Fondée en 2017, Qonto propose aux entrepreneurs une plateforme associant services financiers et outils de gestion. La société, qui se veut une alternative aux banques traditionnelles et aux solutions de comptabilité, figure au Next40 depuis 2021. Elle compte aujourd'hui plus de 250 000 clients dans quatre pays (France, Allemagne, Espagne et Italie). Pour protéger ses systèmes des attaques venant d'Internet, la fintech a mis en place une première ligne de défense avec le pare-feu applicatif Web de Cloudflare.

« N'importe quel site Web se fait scanner tous les jours et c'est encore plus fréquent pour les institutions financières », observe Ayoub El Aassal, responsable de la sécurité de l'information chez Qonto. Quand celui-ci a rejoint l'entreprise en 2020, sa première action a été d'identifier les menaces qui ciblent l'entreprise, en vue de mettre une protection en face de chacune d'entre elles. « Tout modèle de sécurité met en oeuvre certains principes, comme la défense en profondeur », rappelle le RSSI. « Il s'agit de mettre en place autant de couches que nécessaire entre les attaquants et les actifs finaux qui ont de la valeur, en l'occurrence les données clients. Dans la sécurité, nous aimons bien utiliser l'image du fromage à trous : le but est d'empiler les tranches sans aligner les trous ». La première de ces couches est le WAF (web application firewall), le pare-feu qui protège les systèmes contre les attaques venant d'Internet. Il analyse le trafic Web, identifie la présence de vulnérabilités exploitées par les attaquants et les tentatives d'exploitation de ces dernières. Pour assurer ce premier niveau de protection, Qonto a choisi la solution en mode SaaS de Cloudflare. « C'est une solution que j'avais expérimentée en tant que pentesteur auparavant et dont j'appréciais les ensembles de règles », explique Ayoub El Aassal. « L'éditeur a également une bonne présence dans la communauté de sécurité. Par ailleurs, il a mis à notre disposition un ingénieur technique d'un très bon niveau, qui a su nous accompagner pour la mise en oeuvre d'une configuration assez spécifique », apprécie le RSSI.

Des implications au niveau de l'infrastructure

La mise en oeuvre de la solution s'est effectuée sur trois semaines. « Si tout est bien préparé, le déploiement est fluide », pointe Ayoub El Aassal. Il faut faire en sorte que tout le trafic entrant passe par le WAF, afin d'appliquer les règles avant que les requêtes n'aillent sur l'infrastructure. « Cela suppose donc d'identifier tous ses points d'entrée, mais aussi d'identifier les équipes métier impliquées afin de programmer avec elles l'agrégation du trafic », explique le RSSI. Le principal enjeu d'un tel projet est qu'il introduit une brique qui va servir de fil rouge. Si le WAF est un composant de sécurité, un tel déploiement a de vraies implications au niveau de l'infrastructure. « Si la solution ne fonctionne pas, tout le système est bloqué. Il faut donc être particulièrement attentif au renouvellement des certificats, mettre en place un monitoring pour veiller à ce que tout fonctionne bien. Nous avons par exemple beaucoup de clients sur mobiles, qui utilisent des empreintes de certificats. Celles-ci peuvent changer, le risque étant alors que l'application mobile ne fonctionne plus », illustre le RSSI.

Le paramétrage de la solution est essentiel pour affiner les règles déterminant quels flux seront bloqués. L'enjeu est de réduire au maximum la part de faux positifs. Selon Ayoub El Aassal, la solution comporte des règles par défaut qui fonctionnent très bien, sans risque de faux positif. Il est possible d'y ajouter des règles basées sur les référentiels de l'OWASP (open web application security project), qui nécessitent davantage de customisation pour éviter les faux positifs. « Si l'on souhaite aller vite, une stratégie possible est d'activer les règles de base dans un premier temps, puis de mettre en oeuvre les règles plus avancées dans les jours suivants, de façon progressive pour adapter les réglages au fur et à mesure », suggère le RSSI. Qonto a notamment ajusté la protection contre les énumérations de comptes effectuées par des bots malveillants. « Il existe trois grandes sortes d'attaques par force brute », détaille le RSSI. La première, verticale, consiste à tester un maximum de mots de passe sur un même compte. C'est la plus simple à contrer. La deuxième, horizontale, consiste à tester un seul mot de passe à la fois sur plusieurs comptes. Pour la contrer, il faut pouvoir détecter qu'une seule IP interroge le serveur Web à chaque fois, ce qui nécessite davantage de logique applicative. « Nous avons mis en place cette logique dans le WAF », indique le RSSI. La troisième, la plus pernicieuse, utilise le credential stuffing, en récupérant et en essayant des listes de mots de passe qui ont fuité avec des IP aléatoires. « Pour bloquer de telles attaques, nous utilisons une fonctionnalité de Cloudflare qui permet d'analyser les requêtes et de déterminer si elles ont été créées par un humain ou un script, en analysant des signaux faibles de déviation des comportements normaux. Cela marche bien. Sur un mois, nous avons ainsi bloqué automatiquement 4500 attaques par bots émanant de 3000 IP. »

Des gains de temps et de visibilité pour les équipes de sécurité

Les données remontées par Cloudflare sont remontées dans un outil de SIEM (security information event management), qui agrège également les données des autres systèmes de sécurité. La solution fournit ainsi une vue globale sur tout ce qui se passe sur les endpoints et sur l'ensemble des requêtes vers les systèmes de Qonto, qu'elles émanent des clients ou des partenaires. Cette capacité est appréciée par le RSSI. « Cela évite les surprises, l'infrastructure exposée par inadvertance ». Le WAF offre également d'autres avantages selon ce dernier. « Quand une nouvelle faille voit le jour, il faut toujours un minimum de temps pour mettre à jour les composants. Parfois, c'est même risqué d'aller trop vite : en voulant se prémunir contre les risques de sécurité, on peut induire un risque d'indisponibilité des systèmes. L'arbitrage n'est pas évident à effectuer », constate-t-il. Grâce au premier niveau de protection apporté par Cloudflare avec l'approche zero day, l'équipe de sécurité peut gagner une demi-journée, un temps précieux dans un tel contexte. Ayoub El Aassal conseille aux entreprises exposées sur Internet qui n'ont pas encore mis en place ce type d'outil de ne pas attendre qu'on le fasse pour elles. « La solution peut tout à fait être opérée par une équipe d'infrastructure. Même si vous n'avez pas de compétences en sécurité, essayez de l'installer par vous-même », insiste le RSSI. Pour lui, une équipe de sécurité pourra chercher des comportements plus avancés, mais le niveau de base de Cloudflare apporte déjà des bénéfices. « Même si chaque solution de sécurité se contourne, chaque brique en place augmente le prix à payer pour les attaquants », rappelle le RSSI.