Silicon.fr – Il ya deux ans, vous arrivez chez Decathlon en provenance d’AWS…
Farid Illikoud- Chez AWS*, j’ai l’impression d’avoir eu un coup d’accélération en formation. En même temps, je savais que je m’y engageais pour un temps limité. Je trouvais ma valeur plus importante chez le client final.
C’était aussi lié au désir de mon chef actuel, le Chief Digital Officer. Lorsqu’il a rejoint Decathlon, il a dit : « Si on veut devenir un géant du numérique pour mieux accompagner l’accélération de l’entreprise, il faut qu’on soit bon en cybersécurité. »
Mon mandat, c’était de mettre de la cybersécurité dans une entreprise qui est traditionnellement un acteur du détail. Et le détail et la sécurité, ça fait deux ! Deuxième mission : créer une gouvernance mondiale. Decathlon, c’est 300 magasins en France mais 1700 au niveau mondial, des chaînes logistiques, des chaînes de transport, des sites web différents… Et ne l’oublions pas : Decathlon reste une boîte de conception : textiles, chaussures…
Decathlon a choisi AWS et Google Cloud. Pas de trace d’un cloud « souverain »…
Farid Illikoud- C’est une vraie difficulté d’être multicloud. Mais cela assure une résilience et permet de ne pas être verrouillé auprès d’un seul CSP.
Pourquoi parler de cloud souverain pour une entreprise présente dans 70 pays ? Je peux être conforme à la réglementation « souveraine » – pour peu que l’on arrive enfin à la définir – mais je ne serai pas conforme de la même façon selon que l’on se réfère au contexte réglementaire chinois, singapourien ou brésilien…
J’ai des difficultés avec cette lecture selon laquelle « vous êtes une société française, il faut aller sur le cloud souverain. » Nous, ce qu’on veut, c’est répondre à l’ensemble des exigences réglementaires où Decathlon opère.
Au-delà de la conformité et de la intimitéil y a de vrais sujets de délai de commercialisation et de latence. Il serait impensable pour une entreprise comme Decathlon d’être uniquement sur des infrastructures localisées en France et en Europe.
Qu’implique plus précisément, en matière juridique, cette présence internationale ?
Farid Illikoud- Une surveillance continue de l’évolution de la conformité. En Californie, par exemple, le CCPA (Loi californienne sur la confidentialité des consommateurs) va évaluer début 2023.
Depuis deux ans, on travaille sur PIPL ( Loi sur la protection des renseignements personnels ) en Chine. Comme le RGPD, cette loi impose la localisation d’un certain type de données. Cela soulève de vrais sujets : comment on ré-architecture nos systèmes et nos solutions ? Comment imaginer l’expérience utilisateur de bout en bout. Comment gérer des solutions de big data ?
On a la chance d’avoir des équipes juridiques dédiées sur le sujet data au sens large, dont la intimité et les lois locales. On rêverait, effectivement, d’une forme de normalisation…
Il y a aussi un vrai sujet de guerre économique entre les États, qui nous dépasse. Il faut être prêt à devoir transférer ses données d’une région vers une autre. C’est, quelque part, la chance du nuage. On n’avait pas forcément cette possibilité auparavant, avec des centres de données locaux.
Au quotidien, je ne sais pas si on prend vraiment toute la mesure de la dimension géopolitique, alors qu’une entreprise multinationale comme la nôtre s’expose à plusieurs types d’attaque.
Cette année, nous avons rédigé notre plan de gestion de crise depuis dédié à ce sujet au même titre que nous avons des plans de gestion de crise « vol de données », « ransomware » ou « déni de service ».
Nous avions des points de présence au Kazakhstan, où il y a eu des émeutes… Nous avons beaucoup travaillé sur le cloisonnement réseau, ce qui nous donne la capacité d’isoler un pays.
Quel endroit pour l’Open source et sa sécurité ?
Farid Illikoud- Historiquement, Decathlon est une boîte de constructeurs. C’est 3500 personnes dans la tech et beaucoup de développeurs… qui privilégient tout naturellement l’Open source.
l’an dernier, grâce à nos équipes juridiques, puisque nous avons recruté quelqu’un de dédié sur le sujet. Parce qu’au-delà de l’aspect cyber, la question est légale. Est-ce que les briques qu’on utilise sont conformes au point de vue juridique ? Parfois, vous utilisez des briques logicielles qui deviennent payantes. Avec l’arrivée de cette personne, sur un posé un cadre : qu’est-ce que l’Open source ? Quelles sont les règles à adopter ? On a considéré ce sujet comme un risque, donc on l’a traité tel quel.
