L’Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa) a fait d’octobre le Mois de la cybersécurité. L’occasion pour Alliancy de s’entretenir avec Farid Illikoud, Group Chief Information Security Officer chez Decathlon Technology, l’entité chargée de la digitalisation du groupe.

Alliancy : Pouvez-vous présenter brièvement Decathlon Technology ?

Farid Illikoud : Decathlon compte plus de 100 000 collaborateurs, 400 points de vente et 1 800 magasins répartis dans 70 pays à travers le monde. Fort de 3 500 collaborateurs, Decathlon Technology est chargé de la conception et de la production de solutions innovantes pour les métiers de la logistique. J’ai rejoint cette entité il y a deux ans avec comme challenge d’augmenter le niveau général de cybersécurité du groupe. Et force est de constater que le secteur du retail était plutôt en retard sur ces enjeux.

Quelle est la recette d’une organisation digitale efficace contre les risques de cybersécurité ?

Il a fallu déjà faire un travail de simplification du sujet technique lié à la cybersécurité. Il est fondamental que le métier de RSSI (Responsable de la Sécurité des Systèmes d’Information) soit au plus proche des enjeux de l’entreprise, avec une bonne compréhension de toute la chaîne de valeur. Une approche en 360° de tous les clients et partenaires impliqués dans l’écosystème.

Le RSSI n’a pas qu’une vision financière et juridique, il lui faut aussi une vision très terre à terre. Il a pour mission de définir un modèle de responsabilité partagée clair et qui ne repose pas sur un guide cyber de 50 pages que personne ne lira. Des lignes de conduites claires doivent être formulées ainsi que des dispositifs de contrôle de niveau 1, 2 et 3 pour assurer une bonne sécurité de l’entreprise au sein de son écosystème.

Il est important que la DSI (Direction du Système d’Information) soit dans une forme d’indépendance dans les conseils et les recommandations qu’elle peut faire au Comex. Elle doit intervenir très tôt dans la phase d’élaboration des projets et ensuite assurer le suivi avec des audits et contrôles de sécurité. Ce modèle de responsabilité partagée doit s’inscrire dans une stratégie de comitologie, autrement dit la DSI dispose d’un rôle clé au sein des organes de contrôle et de décision du groupe.

De mon côté, j’ai fait le choix de nommer un security officer pour chaque business unit. Il s’agit donc d’une douzaine de security officers qui travaillent au plus près des métiers pour élaborer des plans de transformation concrets. 

À lire aussi : Jérôme Dubreuil (Decathlon) : « Le management de la donnée donne de la valeur à notre chaîne logistique »

La multiplication des attaques de type supplychain – comme celle de SolarWinds il y a deux ans – est-elle un mauvais signe pour la confiance dans son écosystème ? Les entreprises doivent-elles rendre leurs critères plus stricts pour l’admission de nouveaux fournisseurs et partenaires dans leur réseau ?

Je suis assez étonné qu’on en parle seulement depuis si peu. Chez Decathlon, nous avons déjà prévu de longue date plusieurs dispositifs contractuels qui nous protègent de nos partenaires en imposant des audits et reporting précis sur leur niveau de sécurité. Ce travail implique une bonne connexion entre les équipes juridique, achats et cybersécurité. 

SolarWinds a montré à quel point des grands éditeurs comme Microsoft sont aussi vulnérables. Nous le savions déjà mais ce qui nous ennuie le plus c’est plutôt l’absence de responsabilité de ces fournisseurs en cas de failles. Les entreprises n’attendent pas de ces plateformes des mises à jour régulières de patch, elles ont besoin davantage de transparence pour mieux comprendre le degré de défense des solutions en profondeur. 

Quels autres choix technologiques à faire pour garantir une meilleure protection des données ?

Il faut devenir davantage proactifs et nous avons par exemple besoin de recherche en quantique pour prévoir l’affaiblissement à venir de nos modèles cryptographiques. Si les attaquants mettent la main sur l’ordinateur quantique, nous ne serons tout simplement pas prêts à nous défendre. C’est le même constat avec les nouveaux risques qui émergent autour du Web3 ou du métavers. Il faut se préparer dès maintenant pour s’adapter au changement, et aux risques qui en découlent.

