Saint-Gobain protège ses données et élimine 12 % de trafic indésirable

Olivier Boissin est Responsable Technique de la Direction des Opérations Digitales chez Saint-Gobain Distribution Bâtiment France. Son équipe développe, gère et pilote les sites e-commerce et les applications mobiles des 14 enseignes de la filiale, qui sont les reflets virtuels des agences.

L’équipe propose aux enseignes une solution e-commerce maison, essentiellement un assemblage de composants open source, qui est donc actuellement déployée par chacune des enseignes dont pointp.fr, cedeo.fr et dispart.fr.

La plateforme e-commerce communique également avec les systèmes de gestion commerciale dans les points de vente physiques, notamment pour la gestion des stocks et le passage des commandes.

“La direction des opérations digitales est une structure autonome et plutôt proche du marketing, qui fonctionne un peu comme une agence web dans une relation client-fournisseur interne avec les enseignes”, explique Olivier. “À cet égard, nous avons des équipes de développement ainsi que des équipes e-business composées d’experts en référencement, en UI et en UX, qui viennent accompagner nos enseignes dans la définition des outils pour répondre à leurs objectifs.”

Comme c’est souvent le cas, les premiers signes d’attaques de bad bots étaient des pics de trafic irréguliers qui mettait à mal les systèmes sous-jacents.

“Nous avions des pics de trafic qui n’étaient pas du tout nominaux, et qui ne correspondaient pas à une activité normale de la plateforme. Cela nous causait pas mal de soucis”, explique Olivier.

À l’époque, l’origine de ces pics de trafic n’était pas bien comprise ; l’équipe pouvait seulement les constater sur les équipements réseau. Mais leur nature indésirable ne faisait pas de doute : l’activité de Saint-Gobain Distribution Bâtiment France étant essentiellement nationale, un trafic intense de pays lointains était par définition suspicieux.

À ce problème d’ordre technique s’ajoutait également un aspect métier et juridique. La direction des opérations digitales a commencé à retrouver certains de ses contenus dupliqués sur des sites tiers qui n’avaient aucun lien avec Saint-Gobain, voire sur des sites concurrents, aussi bien en France qu’à l’étranger.

“Ce scraping de nos contenus était assez facile à constater. Nous retrouvions, par exemple, du contenu propriétaire, à propos de marques que nous sommes seuls à commercialiser, sur des sites n’appartenant pas à Saint-Gobain”, raconte Olivier.

Il souligne que Saint-Gobain Distribution Bâtiment France commercialise non seulement les produits de la maison-mère, mais également les produits de ses concurrents. En fonction des fournisseurs, les informations disponibles—les dimensions, les caractéristiques techniques, la documentation et les certificats de conformité, voire les photos des produits—sont plus ou moins étayées.

“Nous avons une équipe référentiel fournisseurs dont le rôle est d’enrichir et de mettre en qualité les données manquantes de nos catalogues fournisseurs”, explique-t-il. “L’information disponible sur nos sites a donc beaucoup de valeur, car un concurrent qui n’investit pas dans le même travail n’aura que des données partiellement complètes. Avoir l’information la plus complète est l’un des principaux atouts de nos sites.”

Le vol de ces contenus constituait donc une véritable menace business pour la propriété intellectuelle de Saint-Gobain.

La solution : DataDome détecte et bloque les robots scrapers en toute autonomie

Pour pallier ces deux problèmes, pics de trafic imprévisibles et vol de données propriétaires, Olivier et son équipe ont commencé par mettre en place un firewall applicatif faisant partie de l’arsenal d’outils d’infogérance du groupe Saint-Gobain.

“Le firewall a la vertu de nous protéger de tout un tas d’attaques d’ordre sécuritaire, comme les injections SQL et le cross-site scripting”, explique Olivier. “Mais nous nous sommes aperçus que les robots que DataDome appelle “commerciaux”, qui font du scraping à des fins de veille concurrentielle ou d’intelligence économique, ne sont pas du tout considérés comme une menace à la sécurité par le firewall, qui les laisse passer. Nous avons donc conclu qu’il fallait compléter notre dispositif.”

Le choix s’est porté sur DataDome, une solution SaaS de protection contre les robots dédiée aux sites e-commerce. DataDome s’intègre de manière très facile et transparente à n’importe quelle infrastructure Web grâce à une gamme de modules côté serveur, dont le module Nginx déployé par Olivier et son équipe.

