Farid Illikoud - « Decathlon Technology, c'est 3500 personnes qui privilégient l'open source. »
Les Assises de la sécurité 2022 - Farid Illikoud est Group Chief Information Security Officer (CISO) de Decathlon Technology. Pour Silicon.fr, il détaille les grands axes de sa stratégie cyber.
Silicon.fr - Il y a deux ans, vous arriviez chez Decathlon en provenance d'AWS...
Farid Illikoud - Chez AWS*, j'ai l'impression d'avoir eu un coup d'accélération en formation. En même temps, je savais que je m'y engageais pour un temps limité. Je trouvais ma valeur plus importante chez le client final.
C'était aussi lié au désir de mon chef actuel, le Chief Digital Officer. Lorsqu'il a rejoint Decathlon, il a dit : « Si on veut devenir un géant du digital pour mieux accompagner l'accélération de l'entreprise, il faut qu'on soit bon en cybersécurité. »
Mon mandat, c'était de mettre de la cybersécurité dans une entreprise qui est traditionnellement un acteur du retail. Et le retail et la sécurité, ça fait deux ! Deuxième mission : créer une gouvernance mondiale. Decathlon, c'est 300 magasins en France mais 1700 au niveau mondial, des chaînes logistiques, des chaînes de transport, des sites web différents... Et ne l'oublions pas : Decathlon reste une boîte de conception : textiles, chaussures...
Lire aussi : Olivier Hoberdon - DSI Bouygues SA : « Avec NIS 2, on ne peut plus se cacher et on ne peut plus jouer avec le feu »
Decathlon a choisi AWS et Google Cloud . Pas de trace d'un cloud « souverain »...
Farid Illikoud - C'est une vraie difficulté d'être multicloud. Mais cela assure une résilience et permet de ne pas être locké auprès d'un seul CSP.
Pourquoi parler de cloud souverain pour une entreprise présente dans 70 pays ? Je peux être conforme à la réglementation « souveraine » - pour peu que l'on arrive enfin à la définir - mais je ne serai pas conforme de la même façon selon que l'on se réfère au contexte réglementaire chinois, singapourien ou brésilien...
J'ai des difficultés avec cette lecture selon laquelle « vous êtes une société française, il faut aller sur le cloud souverain. » Nous, ce qu'on veut, c'est répondre à l'ensemble des exigences réglementaires où Decathlon opère.
Au-delà de la conformité et de la privacy, il y a de vrais sujets de time to market et de latence. Il serait impensable pour une entreprise comme Decathlon d'être uniquement sur des infrastructures localisées en France et en Europe.
Qu'implique plus précisément, en matière juridique, cette présence internationale ?
Farid Illikoud - Une surveillance continue de l'évolution de la conformité. En Californie, par exemple, le CCPA (California Consumer Privacy Act) va évoluer début 2023.
Depuis deux ans, on travaille sur PIPL (Personal Information Protection Law) en Chine. Comme le RGPD, cette loi impose la localisation d'un certain type de données. Cela soulève de vrais sujets : comment on réarchitecture nos systèmes et nos solutions ? Comment imaginer l'expérience utilisateur de bout en bout ? Comment gérer des solutions de big data ?
On a la chance d'avoir des équipes juridiques dédiées sur le sujet data au sens large, dont la privacy et les lois locales. On rêverait, effectivement, d'une forme de normalisation...
Il y a aussi un vrai sujet de guerre économique entre les États, qui nous dépasse. Il faut être prêt à devoir transférer ses données d'une région vers une autre. C'est, quelque part, la chance du cloud. On n'avait pas nécessairement cette possibilité auparavant, avec des datacenters locaux.
Au quotidien, je ne sais pas si on prend vraiment toute la mesure de la dimension géopolitique : une entreprise multinationale comme la nôtre s'expose à plusieurs types d'attaques.
Depuis cette année, nous avons rédigé notre plan de gestion de crise dédié à ce sujet au même titre que nous avons des plans de gestion de crise « vol de données », « ransomware » ou « déni de service ».
Nous avions des points de présence au Kazakhstan, où il y a eu des émeutes... Nous avons beaucoup travaillé sur le cloisonnement réseau, ce qui nous donne la capacité d'isoler un pays.
Quelle place pour l'open source et sa sécurité ?
Farid Illikoud - Historiquement, Decathlon est une boîte de builders. C'est 3500 personnes dans la tech et beaucoup de développeurs... qui privilégient tout naturellement l'open source.
