Skip to main content

Entrevue avec Zakaria Rachid, RSSI de leboncoin. Il raconte la sécurité du groupe, sa philosophie anarchiste de l’ordre et son engagement envers les hackers.

Tout le monde connaît leboncoin. Vous, vos parents, vos amis, tout le monde. Le site est une telle évidence dans le paysage web français qu’on croirait qu’il a toujours été là, comme un bon ami toujours présent quand on a besoin de lui. Un ami si familier qu’on en oublierait presque qu’il n’est pas seulement nôtre, mais aussi celui de plus de 40% des Français chaque mois.

D’après le baromètre Médiamétrie NetRatings France, leboncoin enregistrait près de 27.5 millions de visiteurs uniques en mai 2023, soit le 9e site le plus visité en France, loin devant Netflix (19e) et très loin devant Vinted et LinkedIn (32 et 34e). Et la situation n’a rien d’exceptionnel, puisque leboncoin a rarement quitté le Top 10 des sites les plus visités chaque mois au cours des dernières années.

Maintenant, dézoomons un peu. leboncoin n’est pas qu’un site, mais aussi un groupe du même nom avec d’autres marketplaces bien connues comme Videdressing, Locasun, Agriaffaires ou encore L’argus. Un groupe qui appartient lui-même à un conglomérat, Adevinta, dont la galaxie de marques en faisait le 10e groupe le plus visité en France en mai dernier, devant Webedia et France Télévisions.

On ne vous dit pas tout ça pour l’amour des chiffres, mais pour témoigner du gigantisme de l’empire leboncoin. Et qui dit empire dit frontières à défendre. Quand on reçoit plus d’un Français sur trois chaque mois, on se doit de leur garantir la sécurité la plus totale.

Cette mission, c’est celle de Zakaria Rachid, le RSSI d’Adevinta France.

Les enjeux de la sécurité pour leboncoin

Les sujets de cybersécurité sont nombreux pour le groupe leboncoin, mais ils gravitent tous autour du même objectif : la sécurité des utilisateurs. Le RSSI explique :

Les joyaux de la couronne, ce sont nos utilisateurs et leurs données. C’est très important chez leboncoin : nous n’avons pas de clients, mais des utilisateurs de nos plateformes. Tout est pensé autour de ça.

Comme pour de nombreux acteurs du e-commerce, la priorité est donc de garantir la disponibilité, la confidentialité et l’intégrité des données des utilisateurs.Il est inimaginable que quelqu’un puisse installer un virus à travers nous” appuie Zakaria, avant de poursuivre :

On sacralise notre écosystème, avec lequel nous avons tracé un carré où tout est sécurisé, tout est sacré – et tout ce qui est en dehors de ce carré est profane. Nous encourageons nos utilisateurs à ne pas sortir de cet écosystème, en cliquant sur un lien externe par exemple, car nous voulons les sécuriser au maximum.

Bien sûr, il y a tout un tas de questions de sécurité à prendre en compte, comme la sécurisation de nos infrastructures et la disponibilité à 99 %. Mais tous ces sujets découlent toujours du principal : la sécurité des utilisateurs.

Une équipe de sécurité transversale

Pour assurer la sécurité globale du groupe et des utilisateurs, le RSSI peut compter sur une équipe de sécurité transversale, qui s’articule autour de trois piliers :

  • La GRC (Gouvernance, Risque et Conformité).
  • La sécurité offensive et défensive, avec une équipe interfonctionnelle qui regroupe le SOC et l’OffSec.
  • La sécurité applicative, avec une équipe AppSec qui s’occupe de suivre le niveau de sécurité des plateformes et des applications.

“Il faut s’assurer que la sécurité des tiers est opérative, et pas juste théorique.”

Le groupe leboncoin n’a pas d’obligation de conformité, et aucune autorité ne l’enjoint à passer telle ou telle certification de sécurité. Pour autant, le RSSI n’y voit pas une raison de lésiner sur la partie GRC.

Nous n’avons pas d’enjeux de conformité – à part sur L’argus où plusieurs clients sont des grands industriels automobiles – mais on s’applique une rigueur identique. Nous avons un référentiel maison qui suit le NIST, l’ISO et l’OWASP Application Security Verification Standard [ASVS]. Grâce à ces trois normes là, nous évaluons notre notation interne et le degré de maturité des applications, des parties du SI et de l’entreprise en général. Personne ne nous le demande, mais demain nous pourrions aisément passer l’ISO 27001.— Zakaria Rachid, CISO, leboncoin

Cette rigueur, leboncoin l’applique également à ses partenaires et prestataires grâce à une politique de gestion des tiers bien rodée.

