’est plus qu’un simple site web ; c’est un groupe rassemblant des plateformes comme Videdressing et L’argus, sous la houlette d’Adevinta. Pour Zakaria Rachid CISO de leboncoin, la sécurité des utilisateurs est primordiale : “Les joyaux de la couronne sont nos utilisateurs et leurs données”. Cette priorité se manifeste par une approche stricte et bien définie :
- Disponibilité, confidentialité et intégrité des données sont essentielles.
- Sécurisation de l’écosystème : encourager les utilisateurs à rester dans un environnement contrôlé.
- Gouvernance stricte : adoption des standards NIST, ISO et OWASP ASVS pour évaluer la sécurité.
Une équipe de sécurité interfonctionnelle
Pour maintenir ce haut niveau de sécurité, le groupe s’appuie sur une équipe interfonctionnelle structurée autour de trois piliers afin de vérifier que la sécurité des tiers est réelle et non seulement théorique :
- Gouvernance, risques et conformité (GRC) : Assurance de la sécurité opérationnelle des tiers.
- Sécurité offensive et défensive : Surveillance constante grâce à un SOC 24/7 et des analyses proactives.
- Sécurité des applications (AppSec) : Evaluation continue de la sécurité des plateformes et des applications.
Automatisation et responsabilité dans la chaîne de production
Leboncoin intègre la sécurité dès le début du développement grâce à une automatisation poussée et une responsabilisation des équipes de développement. Les pipelines CI/CD incluent des jalons de sécurité pour s’assurer que chaque produit développé est sécurisé avant d’être mis en production.
Points clés de l’automatisation :
- Utilisation d’outils comme Vulcain pour orchestrer les scanners de sécurité.
- Alertes intégrées à Slack pour une réactivité maximale.
- Analyses de code statiques et dynamiques pour détecter les vulnérabilités dès la phase de développement.
Le bug bounty : une ligne de défense efficace
Leboncoin utilise un programme de bug bounty pour identifier les vulnérabilités que les outils et les équipes internes pourraient manquer. leboncoin voit le bug bounty comme une extension naturelle du pentesting.
Résultats du bug bounty :
- Découverte de failles logiques : Les chercheurs offrent une perspective unique sur la sécurité.
- Encouragement des hackers éthiques : Récompenses pour des rapports de haute qualité et contextualisés.
En somme, la stratégie de leboncoin en matière de cybersécurité repose sur une combinaison d’outils sophistiqués, d’une équipe dédiée et d’une communauté de hackers éthiques. Cette approche permet non seulement de protéger les utilisateurs, mais aussi de faire évoluer constamment le niveau de sécurité du groupe. La vision de la cybersécurité comme un écosystème ordonné et sacré, où chaque acteur a un rôle clé à jouer, est inspirante. En associant rigueur et innovation, leboncoin parvient à maintenir la confiance de ses millions d’utilisateurs chaque mois.
Il est certain que leboncoin face à son trafic laisse passer tout de même des transactions frauduleuses. Selon certaines études, jusqu’à 1 à 2 % des transactions en ligne peuvent être frauduleuses. Cependant, le taux de fraude réel peut varier considérablement d’un secteur à l’autre et d’une plateforme à l’autre. Il y a un pourcentage non négligeable de fraudes reste non détecté, souvent en raison de techniques de fraude de plus en plus sophistiquées. Il est largement reconnu que la fraude reste un défi majeur pour l’industrie du e-commerce, et les entreprises doivent continuer à investir dans des technologies et des pratiques de sécurité avancées pour protéger leurs utilisateurs et leurs données.
L’IA devrait permettre une efficacité accrue sur les plateformes traitant des milliers de transactions par heure et c’est de la responsabilité de l’entreprise et des équipes de le mettre en oeuvre.