Le premier objectif d’Olivier était de mesurer et de quantifier ces attaques, et de disposer des outils (indicateurs en temps réel, notifications et rapports) nécessaires pour sensibiliser les équipes en interne.

Avant d’activer la protection, ils ont d’abord laissé DataDome tourner en mode monitoring pendant quelques jours, afin d’analyser le trafic automatisé sans agir dessus pour établir une ligne de référence.

“Nous étions loin d’imaginer la part de trafic qui devrait être considérée comme une menace de sécurité, que nous avions sur les sites”, reconnaît Olivier. “C’était majoritairement des robots scrapeurs, ce qui n’était pas inattendu, mais le volume était très clairement une surprise.”

Les observations recueillies pendant cette période d’observation, grâce au dashboard en temps réel, les notifications d’attaques et l’expertise des account managers de DataDome, ont sensibilisé toutes les équipes aux menaces que représentent les robots. Cela a facilité la décision d’appliquer les recommandations de DataDome pour mettre fin à ces menaces.

Aujourd’hui, DataDome bloque automatiquement les scrapers ainsi que tous les autres robots indésirables des sites des 14 enseignes, sans qu’aucune intervention ne soit requise de la part d’Olivier et de son équipe. DataDome détecte dans le monde un nouveau bad bot toutes les 10 millisecondes, et l’ensemble des utilisateurs de la plateforme est immédiatement protégé de ces nouvelles menaces.

Objectifs atteints : Données protégées, ROI immédiat

La décision d’implémenter la solution DataDome a surtout été motivée par la prise de conscience du scraping et pour endiguer la fuite des données propriétaires.

“Grâce à cette protection, les scrapers ne passent plus et nous ne retrouvons plus nos contenus sur des sites concurrents”, se réjouit Olivier.

Mais au-delà de ce bénéfice business, d’autres indicateurs de performance ont également révélés un ROI clair suite à l’activation de la protection.

Économie de 12 % de charges opérationnelles

“À minima, le retour sur investissement technique est assez simple à calculer”, commente Olivier. “Dans notre cas, nous avons facilement pu mesurer le trafic en moins rapporté à l’activité commerciale qui, elle, ne baissait pas.”

Depuis l’activation de la solution DataDome, Saint-Gobain Distribution Bâtiment France a effectivement constaté que leurs serveurs devaient gérer environ 12 % de trafic en moins, correspondant au trafic indésirable désormais bloqué et qui n’atteint donc plus ses serveurs.

“Derrière ces 12 %, il y a des charges opérationnelles”, précise Olivier. “En comparant la réduction des coûts d’infrastructure, qui peut-être à la consommation quand on est dans un système cloud, avec le coût de la licence, il y a déjà un ROI direct, très simple à calculer. Même si nous n’avions pas eu la problématique du scraping, ça aurait été dommage de se priver de cela.”

Une meilleure expérience utilisateur

L’entreprise a également observé un autre bénéfice, plutôt inattendu cette fois-ci.

“Certains de nos clients avaient automatisé les passages de commande sur nos sites, et ils se sont retrouvés bloqués par DataDome”, explique Olivier. “Le dashboard permet de les débloquer très facilement, mais surtout, cela a permis à nos commerciaux de se rapprocher de ces clients, d’accorder un peu plus d’attention à leur accompagnement, et de trouver de meilleures solutions pour les aider dans les passages de commandes.”

Gain de temps

Aujourd’hui, le trafic des robots occupe très peu le temps et l’attention d’Olivier et de son équipe. Les rapports hebdomadaires de DataDome les rassurent sur le bon fonctionnement de la solution, et les rares interventions consistent majoritairement à débloquer en quelques clics des clients ou des partenaires qui ont besoin d’un accès automatisé.

“Le dashboard de DataDome est suffisamment simple d’utilisation pour aller facilement voir ce qui se passe, retrouver une activité et la bloquer ou pas, mettre un Captcha ou que sais-je, sans avoir besoin de s’adresser à l’IT ou à l’infogérant, par exemple”, conclut Olivier.

“La solution est donc parfaitement complémentaire avec le système de Saint-Gobain où l’infogérance est centralisée et en charge de la sécurité, et où nous, en tant qu’équipe applicative, gérons en toute autonomie un outil qui est propre à notre métier. C’est très satisfaisant.”