Il y a des questionnaires pour les tiers, et nous leur assignons des scores pour qualifier le risque. Nous faisons la sécurité des tiers au niveau contractuel, mais nous la suivons surtout d’actions concrètes. Nous veillons à la sécurité réelle des projets et des implémentations techniques, avec des revues et des pentests communs par exemple. C’est bien de faire de la sécurité dans le contrat, mais il faut s’assurer que la sécurité des tiers est opérative, et pas juste théorique.

Un contrôle permanent de la surface d’attaque

Vient ensuite l’équipe de sécurité, “qui fait aussi bien de l’offensif que du défensif” explique Zakaria. Ce sont eux qui ont, entre autres choses, la charge de surveiller la surface d’attaque du groupe.

L’équipe défensive est organisée en SOC, avec un roulement 24/7. Ils surveillent tout incident, tout événement de sécurité qui se passe sur nos actifs, depuis l’intérieur comme l’extérieur.

Pour ce qui touche à l’intérieur, nous recevons des alertes assez classiques sur notre SOC. Ça ne me regarde pas si un collaborateur va sur YouTube ou des sites que la morale réprouve, ça ne pose pas de réel danger de sécurité. Mais si quelqu’un se connecte au réseau depuis Paris, et la minute d’après sur des forums de hacking depuis la Russie, là ça m’intéresse ! L’équipe est proactive ; ils vont jusqu’à chasser des signaux faibles pour être sûr que l’attaquant n’est pas là, ou qu’il ne pourrait pas rentrer en utilisant telle et telle technique.

L’équipe de sécurité veille donc au grain sur le SI et les plateformes du groupe, mais aussi sur ses différentes images de marque, “qui sont des actifs tout aussi importants“, souligne le RSSI.

Nous passons par des sociétés qui surveillent tout le web. Si un collaborateur pousse malencontreusement quelque chose sur GitHub, Pastebin ou un forum du dark web, ça va créer une alerte. Nous avons un système de supervision pour toutes nos marques, et pour leur utilisation aussi. Si quelqu’un crée un site frauduleux avec une adresse similaire à leboncoin.fr, avec un tiret en plus par exemple, nos équipes défensives vont le détecter et procéder à sa fermeture.

“Nous avons une sécurité de bout en bout – comme aiment le dire les consultants, mais dans la vraie vie !”

Troisième pilier de la sécurité du groupe : l’équipe AppSec, pour Application Security. Des experts qui suivent le niveau de sécurité des plateformes et des applications Adevinta France. “Tout ce qu’on développe, mais aussi tout ce qu’on achète, que ce soit un bout de code ou une boîte comme eBay il y a peu”, explique Zakaria avant de poursuivre :

Nous évaluons, suivons et améliorons la sécurité des produits tout au long de notre pipeline de développement. Nous faisons plusieurs mises en production toutes les semaines, et la sécurité est présente du début à la fin. Nous avons vraiment une sécurité de bout en bout comme aiment le dire les consultants, mais dans la vraie vie !

Une sécurité au plus près de la production

Agilité oblige, la sécurité des applicatifs ne peut être la seule responsabilité de l’équipe AppSec. Un groupe de cette envergure développe et distribue en continu, et la sécurité doit donc être distillée au plus près de la chaîne de production.

leboncoin est une boîte agile, tout est automatisé. Nous intégrons la sécurité au plus proche des pipelines CI/CD, auxquels nous ajoutons des jalons de sécurité. Vulcan par exemple, qui est un outil interne à Adevinta permettant d’orchestrer l’ensemble des scanners de sécurité, dont plusieurs solutions open-source que nous utilisons beaucoup. [NDLR : le repo GitHub Vulcan pour les curieux] Derrière, nous sommes branchés sur Slack où nous recevons toutes les alertes.

En plus de ça, il y a aussi des analyses statiques de code, des revues et toutes les bonnes pratiques qu’on peut imaginer.– Zakaria Rachid, CISO leboncoin

“Les équipes sont responsables de leurs produits, donc elles sont aussi responsables de leurs vulnérabilités.”

