Doctolib


Avec Cloudflare, Doctolib propose des services de santé en ligne sécurisés et fiables au sein de l'UE

Doctolib est un service de santé en ligne qui connaît une croissance inégalée en Europe. Fondée en France en 2013, l'entreprise s'est rapidement développée et prend désormais également en charge des patients en Allemagne et en Italie. Les patients peuvent utiliser la plateforme pour prendre des rendez-vous et assister à des consultations en télémédecine auprès d'un prestataire de santé.

Doctolib était un service de santé en ligne bien établi avant 2019, mais la pandémie de COVID-19 a entraîné une croissance considérable et rapide de l'activité de l'entreprise. Avant la pandémie, la plateforme comptait environ 1 000 collaborateurs, et ce nombre est passé à 3 000 en quelques années. Doctolib permet également à plus de 390 000 prestataires de santé de servir 90 millions de patients en France, en Allemagne et en Italie.

L'enjeu : assurer l'accessibilité des services, ainsi que la confidentialité et la sécurité des données

Doctolib a dû relever un défi complexe pour sécuriser ses données sensibles au sein d'un environnement cloud complexe, tout en s'adaptant à la croissance de ses effectifs déployés en travail hybride. Avec l'intégration de plus de 200 collaborateurs par mois, Doctolib devait s'assurer de sa capacité à maintenir sa solide stratégie de sécurité et sa conformité réglementaire. L'entreprise avait accès à d'importants volumes de données sensibles concernant les patients et les collaborateurs et était soumise aux exigences strictes du RGPD en matière de protection et de régionalisation des données.

« Pendant la pandémie, nous avons dû nous adapter à un nouveau modèle de travail en proposant des options de travail exclusivement présentiel, de travail hybride ou de télétravail, » explique Cédric Voisin, RSSI chez Doctolib. « Tandis que nous évoluions dans ce nouvel environnement de travail, il est devenu encore plus essentiel de garantir la conformité et de gérer les cybermenaces. L'un des principaux défis consistait à assurer que nos collaborateurs puissent accéder aux ressources en toute sécurité, quel que soit l'endroit depuis lequel travaillaient. »

En outre, Doctolib devait protéger les données sensibles dans une multitude d'applications SaaS, telles que Google Workspace, Microsoft 365 et Salesforce. Après avoir déployé plusieurs intégrations, l'entreprise était préoccupée par la sécurisation des accès, la gestion des erreurs de configuration et les risques d'exposition des données sur ces plateformes.

En plus de ces préoccupations quotidiennes liées à la sécurité, l'entreprise devait également assurer la disponibilité de sa plateforme face aux pics d'affluence survenant pendant la pandémie de COVID-19. Une visibilité accrue a entraîné une augmentation du nombre de visiteurs sur la plateforme, qui est devenue une cible plus importante pour les cybercriminels.

Gérer une croissance rapide et des pics de trafic inattendus

Pendant la pandémie de COVID-19, l'intérêt pour Doctolib s'est rapidement intensifié. L'entreprise fournit des services de santé en ligne et a fait partie de la campagne de vaccination en France et en Allemagne. En conséquence, le trafic affluant vers le site de l'entreprise a augmenté de manière spectaculaire sur cette période. Cette croissance du trafic a été l'une des principales raisons pour lesquelles Doctolib a délaissé l'offre gratuite de Cloudflare pour devenir un client Enterprise. Cette transition a assuré que l'infrastructure de l'entreprise pourrait évoluer et répondre à la demande, tout en offrant une protection contre le nombre croissant de cyberattaques résultant de la visibilité accrue de la plateforme.

Cette évolutivité et cette résilience supplémentaires se sont révélées particulièrement importantes face aux pics d'affluence soudains sur la page de l'entreprise. De temps à autre, le directeur général de Doctolib intervenait en direct à la télévision et, peu après ces apparitions, le trafic affluant vers le site était multiplié par trois.

Toutefois, ces pics faisaient pâle figure face aux augmentations du trafic survenues lorsque le président français a évoqué l'entreprise en direct à la télévision. Selon Cédric Voisin, RSSI de Doctolib, « Lorsque le président français a parlé de nous, notre trafic a été multiplié par 10, sans aucun avertissement. Il nous fallait trouver une solution capable de soutenir la charge de travail supplémentaire que nous ne pouvions pas anticiper, et c'est là que Cloudflare s'est montrée vraiment utile. »

Assurer la sécurité des données et la conformité réglementaire

La sécurité Zero Trust est un élément essentiel de la stratégie de sécurité des données et de conformité réglementaire de Doctolib. Cédric Voisin explique : « Nous ne voulons pas implicitement faire confiance aux équipements ou aux personnes à tout moment pendant la connexion. Si vous souhaitez accéder à l'une de nos ressources, vous devez prouver que vous êtes bien la personne que vous prétendez être et que vous utilisez bien l'appareil que vous prétendez utiliser. »

Pour atteindre ces objectifs de sécurité Zero Trust, Doctolib utilise le service d'accès réseau Zero Trust (ZTNA) de Cloudflare. Tous les collaborateurs et sous-traitants reçoivent un ordinateur portable de l'entreprise, sur lequel est préchargé l'agent sur appareil de Cloudflare. L'entreprise peut ainsi contrôler l'accès aux données des patients et aux autres ressources, conformément aux exigences réglementaires et à sa propre politique de sécurité.

