Dans un contexte où les menaces cyber évoluent rapidement et où les infrastructures numériques des agences sanitaires deviennent des cibles stratégiques, la sécurisation des applications web représente un enjeu opérationnel fondamental. La protection des données de santé, la continuité de service des plateformes à haute visibilité et la conformité aux exigences réglementaires imposent des choix technologiques rigoureux.
Dans cette interview, le Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une agence sanitaire nationale de premier plan partage son retour d’expérience sur la migration opérée vers la solution WAAP d’OGO Security, renforcée par l’intégration native du réseau de diffusion de contenu (CDN) d’Orange Wholesale.
Quels sont les principaux défis de votre rôle en tant que RSSI et comment abordez-vous la protection de vos sites et données ?
Le RSSI – « Nous sommes une agence sanitaire sous tutelle gouvernementale. La protection des systèmes d’information que nous exploitons constitue donc un enjeu primordial, notamment en raison de la sensibilité des données de santé que nous traitons.
Nous hébergeons des plateformes de prévention santé à très forte visibilité, qui sont régulièrement la cible de campagnes de défiguration ou d’attaques par déni de service distribué (DDoS). Les menaces vont de l’activisme numérique à des attaques plus structurées ciblant les données.
Dans ce cadre, la distribution du trafic est essentielle pour maintenir la résilience de nos services en ligne. L’apport du réseau CDN mondial d’Orange Wholesale, avec sa capacité de 200 Tbps et ses plus de 200 points de présence (PoP) répartis géographiquement, agit comme une première ligne de défense vitale. Il nous permet d’absorber, de diluer et de filtrer les attaques DDoS volumétriques à la périphérie du réseau, bien avant qu’elles ne puissent impacter nos serveurs d’origine. Ainsi, nous garantissons la continuité de service pour les citoyens, même en période de crise sanitaire. »
Pourquoi avoir choisi la solution conjointe OGO Security et Orange Wholesale dans le contexte de votre projet de sécurisation web ?
Le RSSI – « Fin 2024, notre ancien WAF cloud arrivait en fin de vie. Il présentait des limitations majeures : l’analyse des logs était laborieuse, la visibilité sur les comportements suspects très réduite, et l’intégration API en régression. En explorant les alternatives sur le marché, nous étions confrontés à une complexité supplémentaire : la souveraineté des données.
Le marché est aujourd’hui dominé par des acteurs nord-américains, ce qui expose les données médicales et sensibles à des lois extraterritoriales. L’alliance entre OGO Security et Orange Wholesale nous a offert une alternative européenne crédible, garantissant une protection de pointe tout en conservant les données et les logs strictement sur le territoire européen. Cette souveraineté totale facilite grandement notre respect du RGPD et nous protège des risques juridiques liés aux juridictions non-européennes. »
Pouvez-vous nous présenter les avantages et résultats observés suite à l’utilisation de cette architecture WAAP + CDN unifiée ?
Le RSSI – « La migration s’est effectuée de manière fluide sur trois semaines, en automatisant la majeure partie de la configuration grâce aux API.
L’un des plus grands bénéfices est de disposer d’une solution intégrée combinant sécurité (WAAP) et performance (CDN) dans une interface utilisateur intuitive et unique. D’un côté, le moteur d’intelligence artificielle et d’analyse comportementale d’OGO identifie de manière proactive les menaces applicatives complexes, sans générer de faux positifs handicapants et sans nécessiter de compétences hyper spécialisées au quotidien. La console nous fournit enfin des logs lisibles et une véritable traçabilité des comportements applicatifs.
De l’autre côté, le CDN d’Orange Wholesale rapproche nos contenus de prévention des utilisateurs. Grâce à la mise en cache statique et dynamique opérée directement sur les serveurs périphériques (Edge Servers), la latence est drastiquement réduite. Nos plateformes grand public se chargent plus rapidement, et nos serveurs centraux sont considérablement soulagés. C’est une synergie parfaite qui garantit une expérience utilisateur fluide tout en appliquant une politique de sécurité intransigeante. »
Quels éléments de la solution et de l’accompagnement vous semblent les plus bénéfiques ?