L’automatisation est bienvenue, mais ne doit pas être le seul garde-fou. Pour penser la sécurité au plus proche des produits, Zakaria prône la responsabilisation des équipes de développement.

Nous avons des Feature Teams, et ces équipes ont le ‘ownership’ de leurs features. Nous ne sommes pas dans une vision de boîte à l’ancienne, avec les méchants de la sécurité qui viendraient leur dire quoi faire. Les équipes sont responsables de leurs produits, donc elles sont aussi responsables de leurs vulnérabilités.

Quand une équipe trouve des vulnérabilités, nous lui demandons de prioriser. On n’impose pas les choses bêtement : on engage une discussion, on responsabilise. Cette responsabilisation des Feature Teams fait qu’elles sont plus engagées dans le suivi et la correction des vulnérabilités.

“La sécurité c’est comme l’anarchie – l’ordre absolu”

Attention, responsabiliser les équipes ne veut pas dire leur faire porter l’entière responsabilité de la sécurité. Les équipes AppSec sont toujours étroitement impliquées dans la sécurité des produits, avec un œil attentif sur les livraisons.

Je vais citer un dictateur – heureusement que ça ne sera pas rendu public ! –, mais la confiance n’exclut pas le contrôle. J’ai une confiance absolue dans nos équipes, mais ça n’empêche pas de s’appuyer sur l’équipe AppSec et les bonnes pratiques Agile.

Par exemple, on prend le temps de s’asseoir à chaque début de trimestre avec les Product Owners (PO) et les Engineering Managers (EM) – on les appelle les POEM, on a un petit côté baudelairien chez leboncoin… On se renseigne sur les features qu’ils comptent lancer et, en fonction, on recommande des analyses de risques, du threat modeling, des pentests plus poussés…

Qui dit agilité ne dit pas chaos. Élisée Reclus définissait l’anarchie comme la plus haute expression de l’ordre ; eh bien la sécurité c’est comme l’anarchie – l’ordre absolu. Tout le monde est responsable de l’ordre commun. La sécurité n’est pas qu’une autorité, mais aussi un coordinateur et simplificateur.

Sans surprise, cette volonté d’ordre se retrouve dans tout le parcours de sécurité des applicatifs produits par leboncoin. Comme le dit l’adage : une place pour chaque chose et chaque chose à sa place.

“Chaque application traverse tout un tunnel de sécurité, et il n’y a pas une seule étape que je voudrais enlever. Elles ne sont pas concurrentes mais complémentaires.

Au tout début d’une feature, le PO fait du Threat Modeling – on déroule des analyses de risques sur les murs, ils en sont couverts chez nous ! Nous nous inspirons beaucoup du Rapid Risk Analysis/Assessment (RRA), créé à l’époque par des amis chez Mozilla. Nous nous basons aussi sur des bonnes pratiques, à savoir nos Cheat Sheets maison et celles de l’OWASP.

Une fois que la feature est codée, il y a une peer review. Les développeurs revoient le code de leurs collègues, et au besoin corrigent les vulnérabilités. Ensuite il y a les scans de code et de dépendance, puis les scanners de vulnérabilités après avoir commit. Après vient l’étape du pentest, fait par nos équipes de sécurité.

Et quand arrive enfin la mise en production, et que c’est disponible sur Internet, nous avons un gentil Chaos Monkey qui entre sur le terrain : Yogosha.”

Le bug bounty comme dernier rempart

Fidèle à son ADN tech, leboncoin mène depuis plusieurs années un bug bounty avec Yogosha. Le concept est simple : les hackers de la Yogosha Strike Force (YSF) tentent d’identifier des vulnérabilités dans les systèmes visés. S’ils y parviennent, leboncoin leur verse une récompense sonnante et trébuchante. La démarche pourrait interroger les RSSI les plus frileux, mais certainement pas Zakaria qui baigne dans le hacking depuis belle lurette.

Comment je suis venu au bug bounty ? C’est lui qui est venu à moi ! Je suis dans la sécurité depuis mes 17 ans, et je me considère toujours comme un hacker. J’ai commencé par le terrain, et j’ai toujours connu la sécurité et le hacking en tant que communauté française. J’ai vu l’émergence des deux grandes plateformes de bug bounty du pays, dont Yogosha, et je suis très fier que nous ayons cela en France. Honte à moi, mais je suis très chauvin !