La notion de confiance zéro parle-t-elle au RSSI que vous êtes ?
Farid Illikoud- Le confiance zéro ? C’est un mot à la mode. Comme on parle, il y a cinq, six ans, de « composants nouvelle génération », par exemple pour les pare-feu. Le sujet, pour l’avoir traité longuement dans mon ancienne expérience, est un sujet de contrôle d’accès logique.
On revient juste sur la gestion des identités et on se dit : « Chaque composant doit être trusté et on sait que tel composant a le droit d’appeler tel autre parce qu’on a établi une relation de confiance. » Ça n’est pas plus que ça. Après, effectivement, lorsqu’on décline ce concept sur d’autres canapés et notamment le réseauc’est du cloisonnement, de la segmentation : quelle zone a le droit d’appeler quelle zone, avec quel type de protocole, sur quel port réseau… Là-dessus, vous venez de poser des règles, de sécurité, et surtout d’alerter : ça doit sonner tout de suite au niveau de votre SOC.
Un SOC dont vous rappelez le degré d’automatisation…
Farid Illikoud- Pour au moins deux raisons ! D’abord, la limitation des ressources. On est sur un marché pénurique. Decathlon a noué des partenariats avec des écoles et des universités. On investit beaucoup dans l’apprentissage et dans l’alternance. On appelle ça « l’école de la seconde chance ».
Ensuite, les attaques deviennent nombreuses. Même si vous avez un SOC hyper-bien dimensionné, vous ne pouvez pas faire face à un tel volume. Donc oui à l’automatisation. Mais là aussi, pas de mot à la mode. Tout en reconnaissant que ça reste compliqué : il faut gérer des faux positifs parce que les patterns d’attaque évoluent très vite.
On a investi dans un EDR – et donc un SOAR – depuis 18 mois. Aujourd’hui, en maîtrise bien le D de « détection ». Mais le R de « réponse » est très sensé. Soit vous le surcalibrez et, potentiellement, vous lancez des faux positifs et vous bloquez des ressources. Soit vous le sous-dimensionnez et potentiellement, vous laissez passer des attaques. Nous-mêmes, nous nous cherchons encore après 18 mois.
Notre modèle de SOC, qui existe depuis le mois de mai, est hybride. Pour plusieurs raisons, nous avons posé comme postulat que les outils et les solutions sont les nôtres. Nous avons des ressources en interne et si demain nous devions remettre en question notre partenariat avec le SOC, nous garderons la maîtrise de nos solutions, sans devoir repartir de zéro. La culture de la boîte, c’est très peu d’externalisation.
La cyber offensive fait-elle partie de votre arsenal ?
Farid Illikoud- On réaliser des exercices très spécifiques. Dernièrement, il s’est agi d’un scénario de vol de clé d’un compte cloud : une attaque « niveau zéro » qui arrive presque tous les jours.
D’un côté, nous avons une équipe rouge qui prépare le scénario, sous l’impulsion de notre Cloud Security Officer. En face, une l’équipe bleue (des personnes de notre SOC) à qui on a simplement dit :
« Vous allez faire face à un incident. » Et c’est la équipe rouge qui a gagné.
Entre autres points positifs, cela nous permet de développer des patterns d’automatisation : on détecte un fuite de clé et sur une remédiation automatique. Le prochain exercice est prévu en décembre. Les moyens sont un non-sujet. C’est juste une question de temps.
On se reconnaît dans ce que fait ManoMano. C’est ce que j’appelle de la sécurité innovante. Avec beaucoup de transparence, de communication et de partage de bonnes pratiques.
* Chez AWS, Farid Illikoud était chargé des programmes de certification. Il a notamment travaillé sur HDS et PCI-DSS. Ainsi qu’aux programmes de certification cloud européens (C5 en Allemagne, ENS en Espagne, GovCloud au UK…)
Décathlon, en chiffres
> 1750 magasins dans 70 pays
> 320 magasins en France
> 14 milliards € de chiffre d’affaires ( 25% en France)
> Plus de 100 000 collaborateurs