Depuis l'an dernier, grâce à nos équipes juridiques, nous avons recruté quelqu'un de dédié sur le sujet. Parce qu'au-delà de l'aspect cyber, la question est légale. Est-ce que les briques qu'on utilise sont conformes du point de vue juridique ? Parfois, vous utilisez des briques logicielles qui deviennent payantes. Avec l'arrivée de cette personne, on a posé un framework : qu'est-ce que l'open source ? Quelles sont les règles à adopter ? On a considéré ce sujet comme un risque, donc on l'a traité tel quel.
La notion de zero trust parle-t-elle au RSSI que vous êtes ?
Farid Illikoud - Le zero trust ? C'est un buzzword. Comme on parlait, il y a cinq, six ans, de « composants next-generation », par exemple pour les firewalls. Le sujet, pour l'avoir traité longuement dans mon ancienne expérience, est un sujet de contrôle d'accès logique.
On revient juste sur la gestion des identités et on se dit : « Chaque composant doit être trusté et on sait que tel composant a le droit d'appeler tel autre parce qu'on a établi une relation de confiance. » Ça n'est pas plus que ça. Après, effectivement, lorsqu'on décline ce concept sur d'autres couches et notamment le network, c'est du cloisonnement, de la segmentation : quelle zone a le droit d'appeler quelle zone, avec quel type de protocole, sur quel port réseau... Là-dessus, vous venez poser des règles, de sécurité, et surtout d'alerting : ça doit sonner tout de suite au niveau de votre SOC.
Un SOC dont vous aimez rappeler le degré d'automatisation...
Farid Illikoud - Pour au moins deux raisons ! D'abord, la limitation des ressources. On est sur un marché pénurique [sic]. Decathlon a noué des partenariats avec des écoles et des universités. On investit beaucoup dans l'apprentissage et dans l'alternance. On appelle ça « l'école de la seconde chance ».
Ensuite, les attaques deviennent nombreuses. Même si vous avez un SOC hyper-bien dimensionné, vous ne pouvez pas faire face à un tel volume. Donc oui à l'automatisation. Mais là aussi, pas de buzzword. Tout en reconnaissant que ça reste compliqué : il faut gérer des faux positifs parce que les patterns d'attaque évoluent très vite.
Lire aussi : IaaS : Google, plus "visionnaire" que les autres ?
On a investi dans un EDR - et donc un SOAR - depuis 18 mois. Aujourd'hui, on maîtrise bien le D de « détection ». Mais le R de « réponse » est très sensible. Soit vous le surcalibrez et, potentiellement, vous lancez des faux positifs et vous bloquez des ressources. Soit vous le sous-dimensionnez et potentiellement, vous laissez passer des attaques. Nous-mêmes, nous nous cherchons encore après 18 mois.
Notre modèle de SOC, qui existe officiellement depuis le mois de mai, est hybride. Pour plusieurs raisons, nous avons posé comme postulat que les outils et les solutions sont les nôtres. Nous avons des ressources en interne et si demain nous devions remettre en question notre partenariat avec le SOC, nous garderons la maîtrise de nos solutions, sans devoir repartir de zéro. La culture de la boîte, c'est très peu d'externalisation.
La cyber offensive fait-elle partie de votre arsenal ?
Farid Illikoud - On réalise des exercices très spécifiques. Dernièrement, il s'agissait d' un scénario de vol de clé d'un compte cloud : une attaque « niveau zéro » qui arrive quasiment tous les jours.
D'un côté, nous avons une red team qui prépare le scénario, sous l'impulsion de notre Cloud Security Officer. En face, une blue team (des personnes de notre SOC) à qui on a simplement dit : « Vous allez faire face à un incident. » Et c'est la red team qui a gagné.
Entre autres points positifs, cela nous permet de développer des patterns d'automatisation : on détecte un leak de clé et on a une remédiation automatique. Le prochain exercice est prévu en décembre. Les moyens sont un non-sujet. C'est juste une question de temps.
On se reconnaît beaucoup dans ce que fait ManoMano. C'est ce que j'appelle de la sécurité innovante. Avec beaucoup de transparence, de communication et de partage de bonnes pratiques.
* Chez AWS, Farid Illikoud était chargé des programmes de certification. Il a notamment travaillé sur HDS et PCI-DSS. Ainsi qu'aux programmes de certification cloud européens (C5 en Allemagne, ENS en Espagne, GovCloud au UK...)
Decathlon, en chiffres
> 1750 magasins dans 70 pays
> 320 magasins en France
> 14 milliards € de chiffre d'affaires (25 % en France)
> Plus de 100 000 collaborateurs
Sur le même thème
Voir tous les articles Cybersécurité