Sécuriser les end-points : l'objectif 1er pour Fairly Made

Fairly Made ® est une scale-up de la green tech créée en 2018. Entreprise à mission, avec notre plateforme SaaS nous accompagnons les marques de mode dans la traçabilité, la mesure des impacts environnementaux et sociaux et la communication au consommateur final.

La plateforme centralise les données obtenues grâce au travail d'enquête de nos ingénieurs textiles auprès de chaque fournisseur impliqué dans la production du vêtement. Elle offre également aux marques une évaluation des vêtements calculée sur 5 critères : traçabilité, environnement, recyclabilité, social et durabilité.

Il s'agit d'une approche à 360° qui permet aux marques de comprendre l'impact de leurs collections, de prendre des décisions pour l'optimiser et de communiquer de manière transparente grâce à des QR codes et des widgets générés directement par la plateforme.

Au départ, nous avions plutôt des marques clientes qui étaient déjà dans cette démarche d’éco-responsabilité. Aujourd’hui nous accompagnons des marques de différents secteurs, notamment depuis la loi anti-gaspillage AGEC. Cette loi impose aux marques d'afficher au moins 3 étapes de traçabilité ainsi que certaines allégations obligatoires.

Bien souvent, les marques qui font appel à Fairly Made ®, connaissent l’usine finale de conception (ce qui correspond au “Made in” sur l’étiquette). Nous allons ensuite contacter cette usine afin qu’elle remplisse un formulaire déclarant qui intervient avant elle dans le processus de fabrication. Et c’est ainsi que nous allons pouvoir remonter la chaîne.

Nous avons aujourd’hui une équipe opérationnelle (ingénieur.es textile,  ingénieur.es environnement, analystes...) de 13 personnes qui s'occupent d'analyser les produits de nos clients. Enfin, grâce à la donnée récoltée et calculée, nous arrivons à donner certaines recommandations afin que la marque sache créer en amont un produit plus éco-responsable.

De mon côté, j'ai rejoint Fairly Made ® en 2021, pour construire les premières briques techniques de la plateforme Fairly Made ®. Le travail a ensuite été de tout internaliser, pour venir remplacer certains outils no-codes qui avaient été utilisés à la création, et tout développer en interne.

À mon arrivée j’étais seul dans le département tech. J’ai construit une équipe au fur et à mesure et nous sommes une quinzaine de personnes aujourd’hui.

Mon périmètre de travail initial était assez large, et s’adaptait en fonction des besoins de l’entreprise. Je pouvais m’occuper des sujets produit, cybersécurité, mais aussi être sur des missions de développement à temps plein etc… Mon poste se précise aujourd’hui vers celui de CTO, avec un rôle de manager.

La première étape pour nous a été de venir sécuriser le partage de mots de passe, qui pouvait notamment passer par des outils non-chiffrés (Slack, mail, etc…). 

Nous avons également fait le choix de mettre en place de la sensibilisation régulière auprès de nos équipes avec un système de campagnes de phishing aléatoires, gérées avec notre cyber assureur “Stoïk”. 

Notre objectif 1er était vraiment de sécuriser les end-points.

Très vite, un ingénieur cybersécurité nous a également rejoints. Il a repris ces sujets pour venir renforcer la sécurité globale de l’entreprise.

Nous avons également mis en place un anti-virus mais nous allons bientôt en changer pour passer sur un EDR connecté. Ce sont des agents, connectés sur tous les end-points qui permettent de mettre à jour l’ensemble des logiciels installés sur les postes de travail et de faire également office d’anti-virus.

Côté applicatif, nous réalisons également des audits et faisons des pentests fréquemment.

Aujourd’hui nos clients sont à majorité des grands comptes et nous devons régulièrement prouver que nous avons mis en place plusieurs outils et actions en termes de cybersécurité. Cela est devenu obligatoire pour répondre aux pré-requis de nos prospects, et c’est aussi de la réassurance commerciale.

Nos clients ne nous demandent pas de certification spécifique à date, mais nous font remplir plusieurs documents de manière générale concernant notre PAS (plan d’assurance sécurité).

Les données les plus sensibles que nous gérons aujourd’hui concernent le parc fournisseurs d’une marque (c’est-à-dire le fait de savoir qu’une entreprise travaille avec telle usine, dans tel pays, à telle adresse). Ce que nos clients vont contrôler c’est vraiment le niveau de sécurisation de la donnée et de pouvoir garantir que ces données ne seront pas partagées vers l’externe. Ils vont également nous demander si nous avons mis en place des chartes, si nous avons un XDR (une solution de détection et de réponse aux incidents), un EDR (une solution de détection et d'intervention sur les endpoints), si nous faisons des pentests réguliers, si nous avons une politique de mots de passe etc…

J’ai implémenté LockSelf quasiment à mes débuts chez Fairly Made®.

