Projets

Sécurité : Yves Rocher radiographie ses applications

Pour Eric de Bernouis, RSSI de Yves Rocher, maitriser les risques liés aux comportements malsains d'applications internes ou externes était une priorité.

Avec l'explosion des usages mobiles, aussi bien du côté des collaborateurs que des clients, Yves Rocher craignaient que des applications mal conçues ou comprenant du code malicieux puissent nuire à son image ou au fonctionnement de son SI. Le groupe a alors fait appel à Pradeo pour vérifier le comportement des programmes installés.

PublicitéMarque de cosmétiques mondialement connue, Yves Rocher compte près de 17 000 salariés et gère environs 7000 comptes utilisateurs. Ayant pris le virage du mobile, la société a rapidement été confrontée à plusieurs problématiques tant internes qu'externes. Yves Rocher propose en effet, à travers divers applications et sites mobiles, de nombreux services à ses clients, qui sont autant de façon de diffuser sa marque.
« Le premier de nos problèmes était de protéger notre image. Lorsque nous réalisons ou faisons réaliser des applications mobiles pour nos clients, nous devons être sûr qu'elles ne contiennent pas de backdoor, de code caché ou tout simplement qu'elles ne représentent pas une menace pour notre clientèle », déclare Éric de Bernouis, RSSI de Yves Rocher. Il fallait donc un moyen de contrôler les applications avant leur diffusion.

La même problématique s'est posée pour les applications des équipes internes. La encore, il fallait s'assurer que les logiciels et les systèmes que téléchargent les collaborateurs d'Yves Rocher n'étaient pas néfastes pour les smartphones et les tablettes fournies par l'entreprise (iOS et Android). Dans la continuité de cette démarche, Yves Rocher souhaitait également mettre en place un magasin d'applications internes.

Une analyse comportementale des applications

Pour répondre à ces problématiques, le groupe a alors fait appel à la société Pradeo, spécialisée dans la sécurisation des applications mobiles. Premièrement, Yves Rocher a acquis un accès à la plateformes de Pradeo pour vérifier le bon fonctionnement de ses applications internes. La démarche ne consiste pas en une analyse anti-virale basique. Renaud Gruchet, directeur marketing de Pradeo, indique que « la plateforme teste directement le comportement d'une application en la soumettant à plus de 120 analyses différentes qui portent sur le taux de code caché, le transit et l'origine des données, la géolocalisation, etc ». « Aujourd'hui, entre le dépôt de l'application sur la plateforme de test et le retour du rapport, il s'écoule au maximum une quinzaine de minutes. À la moindre erreur, elle est renvoyée en développement jusqu'à qu'elle passe tous les tests avec succès », témoigne Éric Bernouis.

Ensuite, les applications qu'utilisent les équipes de Yves Rocher vont être sensiblement soumises au même traitement. Quand un collaborateur télécharge un logiciel sur son mobile ou sa tablette, ce logiciel sera contrôlé par le biais d'un agent Pradeo installé sur le terminal. La solution est, pour l'instant en pilote sur une centaine de terminaux. Si l'application est déjà connue de l'éditeur et certifiée sans problème, le téléchargement s'effectue directement, sinon, l'application est envoyée automatiquement en test sur la plateforme afin d'obtenir une validation ou non. La moindre différence par rapport à une version déjà connue donne lieu à une nouvelle vérification de la plateforme. À cela, le groupe Yves Rocher peut ajouter ses propres règles de sécurité et restrictions.

PublicitéDes risques mieux maitrisés

« Les temps de téléchargements n'ont globalement pas été augmentés ce qui n'a pas nuit à l'expérience utilisateur », rassure Éric de Bernouis. En outre, il assure que ses collaborateurs ont très bien compris la démarche. A terme, c'est un millier de terminaux qui seront concernés par cette fonctionnalité.
Concernant l'app store interne, le projet est encore en cours de réalisation. « Nous allons nous appuyer sur une adaptation de la solution utilisée pour contrôler les applications », explique le RSSI. Pour l'instant, ce dernier se montre très satisfait du projet. « Ce n'était pas une question de ROI. Ce projet s'inscrivait directement dans une démarche de gestion des risques. Nous ne voulions pas que notre image de marque puisse être dégradée, ni que notre SI soit mis en danger, via des applications corrompues. Ce risque est aujourd'hui en passe d'être maitrisé », conclut Éric de Bernouis.