Pour la plateforme vidéo hexagonale Dailymotion, mettre à disposition n’est pas qu’une affaire de business. L’enjeu est avant tout de réussir à faire cohabiter liberté d’expression, éthique et protection des données. Responsable d’opérations de cyberdéfense à l’Anssi puis RSSI au CEA, Sabine Da Cruz-Mangeot, désormais en charge de la sécurité des systèmes d’information de Dailymotion, a accepté de répondre à nos questions.
Sous quel angle la cybersécurité est-elle appréhendée chez Dailymotion ?
Dailymotion est une plateforme vidéo dont le modèle économique repose sur la publicité en ligne. Notre siège social est basé en France, mais nous sommes aujourd’hui présents dans 145 pays dans le monde et disponibles en 35 langues. Notre ADN, c’est d’être une plateforme qui valorise la bienveillance dans les échanges entre les utilisateurs et le respect des différents points de vue, ce qui offre une meilleure reconnaissance du travail réalisé par les créateurs de contenu. Pour cela, notre algorithme unique pousse une plus grande diversité de contenu aux utilisateurs. L’objectif : offrir aux utilisateurs une vision alternative aux filtres et contribuer à un Internet plus sûr. Nous avons ainsi retravaillé notre algorithme afin de proposer du contenu, certes parfois légèrement différent de ce qui se fait habituellement, mais qui correspond à un monde numérique sain dans lequel nous avons à cœur de voir évoluer nos proches. Nous mettons ainsi tout en œuvre pour protéger les informations sensibles sur notre plateforme, en particulier les données à caractère personnel des utilisateurs et des partenaires, en conformité aux réglementations européennes en vigueur comme le règlement général sur la protection des données (RGPD).
À quels types de menaces êtes-vous exposés ?
Chez Dailymotion, nous manipulons les données à caractère personnel de nos utilisateurs et de nos partenaires. Nous nous devons de protéger cette information. Au-delà de l’impératif légal, c’est la base de notre engagement et de nos valeurs.
Notre état des cybermenaces s’étend du ransomware, qui est hélas un sujet pour toutes les entreprises aujourd’hui, jusqu’à de potentielles luttes d’influence
D’autre part, le système d’information de Dailymotion est fortement exposé à Internet. Il est donc nécessaire de considérer les menaces liées à l’usage même d’Internet, tant cybercriminelles, que potentiellement étatiques. Notre état des cybermenaces s’étend du ransomware, qui est hélas un sujet pour toutes les entreprises aujourd’hui, jusqu’à de potentielles luttes d’influence qui pourraient avoir lieu sur notre plateforme.
Quel est votre parcours ?
Diplômée de l’ESIEA (École Supérieure d’Informatique, Électronique, Automatisme), j’ai travaillé pour la première fois en tant que RSSI à l’IRSN (Institut de Radioprotection et de Sûreté Nucléaire). Cet organisme d’expertise en matière de radioprotection m’a amenée à dissocier dans mon métier de RSSI la chaîne de spécification/contrôle de la cybersécurité de la chaîne de mise en œuvre des mesures de cybersécurité. J’ai ensuite rejoint l’ANSSI (Agence nationale de sécurité des systèmes d’information) où j’étais responsable d’opérations de cyberdéfense. Puis j’ai intégré le Commissariat à l’Énergie Atomique (CEA), où j’ai occupé mon second poste de RSSI, qui comportait davantage d’aspects réglementaires. En qualité aujourd’hui de Chief Information Security Officer (CISO) de Dailymotion, ma fonction regroupe tant les aspects opérationnels que de gouvernance de la cybersécurité.
Quel est votre travail au quotidien à Dailymotion ?
Dès lors qu’un système d’information est relié à Internet, il est exposé à un niveau de menace élevé. Pour faire face à cela au quotidien, nous appliquons le principe de la défense en profondeur appliquée aux systèmes d’information, conformément aux recommandations de l’Anssi. Concrètement, il s’agit de mettre en place plusieurs lignes de défense homogènes, successives et indépendantes, qui visent à prévenir, détecter, bloquer, contenir l’attaque et réparer le système d’information. L’objectif est de limiter les conséquences de l’intrusion d’un potentiel attaquant dans notre système d’information et de nous doter d’une capacité à remonter le plus rapidement possible le cœur de confiance de Dailymotion.
“mettre en place plusieurs lignes de défense homogènes, successives et indépendantes”
Comment gérez-vous cette première ligne de défense ?
Eh bien, en termes de prévention, nous avons mis en œuvre un plan de formation obligatoire à la cybersécurité pour tous nos développeurs. Nos formateurs enseignent les principes de la « security/privacy by design » conformément aux guides de l’ANSSI et de la CNIL. Nous menons également des exercices de cybersécurité, tels que des Capture The Flag (CTF). Ce sont des ateliers où les collaborateurs expérimentent l’autre côté de la barrière par une mise en pratique ludique des connaissances acquises en formation. Concrètement, ils se transforment en pirates à la recherche de vulnérabilités sur une plateforme. Par ailleurs, une démarche d’audit, notamment avec l’entreprise Synacktiv, vise à relever les actions d’amélioration continue de la cybersécurité de notre plateforme et de nos applications disponibles sur les stores Apple et Google. La ligne de défense dédiée à la détection vise à capter des signaux faibles de malveillance, internes ou externes. Il s’agit d’identifier des faisceaux d’indices ou de comportements anormaux notamment via un centre opérationnel de la sécurité (SOC), afin de relever les prémices d’une intrusion ou d’une fraude.
Par quoi se traduit la dernière ligne de défense : réparer le système d’information ?
Nous la co-construisons avec Synacktiv la présente ligne de défense dédiée. Dans les faits, une équipe de réponse à incident est en capacité d’intervenir en soutien, sur simple demande par une ligne téléphonique dédiée. En support à l’équipe sécurité interne de Dailymotion, ce partenariat comprend un volet de préparation aux incidents. Il permet en particulier de constituer un référentiel de fiches réflexes permettant d’accélérer le temps de réaction des équipes et du CSIRT. Parmi ces fiches, nous testons par exemple la capacité de collecter les informations ou à bloquer une activité malveillante. Cette préparation vise également à évaluer nos sources de journalisation afin de déterminer les actions présentes et le cas échéant adapter la politique de journalisation. Nous avons de plus réalisé avec Synacktiv un ensemble d’ateliers de travail afin de s’entraîner aux gestes de « premiers secours » en cas de cyberattaque. Pour terminer, nous avons mis en place un programme de Bug Bounty, accessible sur la plateforme YesWeHack. Cela nous permet de manière complémentaire aux audits de bénéficier des recherches en vulnérabilités menées par de nombreux chercheurs ; je vous invite à y faire un tour, si cela vous intéresse, toutes les contributions sont les bienvenues.