Dans les coulisses de la cybersécurité chez OpenClassrooms

Recrutement
Écrit par Chloé Normand
Cybersécurité chez OpenClassrooms

Partager l’article

OpenClassrooms a fait de la sécurité des données une priorité. En tant que pionnier de l'éducation en ligne et partenaire de confiance pour de nombreuses entreprises, ses équipes manipulent quotidiennement des données personnelles essentielles pour son activité. C’est la raison pour laquelle, depuis 2021, OpenClassrooms s’est engagée dans un vaste chantier de renforcement de la cybersécurité, avec des résultats concrets à la clé. Le mantra librement inspiré de la mission de l’entreprise, « Make security and privacy accessible », guide toutes les actions de l’équipe dédiée à cet enjeu pour sensibiliser et impliquer l'ensemble des salariés dans cette démarche. Laissez-nous vous en dire un peu plus. 

Toute une entreprise mobilisée pour la cybersécurité

« Les salariés et utilisateurs sont la première barrière aux cyberattaques. »  

Tout commence par une équipe dédiée composée de trois personnes et créée en 2021. Depuis, elle s’attache à créer et entretenir une culture de la cybersécurité en interne : « C’est toute l’entreprise qui participe à la sécurité », comme nous le raconte Pauline K., en charge des sujets de gouvernance, risques et conformité dans l'équipe sécurité d'OpenClassrooms. 

Sensibiliser et former, sensibiliser et former, encore et encore 

Comme toujours, tout commence à l’onboarding. Chez OpenClassrooms, les nouveaux arrivants rencontrent en premier l’équipe de cybersécurité et sont accueillis par une annonce surprenante : « Vous ne le saviez pas, mais vous venez aussi de rejoindre l’équipe cybersécurité. » L’équipe de cybersécurité « ne rate aucun nouvel arrivant » précise Pauline. Pendant cette présentation, elle partage aux nouveaux salariés OpenClassrooms les bonnes pratiques et les réflexes à avoir. 

Évidemment, ça ne s’arrête pas à l’onboarding. OpenClassrooms mène régulièrement des actions de sensibilisation et de formation pour maintenir un niveau d’alerte et d’éducation au sujet élevé en interne. Pauline explique : « Nous demandons à nos collègues de faire une fois par mois des modules de sensibilisation à la sécurité et nous menons des campagnes trimestrielles de fake-phishing pour tester leurs réactions et leurs bons réflexes. » 

Tous les salariés sont sollicités sur les enjeux et les risques de cybersécurité de manière ludique pour les sensibiliser et les éduquer aux bonnes pratiques. C’est le cas, entre autres, pendant le Cybermonth, un temps fort dédié au sujet et pendant lequel sont organisées des activités comme la création de scénarios de cyberattaques par les employés.

Communiquer de manière transparente et ludique

La culture asynchrone et le recours au télétravail imposent une communication fréquente en interne. L’objectif est de favoriser un dialogue ouvert ; de créer un environnement dans lequel la cybersécurité est perçue comme une responsabilité partagée et non comme une contrainte imposée, où les salariés se sentent à l’aise de partager leurs erreurs et les failles pour mieux protéger l’entreprise.

« Les équipes cybersécurité peuvent être perçues comme les rabat-joies qui disent toujours non. » C’est pourquoi les spécialistes sécurité d’OpenClassrooms ont décidé de prendre le contrepied à travers des prises de parole ludiques qui dédramatisent le sujet, et mettent en valeur les bons réflexes plutôt que les mauvais. Une volonté résumée en un credo qui ponctue leurs prises de parole : « La sécurité, c’est de l’amour ».

Construire une synergie autour des enjeux de cybersécurité

Partager les retours d’expérience, coordonner les efforts, s’assurer que toutes les parties prenantes sont alignées sur les objectifs de sécurité, bref, créer une culture de la sécurité : tout cela passe par un effort de collaboration en interne. 

Au quotidien, les équipes cybersécurité travaillent aussi étroitement avec d’autres spécialistes d’OpenClassrooms : 

  • Avec l’équipe Tech. L’approche « Security by design » est une composante essentielle de cette collaboration. 69 % des startups et scaleups interrogées par SecAtScale ont recours à ce processus rigoureux. Cette méthode exige que chaque nouvelle fonctionnalité soit analysée par l’équipe cybersécurité qui accompagne les spécialistes du Produit de la conception à la mise en production. 

  • Avec l’équipe Légal. Que ce soit pour une nouvelle fonctionnalité, l'utilisation d'un nouveau produit ou d'un nouveau service, « nous travaillons main dans la main pour sécuriser les données de nos utilisateurs. »

  • Avec l’équipe commerciale : En première ligne près des partenaires, les commerciaux sont sensibilisés et assistés par les experts cybersécurité de l’entreprise pour discuter de ces enjeux cruciaux avec eux. 

L’équipe cybersécurité est impliquée aussi dans la construction des formations OpenClassrooms sur le sujet. Elle s’assure que les formations dispensées sont en phase avec les pratiques et les défis actuels du secteur pour former des professionnels compétents.

Rassurer et garantir la confiance par la conformité

L’équipe sécurité s’efforce chaque jour d’améliorer le niveau de sécurité d’OpenClassrooms : offrir des garanties aux clients est crucial pour renforcer leur confiance.

