Cet article de notre offre Club des DPO vous est offert en accès libre.
Avec plus de 340 000 professionnels de santé utilisateurs et plus de 80 millions de patients, la protection des données est un sujet majeur pour Doctolib. Le risque zéro n'existant pas, la licorne française a été victime d'une attaque informatique en juillet 2020 par laquelle des hackers ont réussi à mettre la main les données de 6128 rendez-vous (nom, prénom, sexe, numéro de téléphone, date, nom et spécialité du professionnel de santé). Près de trois ans plus tard, qu'est-ce qu'a mis en place l'entreprise pour protéger les données ?
"Ce n'est évidemment pas plaisant mais cela nous a permis de changer un peu notre fusil d'épaule sur une partie de notre approche sécurité, raconte Cédric Voisin, le responsable de la sécurité de Doctolib, à L'Usine Digitale. C'est aussi ça qui nous a fait accélérer sur le bug bounty parce que nous voulions avoir énormément de personnes qui aient cet état d'esprit de pénétrer un système d'information pour y trouver des vulnérabilités." Le bug bounty, la prime aux bugs, est une façon pour les éditeurs de logiciels de corriger les failles de leurs applications en récompensant les personnes qui y trouvent des vulnérabilités.
Un programme de bug bounty ouvert à tous
Doctolib a lancé son programme de bug bounty en 2018 "sur notre applicatif patient et uniquement sur invitation de notre part via la plateforme YesWeHack". Puis, le programme a été étendu à la partie praticien avec "un système de passerelle" par lequel seuls ne pouvaient être invités les hackers éthiques qui avaient déjà été rémunérés pour une faille trouvée dans la partie patient. En avril 2022, la pépite a ouvert son programme au public, toujours sur la plateforme éditée par la start-up YesWeHack.
"Aujourd'hui, nous avons en moyenne une base active de 300 à 350 hunters qui testent régulièrement notre plateforme", confie le directeur sécurité. Actuellement, les primes vont de 50 000 euros pour une vulnérabilité critique à 100 euros pour une vulnérabilité faible (Vulnérabilité haute : 4000 euros, vulnérabilité moyenne : 500 euros). Depuis l'ouverture du programme, Doctolib a versé "un peu plus de 50 000 euros en primes" avec une augmentation graduelle des récompenses et "plus de 20 000 euros" depuis l'ouverture au public. "Sur une période d'un an, cela représente en moyenne 260 rapports soumis avec 80 bugs considérés comme valides, dont 36 rémunérés", détaille Cédric Voisin.
Une vulnérabilité critique découverte en 2022
En 2023, aucune vulnérabilité classée comme étant "critique" par les équipes de Doctolib n'a été détectée. "Nous avons rémunéré quatre vulnérabilités élevées et 32 moyennes ou faibles", note le directeur sécurité. En 2022, une vulnérabilité critique a été découverte. Elle provenait d'un cabinet ayant "laissé ses logins et mots de passe publiquement accessibles" sur Internet.
A côté, Doctolib effectue également "une quinzaine de pentests" par an par des sociétés tierces "sur des périodes très définies", en particulier pour répondre à "des besoins de compliance et de réglementation". L'objectif de ces tests de pénétrations est d'évaluer le niveau de sécurité d'une cible prédéfinie à travers un exercice reproduisant les conditions d'une cyberattaque réelle. "Avec le bug bounty, ce sont des approches complémentaires, explique Cédric Voisin. C'est un super atout d'avoir des personnes qui pensent différemment la manière d'essayer de pénétrer dans un système informatique."
Un équivalent temps plein de 100 personnes dédiées à la sécurité
L'entreprise possède aussi son équipe en interne composée de "30 personnes à temps plein". Un effectif multiplié par six en 3 ans au regard de l'augmentation des effectifs globaux de la société lorsqu'elle est entrée "en phase d'hyperscaling". "L'un de mes mandats était justement de s'assurer que Doctolib investissait massivement dans la sécurité pour fournir des solutions de confiance aux professionnels et aux patients", raconte le directeur. Aujourd'hui, nous avons un équivalent temps plein de 100 personnes qui ne fait que de la sécurité."
Des webinaires sont proposés "aux praticiens, responsables de protection des données personnelles, directeurs des systèmes d'information des hôpitaux et cabinets" afin d'échanger sur "leurs problématiques et enjeux". "Notre approche en matière de sécurité est d'enlever la charge cognitive" des professionnels de santé et de "proposer les solutions les plus sécurisées possible", note Cédric Voisin. Dans cet objectif, Doctolib a racheté en janvier 2022 la start-up Tanker, à l'origine d'une technologie de chiffrement de bout en bout intégrable sous forme de SDK. "Ce rachat nous a permis d'aller beaucoup plus vite sur le déploiement à l'échelle de solutions de chiffrement avancées", analyse-t-il.
Augmenter les primes pour attirer les hackers éthiques
Ouverte à la suite de l'incident, l'enquête judiciaire sur la fuite de données n'a pas permis d'identifier son origine, confie le directeur de sécurité. "Nous avons un faisceau de suspicions sur la provenance de l'attaque mais aucun élément avéré malheureusement", ajoute-t-il. Pour la suite, Doctolib veut continuer à augmenter le montant des primes attribuées aux hackers éthiques. "Je ne dis pas que nous allons arriver à des primes du niveau de celles versées par Apple, bien que nous apprécierions que ce soit le cas, plaisante-t-il. Dans tous le cas, c'est une solution [le bug bounty] à laquelle nous croyons beaucoup."
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
