Dans un contexte où les menaces cyber évoluent rapidement et où les infrastructures numériques des agences sanitaires deviennent des cibles stratégiques, la sécurisation des applications web représente un enjeu opérationnel fondamental. La protection des données de santé, la continuité de service des plateformes à haute visibilité et la conformité aux exigences réglementaires imposent des choix technologiques rigoureux et adaptés. Dans ce contexte, le recours à un Web Application Firewall (WAF) en mode SaaS, à la fois performant, flexible et transparent, constitue un levier essentiel dans la construction d’une posture de sécurité robuste et adaptée aux réalités métiers du secteur public.
Dans cette interview, Stéphane Nardy, Responsable de la Sécurité des Systèmes d’Information de Santé Publique France, partage son retour d’expérience sur la migration opérée vers la solution WAF d’OGO Security. Dans cet entretien, il aborde les critères de sélection d’une solution adaptée à un environnement multi-applicatif, les enjeux de visibilité et de contrôle dans un cadre fortement exposé, ainsi que l’importance d’un accompagnement technique pour assurer une transition fluide et sans rupture de service.
Quels sont les principaux défis de votre rôle en tant que RSSI et comment abordez-vous la protection de vos sites et données ?
“Nous sommes une agence sanitaire sous tutelle du Ministère de la Santé. La protection des systèmes d’information que nous exploitons constitue donc un enjeu primordial, notamment en raison de la sensibilité des données de santé que nous traitons. Ces données couvrent des missions de surveillance épidémiologique, de gestion de crise sanitaire, mais également des campagnes de prévention grand public.
Nous hébergeons notamment des plateformes à forte visibilité comme “Mois sans tabac” ou “Manger Bouger”, qui sont régulièrement la cible de campagnes de défiguration ou de DDoS. Ce type d’activisme numérique vise particulièrement des campagnes autour de la santé sexuelle ou des droits LGBT+, qui peuvent susciter des réactions hostiles de la part de certains groupes.
Parallèlement, nous devons nous prémunir contre des attaques ciblant les données de santé, souvent motivées par des enjeux d’espionnage ou de perturbation des capacités de réponse en période de crise. Nous sommes donc confrontés à un spectre d’attaquants allant de l’activisme opportuniste à des menaces plus structurées, voire étatiques.”
Les structures de santé, en tant que dépositaires de données médicales sensibles et d’infrastructures critiques, constituent des cibles stratégiques pour divers acteurs malveillants. La surface d’exposition numérique comprend à la fois des applications métier à forte sensibilité et des sites web publics à fort trafic, exposés aux menaces telles que l’injection SQL, le cross-site scripting (XSS), le credential stuffing ou encore les attaques par déni de service distribué (DDoS). Un Web Application Firewall (WAF) agit ici comme un filtre applicatif de niveau 7 (couche HTTP/HTTPS), capable d’identifier et de bloquer en temps réel des requêtes malveillantes qui visent à compromettre l’intégrité des services exposés ou à exfiltrer des données.
Dans un contexte où les ressources techniques internes sont souvent mutualisées entre projets métiers et dispositifs de communication, la cybersécurité web doit intégrer des solutions offrant à la fois un haut niveau de détection des menaces, une granularité dans les règles de sécurité, et une visibilité détaillée sur le trafic entrant et sortant. Les WAF modernes s’appuient sur des signatures dynamiques, l’analyse comportementale, la gestion des faux positifs et l’intégration fine avec les environnements DevSecOps via API. Pour les établissements publics de santé, la disponibilité continue des applications critiques, la conformité réglementaire (ex. RGPD, certification SecNumCloud) et la traçabilité des événements de sécurité représentent des impératifs non négociables. Une architecture de protection web centralisée constitue dès lors une composante essentielle d’une posture de cybersécurité robuste.
Pourquoi avoir choisi de collaborer avec OGO Security dans le contexte de votre projet de sécurisation web ?
“Depuis la crise sanitaire, nous utilisions un WAF cloud qui avait été mis en œuvre en urgence dès la première vague de la pandémie, en remplacement d’une solution on-premise prévue initialement, mais rendue inopérante à cause de contraintes de licence et de coûts non maîtrisés.