Nous utilisions initialement un fichier Excel partagé au sein de l'entreprise pour stocker et échanger des mots de passe. Nous avons très rapidement fait le choix de mettre en place une solution adaptée et sécurisée pour venir remplacer cette méthode.

Nous voulions une solution française et pas trop chère, nous avons choisi LockSelf ! En à peine 2 mois nous avons réussi à imposer ce nouvel outil dans l’entreprise.

Nous possédons (comme de nombreuses entreprises), quelques comptes de services qui nécessitent de pouvoir échanger, stocker et partager de manière sécurisée les mots de passe à l’ensemble de la société. Côté usage individuel pour les collaborateurs également, il y avait un besoin pour les équipes de stocker leurs mots de passe sur un espace personnel dédié. 

LockPass est ainsi venu répondre aussi bien à une problématique de partage sécurisé des mots de passe entre collaborateurs, qu’à une problématique de sécurité globale de la donnée, en venant contrer l’utilisation des gestionnaires de mots de passe des navigateurs tels que celui de Google (entre autres).

Le besoin était vraiment de sécuriser la gestion des mots de passe pour l'ensemble de la société. Aujourd'hui, LockPass est parfaitement intégré au sein de toutes les équipes.

Côté arborescence et structuration de l’outil, nous avons choisi d’avoir : 

• Une catégorie par département. 
• Une catégorie dédiée aux C-Levels.
• Une catégorie “Shared”, partagée à l’ensemble des collaborateurs.
  
  Cette catégorie contient par exemple les accès au bâtiment, au code pin de la télévision, à un Figma partagé, etc… Des comptes sans réel danger, qui n’impactent pas la société et dont tout le monde peut avoir besoin.

Côté droits d’accès sur les mots de passe, chaque utilisateur est en mesure de modifier certaines informations dans les catégories dans lesquelles il se trouve (afin de pouvoir mettre à jour un mot de passe par exemple). Je garde cependant la main sur l'arborescence globale de l’outil afin de conserver une vision d’ensemble sur les droits d’accès de chaque catégorie.

Aujourd’hui, LockSelf nous aide également à fluidifier l’onboarding. À son arrivée, un nouveau collaborateur pourra retrouver tous ses accès directement dans LockSelf.

Nous avons fixé des échéances, en annonçant une date à laquelle la solution adoptée précédemment serait supprimée.

Je me suis occupé de mon côté de gérer la migration de l’ensemble des mots de passe partagés et de la création des catégories.

Côté mots de passe personnels, chaque collaborateur devait avoir migré ses mots de passe dans LockSelf avant cette date et devait également les modifier avec la fonctionnalité de génération de mots de passe intégrée dans l’outil. L’objectif était de profiter de cette migration pour venir renforcer la robustesse de nos mots de passe.

Côté mots de passe partagés, les chefs d’équipes étaient chargés de modifier ces mots de passe pour les renforcer également. Pour cela, j’ai utilisé la fonctionnalité de tag de LockSelf. Ainsi pour chaque mot de passe à modifier, j’indiquais un tag “À changer”. Le manager en charge devait ainsi faire la modification avant la date prévue. J’ai, grâce à cela, pu vérifier rapidement que les mots de passe à modifier l’avaient bien été en filtrant via ce tag. J’ai ensuite pu supprimer ce tag lorsque l’ensemble des modifications étaient terminées.

Au départ, quelques mots de passe transitaient encore via notre outil de messagerie interne.

Lorsque c’était le cas, nous faisions un rappel formel des bonnes pratiques aux équipes avec les chiffres des cyberattaques à l’appui (exemple : 9 / 10 Start-Up qui déposent le bilan suite à une cyberattaque etc…) pour leur faire comprendre que nous ne pouvons pas négliger la sécurité à ce niveau-là. Nous avons continué à contrôler et sensibiliser les collaborateurs sur les bonnes pratiques en matière de gestion des mots de passe.

Nous travaillons toujours dans la mesure du possible avec des solutions françaises, nous avons donc cherché un outil de gestion de mots de passe qui réponde à cette exigence.

En découvrant LockSelf, nous avons créé un compte de test pour valider que l’interface et l'extension fonctionnaient bien, et tout était ok pour nous. Il y a en plus, eu de nombreuses améliorations en 1 an et demi en termes d’expérience utilisateur ce qui est très agréable.

L’outil était également à un prix abordable, moins cher que la concurrence à fonctionnalités équivalentes sur une offre adaptée aux entreprises.

La certification ANSSI était aussi un plus.