Pour compléter ces défenses au niveau du réseau, Doctolib utilise également Crowdstrike pour assurer la sécurité des point de terminaison. Dans le cadre du processus de validation Zero Trust, Cloudflare vérifie que Crowdstrike est active et à jour, afin de protéger l'appareil contre les logiciels malveillants et les autres menaces pour la sécurité des point de terminaison. Cédric Voisin déclare : « Nous travaillons avec des fournisseurs qui ont accès à des ressources très sensibles. Ensemble, Cloudflare et Crowstrike assurent que ces fournisseurs sont bien qui ils prétendent être et que leurs appareils sont sécurisés. »

Le service de localisation des données (DLS, Data Localization Service) de Cloudflare est également essentiel à la stratégie de conformité de l'entreprise, car il permet à cette dernière de prouver aux clients et aux autorités de régulation que les données des patients ne quittent jamais l'UE. Le stockage et le traitement des données des personnes concernées européennes au sein de l'UE contribuent à faciliter la conformité au RGPD. Le service DLS garantit également que les prestataires et tiers non européens n'ont pas accès aux données des patients, que seuls les utilisateurs autorisés par Doctolib peuvent consulter les données, journaux ou adresses IP des patients et que ces métadonnées ne quittent jamais l'UE. Selon Cédric Voisin, « Le service DLS nous est inestimable, car il nous permet d'utiliser Cloudflare tout en préservant en conformité. Et aucun autre prestataire en Europe ne dispose des capacités de Cloudflare, ni de l'ampleur indispensable pour gérer l'immense volume de trafic qu'accueille notre plateforme. »

Améliorer la visibilité des données et des risques d'erreurs de configuration

« La visibilité qu'offre Cloudflare est importante pour nous aider à réduire le risque de violations de données, » précise Cédric Voisin. « Les produits de Cloudflare nous permettent de remédier rapidement aux erreurs de configuration et d'assurer la conformité avec les réglementations en matière de protection des données, telles que le RGPD. »

Cédric Voisin explique que Cloudflare a joué un rôle déterminant dans l'amélioration de la sécurité des données de Doctolib, et que l'entreprise a l'intention de continuer à collaborer étroitement avec les experts de Cloudflare afin de renforcer la protection, à la fois pour ses collaborateurs et ses clients. Cloudflare ouvre la voie à une accélération de la croissance future, grâce à une approche évolutive de la conformité. « Ensuite, nous souhaitons étendre notre activité à d'autres pays. Nous allons donc devoir nous adapter à davantage de réglementation. C'est un fait. Cependant, nous développons notre solution autour de Cloudflare, ce qui nous sera utile pour nous permettre d'entrer rapidement sur le marché, sans nous heurter à de nombreuses difficultés. »

Pour en apprendre davantage sur la manière dont Cloudflare aide Doctolib au-delà de la sécurité des données et de la conformité, nous vous invitons à lire cet article de Medium consacré à nos services pour applications.

Doctolib
Résultats essentiels
  • Garantir l'accessibilité du site web, malgré des pics d'affluence entraînant une multiplication par dix du trafic

  • Satisfaire aux exigences de conformité au RGPD en garantissant la régionalisation et la sécurité des données des patients

  • Prendre en charge les objectifs de sécurité Zero Trust via le contrôle des accès et la validation des appareils

  • Améliorer la visibilité des données et réduire le risque d'exfiltration de données

Lorsque le président français a parlé de nous, notre trafic a été multiplié par 10, sans aucun avertissement. Il nous fallait trouver une solution capable de soutenir la charge de travail supplémentaire que nous ne pouvions pas anticiper; et c'est là que Cloudflare s'est montrée vraiment utile.

Cédric Voisin
RSSI chez Doctolib

Nous travaillons avec des fournisseurs qui ont accès à des ressources très sensibles. Ensemble, Cloudflare et Crowstrike s'assurent que ces fournisseurs sont bien ceux qu'ils prétendent être et que leurs appareils sont sécurisés.

Cédric Voisin
RSSI chez Doctolib