Cette version cloud a répondu à nos besoins initiaux, notamment la protection d’applications critiques hébergées sur différents environnements. Toutefois, plusieurs limitations sont apparues. En cas d’incident, l’analyse des logs était laborieuse, avec une visibilité très réduite sur les trames HTTP et les comportements suspects. Fin 2024, notre prestataire a annoncé la fin de vie de cette version pour février 2025. La nouvelle plateforme nécessitait une migration complexe, sans possibilité de reprise automatique des configurations existantes, et avec des fonctionnalités en régression, notamment en termes d’intégration API. Nous avons donc décidé de challenger cette solution identifiée lors d’une présentation de la Direction des Achats de l’Etat. Il se trouvait que notre prestataire d’infogérance connaissait également cette solution.”
Le choix d’une solution de protection web en mode SaaS pour une agence de santé publique repose sur des critères techniques directement liés à la nature des menaces, à l’architecture SI et aux exigences de continuité de service. D’un point de vue technique, une solution de type WAF en mode SaaS doit garantir une couverture complète du trafic HTTP/HTTPS, avec une inspection en profondeur des paquets (Deep Packet Inspection), une capacité à traiter le chiffrement TLS/SSL sans rupture de flux, ainsi qu’une gestion fine des règles de sécurité. L’interopérabilité via API RESTful, indispensable dans un contexte DevSecOps, conditionne également l’automatisation des déploiements, la supervision des configurations et l’orchestration des politiques de sécurité à l’échelle multi-sites.
L’efficacité opérationnelle d’un WAF SaaS dépend aussi de sa capacité à restituer des journaux d’activité exploitables en temps réel, à des fins de détection, de corrélation et d’investigation. Une plateforme offrant une visibilité détaillée sur les trames HTTP, les codes de réponse, les en-têtes et les paramètres de requêtes facilite les analyses post-incident sans avoir recours à une expertise réseau avancée. La possibilité de segmenter les règles de sécurité par application, de personnaliser les exceptions sans effet de bord, et de suivre les indicateurs clés (taux de blocage, faux positifs, chemins critiques sollicités) conditionne la maîtrise des risques applicatifs. Dans un contexte réglementaire exigeant, la traçabilité complète, la résilience de l’infrastructure hébergeuse et l’auditabilité des actions sur la console de gestion constituent des éléments structurants dans l’évaluation d’une solution de cybersécurité web.
Pouvez-vous nous présenter les avantages et résultats observés suite à l’utilisation de la solution OGO ?
“La migration vers OGO Security a été organisée sur trois semaines début 2025, avec un objectif de bascule complète avant fin janvier. Grâce à une bonne préparation — notamment la capitalisation sur les APIs — nous avons pu automatiser une large partie de la configuration initiale. Les sites ont été migrés en plusieurs lots, avec validation fonctionnelle via les équipes de TMA, ce qui a permis une mise en production progressive et maîtrisée.
La solution OGO a été très rapide à déployer. C’est une plateforme SaaS avec un niveau d’abstraction bien pensé : l’utilisateur applique une politique de sécurité globale, puis affine avec des règles contextuelles sans avoir à jongler entre plusieurs niveaux de protection.
Ce modèle facilite la gestion au quotidien. La console fournit une visibilité détaillée sur le trafic : taux de rejet, codes HTTP, URLs les plus sollicitées, logs détaillés — autant de données exploitables en temps réel pour des équipes projet, même non expertes en cybersécurité WAF. La granularité est suffisante pour mes analystes, tout en restant compréhensible par des profils techniques généralistes.
Contrairement à des WAF on-premise ou legacy, OGO ne nécessite pas de compétences très spécialisées pour l’instanciation ou le paramétrage. L’interface est claire et permet une bonne traçabilité des comportements applicatifs, sans risquer des effets de bord critiques à chaque modification.”
