Comment Carrefour a renforcé sa cybersécurité grâce aux JOP Paris 2024

Le groupe Carrefour était partenaire premium des Jeux Olympiques et Paralympiques de Paris 2024, le plus haut niveau de partenariat possible au niveau national. Ce partenariat l’amenait à gérer trois magasins éphémères dans les enceintes gérées par le COJOP, destinés aux athlètes et aux délégations, et à fournir les produits utilisées par Sodexo pour la restauration (40 000 repas par jour !). 600 tonnes de marchandises étaient prévues, chiffre qui a été bien dépassé. A cause de leur insertion dans les lieux sécurisés, les magasins devaient être eux-mêmes parfaitement sécurisés, tout comme la chaîne logistique amont depuis les entrepôts dédiés, avec une certification opérée par Eviden. Cette création de magasins éphémères était une première pour le distributeur. Les approches et outils mis en œuvre à cette occasion sont en cours de généralisation afin d’accroître la cybersécurité globale du groupe.

Le groupe Carrefour génère un chiffre d’affaires de plus de 94 milliards d’euros grâce à ses 321 000 collaborateurs et ses 12 000 magasins dans le monde. Le SI est largement dans le cloud, notamment un datalake de 900 To comprenant de nombreuses données structurées (tickets de caisse, flux marchandises, stocks…). Les API reçoivent plus de 70 millions d’appels par mois. Et le SI reçoit plus de 160 000 points de mises à jour par mois. Un tel SI est évidemment l’objet de nombreuses tentatives de pénétration. Rien que sur le site Carrefour.fr, il y a plus d’un millier de cyber-attaques par mois de tous niveaux (tentatives d’usurpation de comptes, scans de l’architecture web…).

Un besoin de maîtrise totale de l’IT

Des entrepôts dédiés aux magasins éphémères, tout devait pourtant être parfaitement sécurisé. Or les flux de données comme de marchandises étaient d’une grande complexité. Les magasins ont été préparés en amont sur un site Carrefour avant d’être déplacés sur leurs sites finaux une dizaine de jours avant l’arrivée des athlètes. Cette manière de faire a permis de contrôler en amont l’intégralité des processus et des outils mis en œuvre sur la toute la chaîne logistique, des entrepôts aux magasins. Pour réaliser une sécurisation effective, il était indispensable de contrôler tout ce qui était connecté au réseau, non seulement au départ mais aussi au fil des Jeux.

« Depuis trois ans, Carrefour Roumanie travaillait avec Armis et nous avons commencé, en France, depuis deux ans » se souvient Guillaume Cécile, expert sécurité et SecOps Manager du groupe Carrefour. Cet éditeur israélo-américain a comme métier historique la détection de tout ce qui est connecté au réseau et l’analyse des flux. Petit à petit, ses solutions se sont enrichies, notamment grâce à de la croissance externe, jusqu’à gérer l’ensemble de la surface d’attaque, notamment le pilotage de la priorisation des corrections de vulnérabilités, y compris en se connectant aux autres outils de monitoring. Selon Armis, il y a en moyenne 40 % d’actifs non-identifiés ou non-monitorés dans un SI et 70 % des attaques s’appuient sur ces actifs.

Une certification indispensable des magasins éphémères

Guillaume Cécile indique : « c’est avec Armis que nous avons pu faire certifier nos magasins éphémères par Eviden qui voulait avoir une vision de tout. » Les solutions mises en œuvre ont permis de vérifier quels équipements étaient effectivement présents sur le réseau et si les règles de conformité étaient bien respectées. Il s’agissait par exemple de vérifier la présence d’un EDR, que toutes les mises à jour nécessaires avaient bien été appliquées, que les terminaux étaient supervisés dans le MDM, etc. Ce contrôle s’appliquait aussi, évidemment, à l’équipement des entrepôts, y compris les lecteurs de code-barre.