Le RSSI – « La réactivité des équipes OGO et d’Orange est un vrai point fort, avec des interlocuteurs disponibles et hautement techniques. Au-delà du réseau résilient d’un opérateur de premier plan, l’accès natif et transparent aux trames HTTP et aux journaux d’événements nous a fait gagner une capacité d’observation indispensable. Cette visibilité claire facilite aujourd’hui nos audits internes et nos actions correctives. »
Si vous deviez résumer votre expérience avec cette alliance, que diriez-vous ?
Le RSSI – « Simplicité, lisibilité, transparence… et souveraineté absolue des données. »
Lexique : L’essentiel de la cybersécurité et de la souveraineté
CDN (Content Delivery Network – Réseau de Diffusion de Contenu)
Un CDN est un réseau de serveurs (ou points de présence – PoP) répartis stratégiquement à travers le monde, dont le but est d’accélérer la communication vers les serveurs d’applications et de garantir la disponibilité mondiale des contenus. Au-delà de l’optimisation des performances en réduisant la latence, le CDN joue un rôle critique dans la cybersécurité en absorbant et en filtrant massivement le trafic malveillant, notamment lors d’attaques par déni de service distribué (DDoS).
WAAP (Web Application and API Protection)
Le WAAP constitue l’évolution naturelle et moderne du WAF (pare-feu d’application web) traditionnel. Il s’agit d’une solution de sécurité unifiée qui repose sur quatre piliers indispensables : la protection des API, la gestion avancée des bots, la défense Anti-DDoS applicative et le filtrage web de nouvelle génération. À la différence des anciens modèles basés sur des règles statiques, le WAAP (comme celui d’OGO Security) s’appuie sur une Intelligence Artificielle comportementale capable d’identifier et de bloquer de manière proactive les attaques inédites (Zero-Day) tout en éliminant les faux positifs.
Souveraineté numérique
La souveraineté numérique désigne la capacité d’une organisation ou d’un État à maîtriser ses technologies et à protéger ses informations critiques face aux dépendances extraterritoriales, garantissant ainsi son indépendance stratégique et technologique. Concrètement, opter pour une cybersécurité souveraine assure que les données sensibles et les journaux d’événements (logs) restent hébergés et traités exclusivement sur le territoire français ou européen, sous le contrôle exclusif de juridictions locales.
Cloud Act (Clarifying Lawful Overseas Use of Data Act)
Le Cloud Act est une loi fédérale américaine à portée extraterritoriale. Elle crée un risque juridique majeur pour les organisations européennes, car elle oblige les entreprises technologiques américaines à fournir aux autorités des États-Unis un accès aux données qu’elles hébergent ou traitent, et ce, même si les serveurs sont physiquement situés en Europe. Recourir à un fournisseur 100% européen est le seul moyen de se prémunir du conflit juridique engendré par le Cloud Act.
RGPD (Règlement Général sur la Protection des Données)
Le RGPD est le cadre réglementaire strict de l’Union européenne visant à encadrer le traitement et à garantir la protection des données personnelles. Dans le domaine de la sécurité des applications web, l’utilisation d’une infrastructure WAAP et CDN d’origine européenne permet aux entreprises et aux acteurs publics de conserver leurs données dans leur région d’origine, garantissant ainsi un respect total des obligations imposées par ce règlement.
Directive NIS 2 (Network and Information Security 2)
La directive européenne NIS 2 est le nouveau cadre réglementaire imposant un niveau de cybersécurité élevé et commun dans toute l’Union européenne. Elle élargit considérablement le périmètre des entités régulées et durcit les obligations de sécurité pour les organisations : analyses de risques approfondies, signalement obligatoire et rapide des incidents, et contrôle strict de la chaîne d’approvisionnement numérique (Supply Chain). Dans ce contexte, la directive pousse les DSI et RSSI à réduire leurs dépendances extraterritoriales. Le choix d’une architecture de défense souveraine (comme un WAAP et un CDN européens) n’est donc plus seulement un enjeu technique, mais devient un véritable critère de conformité légale.
