Le contexte de la collaboration « Penetration Testing » Docoon X NBS System
Pouvez-vous nous présenter Docoon et son positionnement ?
A.G. « Le Groupe Docoon a 2 activités principales, le Messaging et la Dématérialisation.
L’aspect Messaging consiste à digitaliser la relation client et à mettre en place une communication multicanale via l’envoi de messages SMS, de fax et d’emails.
Nous sommes positionnés principalement sur du message transactionnel, c’est-à-dire des messages qui sont envoyés lors de commandes. Par exemple, l’envoi d’un SMS pour informer que la commande est en cours de livraison. Pour cette activité, il y a un gros besoin de disponibilité du service, puisque nous travaillons principalement sur des flux critiques.
L’aspect de Dématérialisation se penche principalement sur des processus documentaires, comme des facturations électroniques, des dématérialisations RH, des signatures électroniques et des copies fiables.
Concernant la facturation électronique, Docoon est candidat pour être une Plateforme de Dématérialisation Partenaire (PDP), dans le cadre de la facturation électronique obligatoire en 2026. Outre la PDP généraliste Docoon, le groupe Docoon opère également la PDP Freedz qui est une PDP dédiée au secteur de l’immobilier et du bâtiment.
N’hésitez pas à visiter notre site https://docoon.com/ pour en savoir plus !»
Pouvez-vous nous donner quelques chiffres clés de Docoon ?
A.G. « Docoon a 35 ans d’expertise, avec plus de 15 millions d’euros de chiffre d’affaires et plus de 600 millions de traitements en 2023, ce qui nous a permis d’être dans le top 100 des éditeurs français. Nous avons à peu près 3000 clients en France et dans le monde, avec un hébergement en France sur 2 sites distincts. »
Quelle importance accordez-vous à la sécurité dans votre stratégie ?
A.G. « La sécurité est un enjeu majeur pour Docoon. C’est important vis-à-vis de nos clients grands comptes qui gèrent parfois des flux critiques, avec des hautes exigences en termes de disponibilité et de confidentialité. Cela nous amène donc à devoir démontrer régulièrement notre niveau de sécurité et, en tant que RSSI, à répondre à plusieurs questionnaires de sécurité. Nous sommes certifiés ISO/IEC 27001 depuis juillet 2023. Cette norme internationale qui atteste d’un niveau de maturité du Systèmes de Management de la Sécurité de l’Information (SMSI) nous a grandement aidé à élever notre niveau de sécurité et à le démontrer à nos clients.
Il est, par ailleurs, important de savoir qu’à partir de septembre 2026, les entreprises vont devoir envoyer et recevoir des factures électroniques (Obligation de réception pour toutes les entreprises et obligation d’émission pour les Grandes Entreprises et les ETI dans un premier temps). L’objectif de l’administration fiscale est de réduire la fraude à la TVA en s’appuyant sur des PDP. Ce rôle nous confère de nombreuses obligations dont celle d’être certifié ISO 27001. »
Comment avez-vous choisi NBS System pour réaliser votre pentest web ?
A.G. « Nous avons connu NBS System, suite aux conseils de l’un de nos clients. Nous avons été assez rassurés sur le niveau de professionnalisme de NBS System, puisque ce client, grand acteur du secteur bancaire a un niveau d’exigence très élevé. Il nous a recommandé 2 prestataires, dont NBS System.
Pour faire notre choix, nous nous sommes basés sur un certain nombre de points, comme la conformité ISO 27001. En tant que société certifiée, nous avons un certain nombre d’exigences, qui ont toutes été respectées par NBS System. Il y a eu également une approche budgétaire, puisque le cadrage -du test d’intrusion- du second prestataire n’était pas pertinent, à l’inverse de celui de NBS System qui a su comprendre nos enjeux et besoins avec une proposition de pentest et d’accompagnement technique adéquate. »
Le projet mis en place entre Docoon et NBS System
Qu’est-ce qui a déclenché la création du projet ?
A.G. « Dans le cadre de la certification de notre entreprise à la norme ISO 27001, nous avions planifié un audit de sécurité sur l’horizon 2026. Ce qui a été le déclencheur, un peu anticipé par rapport à ce que nous avions prévu, fut la demande de notre client. Cette entreprise avait effectué une importante extension de ses flux et nous a demandé de réaliser un audit de sécurité, ainsi que des pentests sur la solution logicielle Messaging.»
Quels étaient les principaux objectifs de cette démarche de Penetration Testing ?
A.G. « Si nous n’avions pas été sollicités par ce client, notre objectif principal était de tester notre solution sur le Top 10 OWASP Web afin de s’assurer qu’on n’avait pas de failles de sécurité à ce niveau-là telles que des Injections SQL ou tout simplement des défauts de configuration. Initialement nous voulions nous assurer de la robustesse de nos plateformes face à un attaquant potentiel.