Il y a dix ans en arrière, l’entreprise était assez refermée sur elle-même. Aujourd’hui une logique d’honnêteté s’impose : il est primordial d’admettre la faillibilité de ses systèmes. Elle gagnerait à faire preuve de plus de transparence, tout simplement parce que ses clients seront plus à même de la pardonner en cas de cyberattaque. 

Quels sont vos principaux défis ?

De manière générale, le risque cyber en 2022 s’accélère de manière constante. Le vol de données est toujours important au même titre que les vols de brevets ou de propriété intellectuelle qui peuvent s’avérer être une perte d’avantage compétitif non négligeable sur le marché. Dans le même temps, les cyberattaques de type APT ou ransomwares avancés restent      la menace numéro une. C’est un risque complexe qui se manifeste aussi à travers tous les tiers et partenaires de l’écosystème. Chez Decathlon, le fait d’être présent dans 70 pays augmente évidemment la surface d’attaque potentielle. 

Face à ce constat, l’enjeu prioritaire reste de pallier la pénurie de compétences et je suis assez déçu de voir que la France ne forme toujours pas suffisamment à la cyber. Les cybermenaces sont de plus en plus pressantes et en face, le marché mondial engendre une inflation sur les salaires. Résultat, les talents se vendent à prix d’or et les entreprises françaises ont parfois du mal à s’adapter à la logique de marché     .

C’est pourquoi Decathlon a investi largement dans l’apprentissage et l’alternance par le biais de partenariats avec des écoles et universités. Nous prévoyons de recruter 1 000 nouveaux contrats en alternance et 2 000 stagiaires en 2022. Et en complément, nous avons également annoncé l’ouverture de notre premier Centre de formation Decathlon sur la réparation de matériel sportif, par exemple. 

Le cybercampus a justement été créé pour régler le problème de pénurie de talents…

Lorsque j’entends que des équipes doivent se délocaliser directement au cybercampus, je reste assez perplexe. Il y a une forme d’entre-soi qui coupe les cyber-talents des réalités de l’entreprise et des métiers. Je suis plutôt en faveur d’une DSI complètement intégrée et formée grâce à un réel dispositif de transparence et de partage d’informations. La cyber n’est donc en soi pas uniquement liée à une question de budget mais dépend du niveau d’information à disposition le plus tôt possible.

À l’occasion du salon de la cybersécurité FIC 2022 qui s’est tenu à Lille en juin dernier, Decathlon a organisé une session de chasse en direct des lacunes de sa plateforme e-commerce en matière de cybersécurité. Un « Live Bug Bounty » en partenariat avec les hackers éthiques de la plateforme YesWeHack qui ont permis de découvrir 27 vulnérabilités dont 3 critiques. Pouvez- nous en dire plus sur ce type d’initiative ?

Nous soumettons nos systèmes d’information au bug bounty de YesWeHack depuis deux ans maintenant et cela nous permet de montrer auprès de la communauté cyber et de nos clients comment Decathlon innove en la matière. Il ne faut pas oublier que la cyber est un facteur de confiance dans la manière de protéger nos actifs et ceux de nos clients.

En parallèle, la stratégie data Cyber, est tout autant      primordiale et celle-ci est menée autour de cinq piliers que sont la gouvernance, le management du risque, l’expertise, l’audit & le contrôle et la sécurité opérationnelle. Cette stratégie n’est pas limitée à la traçabilité des données mais aussi à l’identification des faisceaux d’attaque. La prochaine étape de notre côté est d’investir davantage dans l’intelligence artificielle et modèles de machine learning pour devenir plus proactifs sur les cyber-risques. 

Le spectre d’attaques informatiques ne va pas se réduire avec le temps et nous devons absolument investir dans les technologies de machine learning pour mieux nous protéger. L’adoption d’une posture CSPM (Cloud Security Posture Management) est essentielle pour surveiller nos systèmes cloud et détecter les patterns d’attaque qui nécessitent une réponse automatique. L’automatisation est la clé, au même titre que la recherche et développement. 

Qu’attendez-vous du Mois de la cybersécurité ?

Ce mois d’octobre est l’occasion d’enrichir notre stratégie Cyber et de contribuer à la sensibilisation des organisations tant publiques que privées aux risques cyber. Nous sommes engagés depuis plus d’un an à faire cette pédagogie pour l’ensemble de l’écosystème et des métiers. Le but n’est pas de créer des formations pointues techniquement parlant mais plutôt de réaliser des formats ludiques comme des vidéos qui vulgarisent les bons réflexes de cybersécurité.