Les magasins installés sur le site Carrefour ont pu servir de base pour établir une normalité des flux hors ventes. Les entrepôts et les magasins ordinaires ont également enrichi la base de connaissance pour les aspects nécessitant une activité réelle. Les flux de données critiques, comme la « descente des prix » (l’envoi des tarifs de vente des produits depuis le siège vers les magasins), ont été particulièrement surveillés. « Le plantage de l’EDR Crowstrike une semaine avant les Jeux a été un très bon exercice de crise… » se permet aujourd’hui de sourire Guillaume Cécile.

Des déploiements à plusieurs niveaux

Avec Armis, plusieurs collecteurs de données ont été installés. Au niveau du siège, il s’agissait ainsi de s’assurer de la conformité des terminaux locaux mais aussi de détecter des terminaux non-enregistrés ainsi que de contrôler les flux vers les magasins comme vers les entrepôts. Dans chaque entrepôt et magasin dédié aux JOP, le collecteur a permis là aussi un contrôle local mais aussi la vérification des flux vers les datacenters et le siège. Dans les magasins, il existe trois réseaux séparés : le réseau interne dédié aux collaborateurs, le réseau partenaires (qui sert, par exemple, à la supervision des armoires réfrigérantes par le prestataire) et enfin le réseau destiné aux clients à titre personnel. Ce dernier n’est pas surveillé.

Armis a été intégré avec l’EDR comme avec tous les autres outils générant des informations de contrôle (administration de bornes Wi-Fi, gestion DHCP, supervision de l’Active Directory…). Par croisement des informations, la solution permet ainsi de détecter des anomalies. Parfois, certaines anomalies étaient particulièrement comiques. En salle de pause en entrepôt, il y avait ainsi une console de jeux connectée sur le réseau collaborateurs. Celle-ci a été migrée sur le réseau partenaires. Une pompe à insuline d’un collaborateur diabétique, les smartphones personnels ou même une voiture Tesla ont été basculés sur le réseau public. Dans certains cas, certains matériels n’ont pas été mis à jour juste avant les Jeux Olympiques afin de ne pas prendre de risque mais, par sécurité, ces matériels étaient isolés. Dans d’autres cas, des évolutions ont été réalisées dans l’urgence, comme un PC de pilotage du froid dans des armoires de congélation qui était sous Windows 7 non-patché… Pour Guillaume Cécile, « ces remontées d’Armis démontrent qu’il faut mieux sensibiliser les collaborateurs aux bonnes pratiques comme ne pas recourir à du shadow matériel. »

Des leçons tirées immédiatement avant même la généralisation

Les solutions Armis sont toujours en cours de déploiement dans les entrepôts et magasins français de Carrefour. C’est, en particulier, le cas du VOC (Vulnerability Operation Center). Mais les anomalies remontées sur les magasins dédiés aux Jeux Olympiques et Paralympiques ont été, en cas de gravité certaine, recherchées spécifiquement dans tous les magasins et corrigées. Ainsi, des caisses installées par le prestataire dédié avec un mauvais master pas à jour ont été détectées et corrigées rapidement. La procédure d’installation a été modifiée pour éviter une réédition d’un tel incident. De même, plus aucun terminal non-supervisé (smartphone personnel…) n’est désormais accepté sur le réseau interne. « Ces remontées donnent du poids aux discours portés en interne sur la cybersécurité et aussi aux prétentions budgétaires » pointe Guillaume Cécile.

En dehors des magasins éphémères, les déploiements d’Armis ont débuté par le siège en février 2024. Les déploiements en entrepôts ont ensuite commencé à partir de mars 2024 et en magasins dès avril 2024 et se poursuivent actuellement. Comme Guillaume Cécile l’explique, « tout ce qui a été fait pour pour les Jeux Olympiques et Paralympiques, autant sur les magasins que sur les entrepôts, va être généralisé. Nous voyons aujourd’hui ce que nous ne voyions pas systématiquement, ce qui nous permet un vrai gain de temps et de fiabilité. »