Thomas Quinot
Security Engineer
26 nov 2020Tech & produit

Construire la fonction Sécurité chez Alan

Le parcours d’Alan

Dès les premiers temps de son existence, Alan a placé la protection des données au cœur de ses préoccupations. Dans notre système de valeurs, les membres passent avant tout, et le respect de leur intimité et de leur vie privée est un aspect essentiel.

Dans une startup numérique comme Alan, nous avons traduit cette exigence dans nos choix techniques : localisation des données sur le sol européen, choix d’un hébergeur agréé HDS (au-delà même de nos obligations en tant que complémentaire santé). Nous avons dès l’origine recherché l’application des meilleures pratiques, tout en travaillant sur une cible mouvante : le produit, le système Alan se construisaient au fur et à mesure, se redéfinissant d’une étape à la suivante. Nous devions protéger les données tout en innovant et en fonctionnant avec une équipe restreinte.

Et puis le temps de grandir est venu, et de gagner en maturité :

  • Avec aujourd’hui plus de 110 000 membres, notre responsabilité continue de s’étendre
  • Notre effectif a plus que doublé dans les 12 derniers mois. Pourtant nous ne pouvons pas nous permettre d’être deux fois plus vulnérables.
  • Nous traitons maintenant en interne les remboursements de santé, qui auparavant étaient externalisés, et nous devons respecter à ce titre les règles assurantielles, par exemple la séparation des responsabilités. Ainsi, la personne qui a traité un dossier de sinistre ne peut pas aussi en valider le remboursement. De simple complémentaire santé, nous étendons notre offre pour devenir le partenaire de santé numérique de nos membres, ce qui les amène à nous confier des données de plus en plus sensibles.

C’est ce qui nous a amenés, fin 2019, à envisager la création d’une fonction spécifique de Sécurité de l’information, pour développer, organiser et structurer nos initiatives de sécurité, et nous permettre d’acquérir, de maintenir et de mériter la confiance de l’ensemble de nos parties prenantes, en particulier nos clients (principalement des entreprises), nos membres (salariés, indépendants), nos autorités de régulation (l’ACPR et la CNIL), nos investisseurs. Mais pour ça, il nous fallait quelqu’un.

Mon parcours

Je dis nous, mais je n’étais pas encore là.

Je m’intéresse depuis très longtemps à la cryptographie et à la sécurité en général. À 15 ans, déjà geek et bricoleur, ça m’avait valu une courte visite au fort d’Issy, où se trouvait alors le SCSSI (ancêtre de l’ANSSI, avant qu’elle déménage aux Invalides).

Ensuite, avec une formation d’ingénieur et docteur dans le domaine des systèmes répartis, j’ai longtemps travaillé dans l’industrie aérospatiale-défense. Parmi de multiples métiers, j’ai continué à y pratiquer la sécurité.

Au fil des années, j’ai pu constater combien les aspects techniques ne sont finalement que la partie émergée de l’iceberg quand on s’attache à protéger les systèmes d’information d’une entreprise. On ne peut pas faire l’impasse sur les facteurs humains et organisationnels. Sans une approche méthodique et rationnelle, on ne peut pas non plus assurer la pertinence et l’adaptation des mesures techniques à un paysage de risque en constante évolution. Sans se structurer et s’industrialiser, on ne peut pas assurer la tenue dans le temps (et encore moins l’amélioration continue) de la sécurité.

C’est cette réflexion qui m’a amené à me former aux systèmes de management de la sécurité de l’information ISO 27001. C’est une norme qui fait souvent peur, car on s’imagine un mastodonte de bureaucratie pour lequel on perd l’essentiel de son temps à pondre des procédures hors-sol et à faire des tableaux pour complaire aux auditeurs.

Dans une PME avec une petite équipe IT, on ne peut pas se payer le luxe de faire de la conformité pour le plaisir : on doit chercher le sens et l’intérêt concret pour le business qu’il y a derrière chaque mesure qu’on choisit de mettre en œuvre. Ça tombe bien : c’est justement là l’esprit de l’ISO 27001 — fournir un cadre adaptable, à interpréter intelligemment et pragmatiquement, et s’assurer qu’on ne fait que des choses qui ont du sens dans un contexte pratique bien précis.

À ce moment-là, après vingt ans passés dans le même secteur industriel, après avoir choisi cette orientation vers la sécurité au niveau de l’organisation, j’avais envie de me confronter à d’autres défis : un autre secteur, une autre culture d’entreprise aussi.

Où on se croise

Du temps de mes études à Télécom Paris, je faisais partie du English Theatre Club, une association qui montait chaque année une comédie musicale classique de Broadway. C’est là que j’ai connu Olivier, et c’est là qu’on voit que la musique mène à tout. On s’apercevait de façon épisodique par réseaux sociaux interposés. Début 2020 j’ai vu passer une mention sur Linkedin, et je l’ai recontacté au cas où.