J’ai toujours considéré le bug bounty comme une pratique pertinente, et ce depuis le début de ma carrière dans la sécurité, que ce soit en tant qu’ingénieur, auditeur ou RSSI. Il permet toujours de trouver des choses auxquelles on n’aurait jamais pensé, de challenger les positions internes et d’offrir un autre regard sur la sécurité.

“Des chercheurs ont trouvé comment bypasser des logiques métier, c’est ça qui nous intéresse.”

Tout fervent défenseur du bug bounty qu’il soit, ce n’est pas Zakaria qui a jeté son dévolu sur Yogosha. Quand il a pris ses fonctions en 2021, un programme était déjà en place. Mais il y avait quelques ajustements à faire…

Il y avait déjà un bug bounty quand je suis arrivé. Mais le scope du programme, c’était uniquement auth.leboncoin.fr, le mercredi après le coucher du soleil, et seulement avec des chercheurs français de la région de Limoges ! Je caricature évidemment, mais l’idée est là…

Le périmètre était si restreint qu’il en était inintéressant, l’origine des hunters était réduite de manière caricaturale, et les conditions et le niveau des primes rendaient le bug bounty impossible. On pourrait presque en faire une conférence – ‘Comment rater votre bug bounty !’

Vous vous doutez bien que si l’on écrit ces quelques lignes aujourd’hui, c’est que les choses ont bien changé. La première chose à faire a été de rassurer les équipes, et plus particulièrement les équipes OffSec qui pouvaient voir le bug bounty comme une concurrence à leur travail. Zakaria se souvient :

En réalité, il y avait un manque de maturité sur le sujet. Il y avait une réticence au changement de la part de l’équipe offensive, qui voyait ça comme un doublon de son travail. Le vrai challenge a été de rassurer, d’expliquer que le bug bounty vient comme une continuité au pentest et pas comme une sanction pour ces équipes. Les deux exercices sont complémentaires dans la recherche des vulnérabilités. Les hunters ont une approche très différente de celle d’un pentesteur, qui est plus méthodologique.

Finalement, quelques réunions et réglages plus tard, le programme a commencé à délivrer les résultats espérés.

Avec le bug bounty, il y a un effort de maturité à avoir du côté de l’entreprise. C’est tout bête, mais nous avons ouvert le périmètre et étendu l’origine des chercheurs, et nous avons commencé à recevoir beaucoup plus de rapports !

Aucune vulnérabilité technique vraiment critique – nos plateformes sont suffisamment solides pour que personne n’y trouve d’injections SQL ou de XSS – mais de superbes failles de logique. Des chercheurs ont trouvé comment bypasser des logiques métier, c’est ça qui nous intéresse. Ce ne sont pas des vulnérabilités que les scanners peuvent repérer ou que les pentesters internes pensent à rechercher. Mais les hunters oui.


E-Book: Bug Bounty, le guide ultime pour un programme réussi

Apprenez comment mettre en place votre Bug Bounty, le rendre attractif et mobiliser les hackers pour identifier des vulnérabilités à haut risque.

TÉLÉCHARGEZ L'E-BOOK !

“On sort de la méthodologie traditionnelle, c’est en cela que les chercheurs Yogosha sont intéressants.”

Le RSSI n’hésite pas à témoigner de l’expertise des chercheurs de la Yogosha Strike Force, une communauté privée dont les membres sont sélectionnés sur épreuve. “On pousse du code tout le temps, et il y a toujours des gens qui arrivent à nous challenger avec des choses intéressantes”, raconte Zakaria, avant de continuer :

J’ai une anecdote pour dire la qualité des chercheurs Yogosha. Nous avons eu le cas d’un hunter avec un beau-frère mécanicien, qui lui a demandé son compte professionnel, son numéro de SIRET et tout le reste pour écrire une vulnérabilité contextualisée. Il a rédigé tout le POC [Proof of Concept] comme ça, pour démontrer un scénario où il réussissait à faire telle ou telle chose. Il nous a même demandé l’autorisation avant pour ne pas commettre d’impair, hyper respectueux !

Pour être capable de ça, il faut connaître le contexte français, s’y intéresser, créer un compte, faire de la vente… On sort complètement de la méthodologie traditionnelle, et c’est en cela que les chercheurs Yogosha sont intéressants.

