Chez ManoMano, on expérimente le « chaos engineering » pour se préparer au pire

Chez ManoMano, on expérimente le « chaos engineering » pour se préparer au pire

Créée à Paris en 2013, la société ManoMano est devenue en quelques années un leader européen du bricolage, de la maison et du jardin sur internet. La start-up a été cofondée par deux Français, Philippe de Chanville et Christian Raisson, avec le soutien de Bpifrance, Partech et Oseo.

Aujourd’hui, cette plateforme d’e-commerce propose 16 millions de références provenant de 4 000 marchands. Elle compte 1 000 collaborateurs, dont 750 en France, et opère sur six pays européens – France, Belgique, Espagne, Italie, Allemagne, Royaume-Uni – en cinq langues (français, allemand, anglais, italien et espagnol). En 2020, tirant parti de la pandémie et de son expansion géographique, elle a doublé son chiffre d’affaires par rapport à 2019.

A cela, plusieurs raisons. « Le e-commerce a connu un “boom” durant les périodes de confinement. Nous avons été identifiés comme un vrai spécialiste du bricolage, qui répond aux nouveaux modes de consommation. Nous avons la réputation d’accompagner nos clients dans la recherche de leurs produits – ceci grâce nos ressources techniques. La moitié des collaborateurs sont issus de la “tech” ou du “digital” », explique Clément Hussenot-Desenonges, Platform Engineering Manager.

publicité

Vers le “full cloud” en deux étapes

Jusqu’en 2019, le système d’information (SI) de ManoMano était hébergé et infogéré par Claranet. La décision a alors été prise de migrer vers le cloud public d’AWS.

« Nous étions déjà face à une forte montée en charge. Heureusement que nous avons pris cette option, car en mars et avril 2020, notre trafic e-commerce a été multiplié par quatre, comparativement aux mois précédents », raconte Clément Hussenot-Desenonges. Il ajoute : « Ce choix du cloud public nous a apporté beaucoup de souplesse. Côté outils de développement, nous nous appuyons sur des services managés, ce qui nous vaut une garantie de fiabilité notamment pour sécuriser la base de données. »

Pour les ressources de “compute”, ManoMano se fie également à AWS, à l’offre EC2 et à ses conteneurs Kubernetes « qui apportent beaucoup de flexibilité ».

Un développement en deux étapes

Cette montée en puissance s’est déroulée en deux étapes : en septembre 2019, une trentaine d’applications, les plus importantes, dont trois « monolithes », déjà virtualisées sur des serveurs Bare Metal, ont été portées sur AWS. Et six mois après a été organisée la migration dans des conteneurs de type Docker.

« Pour simplifier nos modes de fonctionnement, nous avons d’abord adopté l’orchestrateur ECS (Elastic container service) d’AWS, en service managé, puis nous sommes passés sur l’offre Kubernetes d’AWS, nommée EKS. Pour 95 %, nos services sont déployés sous la forme de containers de type docker sur EKSA. Les 5 % restants sont nos “services cœur” comme les passerelles API et les services d’authentification », explique l’ingénieur.

Pour l’essentiel, les applications “corporate” reposent sur des services Google Cloud en mode SaaS (Software-as-a-Service) – des applications sous Windows, Linux et iOS.

Cybersécurité : des attaques permanentes

S’agissant de la cybersécurité, ManoMano a vu le nombre de tentatives de cyberattaques se multiplier à mesure que son activité s’est étendue vers de nouveaux marchés en Europe. « Les menaces sont quotidiennes, permanentes. Les attaques ont progressé arithmétiquement. Dans les trois ou quatre premières années, nous enregistrions jusqu’à 100 000 tentatives par an. Aujourd’hui, nous en comptons 10 fois plus. Cependant, nous restons dans un ordre de grandeur standard, généralement observé dans l’e-commerce », nous révèle Fabien Lemarchand, Chief Information Security Officer.

Toutes formes d’attaques sont référencées : des attaques DDoS, quotidiennement, à des tentatives d’intrusion dans les données des clients, ou même aux tentatives de fraude sur les transactions de paiement – sans oublier les attaques de type “phishing” (hameçonnage).

« Nous avons mis en place une équipe cybersécurité de huit personnes qui testent nos plateformes tous les jours. Nous adhérons à un programme de bug bounty qui récompense les hackers “fair play”, dits « éthiques », ces chasseurs de primes qui vous aident à débusquer les vulnérabilités sur les sites web », décrit Fabien Lemarchand.

Transparence et collaboration

Avec cet objectif, la DSI a créé une « extension de la plateforme de sécurité ». « Elle nous apporte beaucoup de transparence, d’autant plus que nous avons toujours eu une culture “open source”, très collaborative ; ainsi, nous coopérons avec beaucoup de confrères de plusieurs plateformes d’e-commerce », explique-t-il.

Cette transparence s’exerce également avec les collaborateurs. « Nous avons opté pour une approche “training”. Nous testons régulièrement nos capacités de défense ; nous lançons régulièrement des simulations de “phishing” via divers canaux : clés USB, intrusion physique, logiciel “vérolé”, QR code, etc. Ces simulations sont utiles pour tout le monde et contribuent à résoudre des points faibles », estime-t-il.

Pour protéger ses plateformes, ManoMano a choisi d’utiliser, entre autres solutions, le réseau de services de sécurité Cloudflare. « C’est un partenariat important. Leur offre nous apporte une couche de sécurité supplémentaire sur les flux entrants. Toutes les requêtes sont scrutées, afin de détecter des paramètres malicieux et de bloquer certaines transactions avant qu’elles n’entrent dans le SI », explique le responsable cybersécurité.

Security by design

Parmi les autres solutions de cybersécurité, beaucoup d’outils visent à protéger les développeurs en amont : authentification multiple sur les postes de travail, audit de code, contrôle des requêtes, etc.

« Nous appliquons des procédures de “security by design”, soit de façon automatique, par exemple lorsque nous nous préparons à déployer une nouvelle application, soit lors des développements : tous les composants sont testés un à un ; et nous pratiquons des tests d’intrusion », souligne le CISO de ManoMano.

« L’humain doit devenir un maillon fort. Cela suppose beaucoup de communication auprès de tous les collaborateurs. »

SI contre vilains

Il a choisi d’organiser trois types d’événements de sensibilisation : sur une journée ou une demi-journée, en ligne et en « semi-présentiel ». « Nous nous mettons en situation de pannes techniques ; il faut résoudre le cas le plus rapidement possible : identifier le problème dans le SI et assurer la remise en route. Nous constituons au préalable un petit groupe de “vilains” – ceux qui vont imaginer le scénario et provoquer l’incident », raconte-t-il.

Ces exercices contribuent également à innover et à imaginer des améliorations, très régulièrement. « Ces “fire drills” [alerte au feu, NDLR] sur le SI nous permettent de construire des systèmes plus résilients ; car en provoquant ces pannes (on parle de “chaos engineering”), nous observons comment les systèmes et les équipes se comportent », ajoute Fabien Lemarchand.

Parmi les projets SI en cours, la sécurité reste un domaine prioritaire. « Comme nous continuons de croître et que nous voulons développer l’activité B to B démarrée en 2019, nous devons repenser nos modes de fonctionnement pour conforter notre résilience. Notre démarche, agile, s’oriente vers du “self-service” ; car nous voulons rendre les équipes plus autonomes pour opérer les services. C’est la clé de l’efficacité et de l’innovation », conclut Clément Hussenot-Desenonges.

Leave a Reply

Your email address will not be published. Required fields are marked *