"Salut Olivier ! Long time no see ! Dis voir, à tout hasard : est-ce que chez Alan vous recruteriez actuellement en sécurité ?"

"Hello Thomas ! Justement, c’est moi qui m’en occupe aujourd’hui mais je préférerais me concentrer sur les aspects opérationnels, et on recrute un security lead pour les aspects surtout orga, mais qui sache aussi coder et revoir du code. Je te mets en contact avec Charles (notre CTO) si ça te va ?"

Il n’y avait pas de fiche de poste ni d’annonce publiée… mais j’aurais presque pu croire que la place m’attendait ! Quelques mails, quatre entretiens, une journée immersive et un confinement plus tard, j’ai rejoint l’équipe début juillet.

Les premières semaines

J’ai commencé par faire connaissance avec mes nouveaux collègues, comme pas mal de monde : une cinquantaine de nouveaux Alaners ont rejoint la société pendant le confinement du printemps ou juste après. Un quart d’entre nous étions des tout nouveaux !

Même si dans mon précédent poste la communication écrite avait déjà une large part dans les discussions et les prises de décision, chez Alan c’est la règle de la communication asynchrone qui a été le plus grand choc culturel. On est encouragés à couper systématiquement les notifications, pour pouvoir préserver de vraies plages de concentration. L’autre surprise était qu’on utilise très peu le mail, délaissé au profit de Slack (pour le flux d’échanges du quotidien) ou de Github pour la discussion sur le code… ou sur toute autre décision : on édite la société comme on édite nos outils.

Le programme woodchuck m’a permis de me familiariser avec de nombreux aspects de la chaîne technique : il s’agit de petites améliorations que chaque équipe propose aux nouveaux venus pour leur permettre de se plonger dans chaque composant.

La culture d’entreprise Alan, basée notamment sur la transparence radicale, conduit à ce que toutes les discussions, toutes les décisions laissent des traces écrites complètes. Je me suis plongé dans l’historique pour mieux comprendre où on était et d’où on venait. J’ai également conduit une série d’interviews avec le réseau existant des référents sécurité, et j’ai pu dresser un état des lieux des forces et des points d’amélioration de notre posture de sécurité.

À partir de là, où on va

Avec quatre mois de recul, je vois le début de chemin parcouru, et ce qui reste à accomplir.

  • Mes collègues m’ont repéré et identifié : je suis régulièrement sollicité pour des questions opérationnelles aussi bien que pour la définition de nouveaux produits. J’ai écrit et partagé ma fiche de poste, qui définit mon activité de Security lead sur quatre axes complémentaires :

    1. Donner une vision stratégique pour la sécurité alignée avec celle d’Alan, et cohérente avec celles que nous avons pour la protection de la vie privée et la gestion du risque
    2. Communiquer et sensibiliser
      • au sein d’Alan, pour que la sécurité soit prise en compte précocement dans les projets et les opérations et qu’elle devienne un réflexe au quotidien ;
      • à l’extérieur, pour donner en toute transparence aux parties prenantes le moyen de se convaincre de la solidité de notre posture.
    3. Organiser nos activités pour garantir l’identification, l’appréciation et le traitement des risques, assurer le suivi des actions préventives et correctives, et engager une démarche d’amélioration continue.
    4. Mettre en œuvre des mesures techniques, assurer le suivi de leur déploiement et de leur efficacité, intervenir comme expert au service des équipes produits.
  • J’ai proposé une approche de la sécurité articulée à nos valeurs : priorité à la satisfaction de nos membres (notamment sur la protection de leur vie privée), transparence radicale, décentralisation (ownership distribué) :
    1. si la transparence radicale concerne l’information interne relative au fonctionnement de la société, elle n’implique nullement une circulation incontrôlée de l’information ;
    2. la décentralisation ne veut pas dire non plus que tout le monde a la main sur tous les systèmes ; la mise en place de rôles et de permissions ne sert pas à fabriquer des portiers dans leur guérite, mais à limiter l’étendue des dégâts qui peuvent être occasionnés par la compromission d’un compte isolé.

Et après ?

Dans les prochains mois, on va continuer la construction de notre système de management de la sécurité de l’information et de la protection de la vie privée. L’enjeu de la feuille de route va être de rendre notre posture de sécurité solide sur le long terme, et plus seulement à un instant t — organiser la montée en maturité.

Cela va passer par une appréciation des risques régulièrement actualisée et à un suivi de la mise en œuvre des mesures nécessaires et adaptées. On va s’attacher à rendre observable leur bonne application et leur efficacité, et on pourra au fur et à mesure prévoir des actions préventives et correctives pour nous améliorer continuellement.

On pourra alors obtenir et conserver la confiance de nos parties prenantes en continuant à dire ce qu’on fait et à faire ce qu’on dit.

Thomas Quinot
Security Engineer

Plus d'articles de Thomas Quinot

La crème des articles alan

Populaires en ce moment

Populaire en ce moment

De la même catégorie