Avec ce type de rapport, les hackers ne ramènent pas seulement une vulnérabilité, ils ramènent aussi un contexte. Dans ces cas-là, nous payons souvent une prime supérieure au score de la vulnérabilité. Il ne faut pas négliger ce travail intellectuel, il est très précieux.

Yogosha Strike Force Emblem - Red

Récompenser les meilleurs rapports d’un bonus n’est pas la seule “best practice” appliquée par Zakaria. Aujourd’hui, le groupe leboncoin fait figure d’exemple dans la gestion de son programme, et n’aurait aucun mal à donner une conférence “Comment réussir son bug bounty”.

Nous essayons de faire une communication spécifique aux hunters au moins une fois par trimestre, pour leur dire ce qu’on a nouvellement mis en production chez leboncoin. Ça permet de donner un petit coup d’accélérateur au bug bounty, et d’encourager les chercheurs à regarder ces features en particulier.

Le groupe met également à profit ses compétences internes, puisque c’est l’équipe de sécurité qui se charge de trier les rapports de vulnérabilités envoyés par les hackers. “Ils connaissent bien le contexte de nos applications, et on a besoin de leur grille de lecture” confie le RSSI.

“J’invite fortement toutes les entreprises à mettre en place du bug bounty.”

Là, on en arrive au paragraphe où l’on devrait vanter les mérites du bug bounty comme test de sécurité, et vous dire à quel point il est précieux pour les organisations. Mais on va plutôt laisser la parole à Zakaria, qui est décidément un ambassadeur chevronné du bug bounty (on lui a proposé un job dans notre équipe marketing, mais il a décliné).

J’invite fortement toutes les entreprises à mettre en place du bug bounty, d’autant plus s’il y a de la production. A partir du moment où il y a un cycle de développement d’un produit, il faut du bug bounty quelque part. Et ça peu importe la politique et les mesures déjà en place, qu’il y ait des scanners et du pentest en interne ou non.

Ce qui est vraiment important, c’est de contextualiser le bug bounty et la rédaction du programme selon la maturité de l’entreprise, ses objectifs de sécurité et ses capacités de correction. On peut faire du bug bounty ponctuellement ou en continu – comme nous –, et de manière plus ou moins globale. Celui qui contrôle le programme contrôle l’intégralité du bug bounty, et toutes les détections qui en découlent.

Ils font du bug bounty, ils racontent.

leboncoin et les Live Hacking Events : du bug bounty en direct

Le dévouement du groupe pour le bug bounty est tel qu’il dépasse les frontières du numérique. En mars dernier, leboncoin participait à la RootedCON à Madrid ; un Live Hacking Event, une compétition de hacking en direct où les équipes de sécurité Adevinta ont pu rencontrer les hunters en chair et en os. Et le groupe n’en était pas à son coup d’essai.

C’était notre deuxième RootedCON, et nous y allons toujours avec plaisir. La sécurité est un petit monde. Par exemple, il y a dans les équipes sécurité d’Adevinta Espagne des gens qui étaient avant chez Blueliv [NDLR : désormais Outpost24] ou d’autres startups tech espagnoles assez pointues. Et c’est pareil pour nous en France, tout le monde se connaît. Puis j’ai moi même un lien fort avec l’organisation de la RootedCON ; je sais de quoi ils sont capables, ce qu’ils peuvent délivrer. — Zakaria Rachid, CISO leboncoin

“Pour ce type d’événement, nous doublons, voire triplons, les primes.”

Les Live Hacking Events sont l’occasion pour les organisations d’éprouver leurs systèmes en direct, dans des conditions au plus près du réel. Pendant une nuit entière, les hunters de la YSF se sont attaqués aux défenses des applicatifs leboncoin, dans l’espoir d’y dénicher une vulnérabilité et recevoir une récompense. Pendant ce temps-là, des équipes de sécurité Adevinta venues des quatre coins du monde étaient chargées de qualifier les rapports.

Il y avait une qualification des rapports sur place, avec de la validation et des paiements en direct. Les rapports étaient vraiment très pertinents. Certains hunters ont même trouvé des vulnérabilités sur des choses “invisibles” pour ainsi dire. La qualité était au rendez-vous, comme d’habitude !

Si les remontées étaient intéressantes, c’est aussi parce que leboncoin se prête volontiers au jeu du Live Hacking.