Les certifications, gages de fiabilité et de qualité 

La certification ISO 27001, obtenue après deux ans d’efforts rigoureux, structure désormais les activités de cybersécurité d’OpenClassrooms. Avec seulement 28 % des startups et scaleups ayant décroché cette certification (source: SecAtScale), elle représente un travail colossal : « C’est un travail très lourd et assez contradictoire avec l’agilité des startups car il exige un énorme effort de documentation », précise Pauline, « on a personnalisé au maximum selon ce qui avait du sens pour nous et on peut vraiment s’appuyer sur ces documents maintenant. »

L’équipe a également obtenu la certification britannique CyberEssentials+ pour ses activités en Grande-Bretagne.

L’ISO 27001 est une certification internationalement reconnue, qui requiert l’implémentation et le maintien d’un système de management de la sécurité de l’information (SMSI). OpenClassrooms a adopté les pratiques du management de la sécurité des systèmes d’information issus de la norme ISO 27001/2.

Miser sur la transparence avec le plan d’Assurance Sécurité 

OpenClassrooms a mis en place un Plan d’Assurance Sécurité (PAS) pour décrire, en toute transparence, les pratiques mises en œuvre pour sécuriser ses services. 

« Nous souhaitons prouver à nos clients que nous prenons la sécurité au sérieux »

Ce Plan d’Assurance Sécurité est un document vivant, mis à jour régulièrement pour refléter les évolutions des menaces et des pratiques de l’entreprise. « Nous y racontons tout ce que nous faisons au niveau de la sécurité », explique Pauline. Ce niveau de transparence est crucial pour instaurer une relation de confiance avec les partenaires et les clients. « Ils savent exactement à quoi s’attendre et peuvent voir concrètement les mesures que nous prenons pour protéger leurs données », ajoute-t-elle.

C’est dans ce document qu’OpenClassrooms détaille les méthodes employées pour assurer la sécurité de ses services. Cela passe notamment par des audits ou tests de sécurité à fréquence régulière :

  • Un test d’intrusion (pentest), une simulation de cyberattaque pour identifier et corriger les vulnérabilités et garantir la robustesse des défenses.

  • Un audit RGPD pour vérifier la conformité aux exigences de la réglementation européenne.

  • Des audits de sécurité pour le maintien des certifications et identifier les améliorations nécessaires pour garantir un environnement sécurisé.

  • Un programme de bug bounty permettant de faire tester en continu la sécurité de la plateforme OpenClassrooms à des « hackers éthiques ».

Adapter la sécurité aux besoins des métiers grâce à l’approche par les risques

« On met en place les bonnes pratiques de sécurité basées sur les standards reconnus sur le marché » 

Parmi ces bonnes pratiques : l’approche basée sur les risques, développée avec la certification ISO 27001. « C’est très important pour nous, c’est la base de notre travail », explique Pauline. Cette démarche permet « de prioriser les actions qui diminuent les risques les plus forts et d’améliorer en continu la maturité sécurité d’OpenClassrooms. » 

Dans ce cadre, une analyse est effectuée chaque année pour évaluer les risques qui pèsent sur les services de l’entreprise. Ces risques sont ensuite priorisés par les équipes selon leur probabilité et leur impact afin de construire un plan de traitement qui vise à les réduire. « Tout est construit avec plusieurs équipes puis validé par l’équipe de direction, c’est obligatoire et ça permet de traiter le sujet au plus haut niveau de l’entreprise. »

Prioriser la sécurité sans freiner l’innovation

Dans un environnement en constante évolution, l’équipe de cybersécurité doit sans cesse expliquer et cadrer les besoins des métiers pour sécuriser l’activité. L’innovation, élément central de l’ADN d’OpenClassrooms, pose un défi supplémentaire : « Comment apporter de la sécurité sans bloquer l’innovation ? » Pour répondre à cette question, l’équipe propose des alternatives sécurisées et adaptées, parfois développées en interne.

Quand les outils se multiplient, que ChatGPT et consorts s’invitent dans le quotidien des salariés, l’équipe de cybersécurité veille à ce que leur utilisation se fasse dans les règles de l’art — c’est-à-dire, de la manière la plus sécurisée possible. Pauline précise : « On propose des alternatives sécurisées et adaptées aux besoins métiers et, parfois même, des outils développés en interne. » C’est le cas, par exemple, pour les outils d'IA générative à disposition des collaborateurs de l’entreprise et des étudiants, qui s'appuient sur des environnements fermés dédiés à OpenClassrooms. 

D’autre part, le contexte « full cloud » et « full remote » dans lequel évolue la scaleup oblige l’équipe sécurité à s’adapter. Elle a ainsi mis en place de nouvelles pratiques de sécurité comme la stratégie « Zero Trust » qui permet de s’assurer que seules des personnes de confiance sur des terminaux maîtrisés peuvent se connecter au système d’information d’OpenClassrooms. De cette façon, la sécurité est assurée sans compromettre la flexibilité des employés.

S’engager durablement et collectivement pour la sécurité

La protection des données est une priorité pour OpenClassrooms. L’entreprise s’efforce de protéger, toujours plus, toujours mieux, sa plateforme et son système d’information. « On est dans une démarche d’amélioration continue », conclut Pauline. Cette ambition s’étend au-delà de l’entreprise : « Il faut faire évoluer la cybersécurité en interne mais aussi participer à l’évolution du secteur français. C’est très important de collaborer avec d’autres entreprises pour échanger sur les bonnes pratiques du secteur et devenir plus fort face à des menaces communes. »

Chloé Normand

Rédactrice web et content strategist, Chloé prête sa plume aux entreprises tech pour parler ressources humaines, éducation, impact, sport et santé.

Précédent

Recrutement cybersécurité : quelles compétences pour quels métiers ?
Suivant

Comment se démarquer auprès de talents tech exigeants sur un marché saturé ? Entretien avec Alizée Reynaud, DRH chez Theodo