Une migration rapide et sans interruption vers une nouvelle solution WAF constitue un enjeu stratégique pour toute entité exposée à des risques cyber, en particulier dans un contexte sanitaire. L’intégrité et la disponibilité des applications web critiques ne peuvent être compromises pendant la phase de transition. Le recours à des API ouvertes et documentées facilite l’automatisation des tâches de configuration, tout en réduisant les délais liés à la reconstruction manuelle des règles de sécurité. L’organisation de la bascule en lots permet une validation incrémentale des flux applicatifs et des politiques de filtrage, tout en limitant le risque de régression fonctionnelle sur les sites en production. La coordination étroite avec les équipes de TMA assure une supervision continue des comportements applicatifs pendant la transition.
L’architecture sur un modèle unifié de sécurité, sans gestion de niveaux multiples telle que proposée par OGO Security, permet d’éliminer les arbitrages complexes entre profils de sécurité hétérogènes. Ce fonctionnement repose sur une politique unique de filtrage à laquelle s’ajoutent des options de paramétrage avancées adaptées aux spécificités des applications protégées. La gestion par exception et la personnalisation des règles se font de manière ciblée, avec un impact contrôlé sur les flux métier. Cette approche réduit significativement les risques de blocages imprévus ou de comportements non anticipés, tout en conservant un haut niveau de protection contre les vecteurs d’attaque applicatifs les plus fréquents (injections, falsification de requêtes inter-sites, tentatives de contournement des contrôles).
Ce type de plateforme permet en outre de fournir une visibilité complète sur les flux web transitant par le WAF. Les indicateurs techniques tels que les réponses HTTP, les requêtes bloquées, les ressources sollicitées ou les erreurs applicatives sont directement accessibles depuis une interface unifiée, sans avoir recours à des outils de déchiffrement ou de corrélation externes. Cette visibilité native couvre l’ensemble des domaines et applications protégés, ce qui facilite les diagnostics rapides, la détection des comportements anormaux et la réduction du temps de réponse aux incidents. Dans ce contexte, l’interface est conçue pour être exploitable à la fois par des profils techniques avancés et par des équipes projets, dans une logique d’autonomie opérationnelle sans dépendance à des compétences réseau spécialisées.
Quels éléments de la solution OGO et de l’accompagnement des équipes vous semblent les plus bénéfiques ?
“La réactivité des équipes OGO est un vrai point fort. L’accompagnement est fluide, avec des interlocuteurs disponibles et techniques. Nous avons gagné en capacité d’observation et d’analyse : les trames HTTP sont lisibles, les journaux sont exploitables, ce qui n’était pas le cas auparavant avec notre précédente solution. Cette visibilité facilite aussi bien les audits que les actions correctives.”
Dans le cadre d’une migration de sécurité applicative à fort impact, la qualité du support technique et l’accessibilité des équipes éditeur représentent un facteur clé. Une équipe réactive, capable d’analyser rapidement les comportements inattendus, de valider des hypothèses de configuration ou de proposer des ajustements ciblés, limite considérablement les interruptions de service et les erreurs de déploiement. La capacité à interagir avec des experts maîtrisant à la fois l’architecture du produit et les contraintes de production permet une exécution fluide des étapes critiques, telles que la mise en ligne de sites à forte audience ou la sécurisation de flux sensibles. L’approche collaborative entre éditeur et client facilite l’adaptation des règles de sécurité aux spécificités métiers, sans exposer les applications à des dégradations fonctionnelles.
La transparence des mécanismes de sécurité déployés constitue également un prérequis dans les environnements à haute sensibilité réglementaire ou opérationnelle. Une solution WAF efficace doit fournir un accès direct à l’ensemble des logs, trames, journaux d’événements et décisions de blocage, avec une lisibilité suffisante pour documenter les audits et justifier les choix de filtrage. Cette capacité à tracer les actions de sécurité en temps réel, à corréler les comportements réseau avec les erreurs applicatives, ou à identifier les attaques bloquées, conditionne la confiance des parties prenantes internes. L’absence d’opacité sur les décisions prises par le moteur de sécurité favorise également une posture proactive de durcissement et d’ajustement des politiques, tout en garantissant une restitution claire des incidents de sécurité pour des profils non experts.
Si vous deviez résumer votre expérience avec OGO Security, que diriez-vous ?
“Simplicité, lisibilité, transparence”