Le nombre de détections sort de l’ordinaire pendant un Live Hacking, et nous encourageons les hackers autant que possible. Nous avons un site et des applications assez matures, il n’est donc pas facile d’y trouver quelque chose. Alors pour ce type d’événement, nous doublons, voire triplons, les primes. Les chercheurs sont d’autant plus motivés pour chercher des vulnérabilités. C’est plus intéressant pour eux et pour nous.

Outre des récompenses généreuses, le groupe maximise les bénéfices de l’événement en autorisant les chercheurs à tester de nombreux périmètres. Plus la surface de jeu est grande, plus les hackers ont une chance de dénicher une vulnérabilité.

Nous avons proposé un périmètre assez vaste, puisqu’il s’agissait de tous les sites du groupe leboncoin. Cette année nous avons même étoffé le scope, en y ajoutant les applications mobiles iPhone et Android. C’était un lancement de programme de bug bounty d’une certaine manière.

Et pour teaser un peu, ça sera la même chose pour le prochain Live Hacking avec Yogosha : on a prévu un lancement de programme spécifique pour l’occasion… On essaie de ‘gamifier’ la sécurité, de donner plus de terrain de jeu aux hunters.

“Parler sécurité toute une nuit avec des Red Bull et des fajitas en écoutant de la techno espagnole, ça soude !”

N’imaginez pas les Live Hacking Events comme des réunions protocolaires, où chacun aurait le regard rivé sur son écran. Au-delà des sujets de sécurité, ces événements permettent de créer du lien entre les chercheurs et les équipes internes. Zakaria confirme :

Si nous participons à ces Live Hacking, c’est aussi car nous sommes très proches de la communauté des hackers. Ces évènements permettent de maintenir le contact, voire de renouer le lien quand il le faut. Comme je l’ai déjà dit, il y a eu une époque où c’était compliqué avec nos pentesters, qui ne voyaient pas la valeur ajoutée des hunters. Mais se poser avec eux pour parler sécurité toute une nuit avec des Red Bull et des fajitas en écoutant de la techno espagnole, ça soude !

Et comme dans la vraie vie, les belles rencontres vont parfois plus loin qu’une simple nuit. “On a rencontré trois chercheurs qu’on compte inviter comme VIP ou speakers à nos évènements privés dans la tech, pour qu’ils partagent leur vision et leurs expériences !”, raconte Zakaria.

“C’est comme ça qu’on combat les vrais pirates – en tendant la main aux sachants”

Il faut bien comprendre une chose à propos du groupe leboncoin et de son RSSI. Bien que la collaboration avec Yogosha se passe bien – et nous en sommes ravis –, c’est avant tout pour le hacking éthique en général qu’ils militent. Quand Zakaria défend le bug bounty, ce n’est pas tant Yogosha que la communauté des hackers qu’il promeut.

Nous nous engageons dans les communautés ‘zéro bullshit’. Cette année, nous étions sponsors de la RootedCON mais aussi de leHACK en France. On défend une approche de la sécurité par les gens qui savent en faire, par la communauté du hacking – dans le meilleur sens du terme.

C’est comme ça qu’on combat les vrais pirates – en tendant la main aux sachants et en encourageant les jeunes et les moins jeunes. Il faut donner aux amoureux de la tech et du hacking l’occasion de faire ce qu’ils aiment dans la légalité la plus totale.

Pour leboncoin, le bug bounty va bien au-delà de la recherche des vulnérabilités : c’est notre engagement dans la communauté du hacking français. Et je sais que c’est pareil pour Yogosha. On a d’ailleurs une personne en interne qui chasse pour Hack4Values. [NDLR : un programme de bug bounty caritatif à destination des associations et des ONG, créé par ManoMano, Yogosha et Communication Sans Frontières.]

Tout comme nous payons nos impôts en France et que nous travaillons avec des collaborateurs français sans sous-traiter dans d’autres pays, nous choisissons de travailler avec une entreprise française et de sponsoriser la communauté du hacking français à travers ces événements. Je vous ai déjà dit que j’étais un peu chauvin ?

— Zakaria Rachid, CISO, leboncoin

Envie d’aller plus loin ? Retrouvez Zakaria Rachid sur le plateau de Riskintel Média pour parler cybersécurité et digital retail.