Des menaces qui évoluent sans cesse. Et des outils de plus en plus nombreux, aux acronymes de plus en plus ésotériques. Lors des Assises de la sécurité, qui se tenaient à Monaco du 11 au 13 octobre, les RSSI présents ont largement témoigné des difficultés qu'ils rencontrent pour traiter les tickets et alertes que génère cet outillage hétéroclite. D'où l'intérêt de la démarche de Doctolib, visant à industrialiser l'automatisation de ses processus de sécurité. Le tout sur la base de l'outil d'une start-up née en 2021, Mindflow, qui propose une plateforme d'automatisation IT basée sur une approche no code. « Pour soulager les analystes en sécurité, les entreprises cherchent à automatiser. Mais écrire des scripts ne suffit pas, il faut maîtriser les environnements auxquels ils s'appliquent, apprendre le mode de fonctionnement des API des différents outils ciblés, sans oublier de gérer le déploiement et la maintenance de ces développements, note Fabrice Delhoste, le fondateur de Mindflow. Dans les entreprises, les idées d'automatisation fourmillent, mais la plupart n'aboutissent pas, car elles requièrent trop de temps. »

Les observations de cet ancien de Thales rejoignent les problématiques rencontrées au sein de l'équipe sécurité de Doctolib, soit une vingtaine de personnes dans une société qui en compte aujourd'hui quelque 3 000. « Dès 2022, nous avons pris conscience que l'équipe en charge de la cyber n'allait pas pouvoir grandir aussi vite que l'organisation, qui est passée de 1 000 à 3 000 personnes en deux ans », indique Éric Lexcellent, responsable de la sécurité de la plateforme et des applications corporate de la société née en 2013. En parallèle, ce dernier cherchait à rendre les interfaces des outils de sécurité plus cohérentes entre elles et à couvrir de nouveaux besoins, liés en particulier à la réglementation. « Nous avons testé différentes solutions. Des développements internes d'abord, qui ont montré leurs limites en termes de maintenabilité. Mais nous avons également bâti des prototypes sur des solutions SOAR (Security orchestration and automation response). Nous y avons vu plutôt des outils de ticketing améliorés, mais peu faciles à mettre en oeuvre. » Or ces SOAR sont précisément censés standardiser et automatiser la réponse aux attaques et incidents, et libérer du temps aux analystes.

12 workflows développés en 6 mois

Ces pistes abandonnées, Doctolib relance le projet après une rencontre avec Mindflow sur un salon professionnel. « Au début, je n'étais moi-même pas très convaincu. Jusqu'à un premier test, consistant à migrer un script Python dédié à un processus de conformité », raconte Éric Lexcellent. Un galop d'essai qui se révèle concluant. Pour passer Mindflow en production, Doctolib fait deux choix d'implémentation qui ont eu leur importance dans le projet : conserver toutes les interactions utilisateurs dans Slack, l'outil qui est entré dans les habitudes chez ces derniers, et tracer toutes les interactions dans une base de données, pour les besoins de conformité. « Je peux ainsi vérifier que l'équipe Blue Team (chargée de la défense du système d'information, NDLR) a bien traité les alertes qu'elle a reçues, et au besoin, la renotifier », indique le responsable de la plateforme de solutions de e-santé.

Depuis la signature du contrat avec Mindflow il y a environ 6 mois, l'équipe d'Éric Lexcellent a développé 12 workflows d'automatisation, assurant l'intégration avec 10 outils différents (EDR, IAM, AWS, Jira, SIEM, GitHub...). Une célérité qui s'explique notamment par le fait que la plateforme SaaS Mindflow propose un large catalogue d'API prêtes à intégrer dans ses workflows, ainsi qu'un catalogue de templates facilitant le développement des playbooks. « Le recours à cet outil est devenu notre premier réflexe, dit le responsable. Dès qu'une nouvelle idée se fait jour, nous pouvons la déployer en quelques minutes et au besoin, effectuer un retour arrière si un problème survient lors du déploiement. » Doctolib a, par exemple, développé un workflow permettant de traiter les alertes du SIEM directement dans Slack et un autre automatisme pour la gestion des droits des utilisateurs changeant d'équipe en interne. Qui plus est, grâce à la base de données adossée au projet, l'ajustement de ces droits et rôles est désormais devenu auditable. « C'est un état d'esprit à acquérir et développer, dit Éric Lexcellent. Il faut que le réflexe d'automatisation prenne, car, avec la croissance du nombre d'intégrations, la valeur obtenue avec cette démarche explose. »