Dans le cas de la sollicitation de notre client, l’objectif était de prouver le maintien d’un niveau de sécurité adéquat, d’une protection des données sensibles et du respect des exigences réglementaires, tout en réduisant les risques et en protégeant la réputation de l’entreprise. Pour en attester, nous avions besoin de fournir un rapport de pentest complet et détaillé. »
Pouvez-vous nous décrire le déroulement du Pentest et comment les équipes ont-elles collaboré ?
A.G. « Tout d’abord, il y a eu un encadrement contractuel de l’audit, comme l’exige la norme ISO 27001. Nous avons prévenu NBS System que toutes les parties prenantes étaient bien au courant et notamment qu’on a bien averti le Data Center, afin que personne ne soit pris au dépourvu lors de la réalisation du pentest.
Cela a donné suite à une réunion de lancement avec l’équipe de pentesters NBS System et l’équipe de Docoon. Ensemble, nous avons cadré le projet, déterminé les moyens de communication sécurisés à avoir pendant et après la mission.
Le test d’intrusion était décomposé en deux phases :
- Première étape : pentest black box ou boîte noire qui signifie que le hacker éthique ne dispose d’aucune information. Le consultant doit effectuer la phase de reconnaissance.
- Deuxième étape : pentest grey box ou boîte grise (qui est un intermédiaire avant le pentest boîte blanche) qui reproduit le comportement d’un pirate informatique qui dispose d’informations partielles. C’est dans cette étape que nous avions mis à disposition des comptes utilisateurs factices pour que les équipes puissent réaliser le test d’intrusion en étant authentifié dans notre solution.
Les équipes NBS System ont pu commencer à travailler, mais avec une consigne bien définie : si une vulnérabilité critique était décelée pendant l’audit, il devait y avoir une alerte le plus rapidement possible.
À la fin du projet, nous avons obtenu un rapport de pentest et il y a eu une réunion de synthèse et de présentation des résultats avec l’ensemble des équipes. Celle-ci a permis de bien expliquer les vulnérabilités identifiées et d’avoir quelques conseils pour la résolution. L’équipe de pentesters NBS System s’est montrée très réactive et a fourni des explications claires et détaillées sur l’approche de chaque problème, ainsi que des recommandations spécifiques pour les corriger. »
Comment avez-vous collaboré avec NBS System pour mettre en place les correctifs suite aux résultats des tests ?
A.G. « Notre collaboration avec NBS System a été productive et fluide. Évidemment, nous aurions préféré ne pas avoir de vulnérabilités, mais l’équipe de pentesters NBS System nous a donné plusieurs pistes de travail, avec une bonne description de la nature des failles de sécurité, pour que nous puissions les reproduire et les corriger assez rapidement. À ce jour, nous sommes rassurés, puisqu’elles ont toutes été corrigées. Grâce à cette coopération, nous avons pu renforcer significativement notre posture de sécurité et nous sommes désormais mieux préparés à faire face aux menaces futures. »
Quelle a été la plus-value apportée par NBS System ?
A.G. « Le gros point fort de NBS System est l’efficacité de ses équipes. Ils ont trouvé des vulnérabilités dans les délais impartis par ce test. Nous avons été très impressionnés par leur professionnalisme et leur capacité à trouver ces failles.
Le deuxième point fort, fut la grande réactivité des équipes NBS System. Nous avons pu planifier le test assez rapidement à partir du moment où notre client nous l’a demandé.
Nous avons également apprécié la qualité du rapport transmis dont les failles sont classées selon une échelle CVSS (Common Vulnerability Scoring System) nous permettant de prioriser les correctifs. C’est aussi l’opportunité de bénéficier d’un plan d’action concret basé sur les résultats d’un audit factuel.
Tout a été réalisé dans le respect de nos obligations ISO 27001. Nous avons eu le CV de l’équipe des pentesters, un encadrement du pentest, etc… Cela a été bien apprécié également en tant que RSSI Docoon. »
Les résultats et les perspectives
Pouvez-vous nous parler des résultats obtenus à l’issue de ces tests de sécurité ?
A.G. « Premièrement, ces tests de sécurité ont permis d’identifier dans un mode connecté des vulnérabilités, qui ont pu être corrigées par la suite. C’était l’objectif prioritaire de ce pentest.
Deuxièmement, il y a eu une sensibilisation des équipes infrastructure et développement sur ces failles OWASP. »
Prévoyez-vous de futures collaborations ?
A.G. « Absolument, nous envisageons de poursuivre notre collaboration avec grand enthousiasme, suite à la qualité de l’approche et du travail fourni, ainsi qu’à l’engagement et à la réactivité de ses équipes. Nous ferons appel à NBS System pour nous assurer du niveau de sécurité de nos projets futurs, grâce à leur regard extérieur d’expert en cybersécurité. »
Vous souhaitez vous renseigner sur le pentesting ?
N’hésitez pas à nous le faire savoir ! Nous serons ravis de discuter plus en détail avec vous afin de trouver comment nous pouvons vous aider à identifier vos vulnérabilités.
Contactez-nous directement ici :
