Comment Carrefour a musclé sa cybersécurité avant les JO 2024
Beaucoup prophétisaient un Armageddon Cyber contre les infrastructures IT de Paris 2024 et de ses partenaires. Il n’en a rien été, mais Carrefour avait pris quelques dispositions pour s’assurer que sa logistique olympique remporte une médaille.
C’est la première fois qu’un acteur de la grande distribution était partenaire des Jeux olympiques. Pour Carrefour, c’était un peu un saut dans l’inconnu, notamment pour assurer le ravitaillement du village olympique et des athlètes particulièrement voraces, mais aussi sur le plan cybersécurité.
Si le site Web Carrefour.fr, qui connaît une moyenne de 1 000 attaques par mois, n’a pas été particulièrement visé par les attaquants, la crainte d’immobilisation de la chaîne logique de Carrefour était bien réelle.
Le groupe devait faire certifier sa chaîne logistique des JO par Eviden, en charge de la cybersécurité des Jeux olympiques : « nous avons dû faire certifier l’un de nos entrepôts afin de garantir la traçabilité et les flux de marchandises dans l’entrepôt et vers les points de livraison », explique Guillaume Cécile, SecOps Manager et CISO de Carrefour Group.
« Les magasins ont été prêts à ouvrir entre 5 à 10 jours seulement avant l’arrivée des athlètes. »
Guillaume CécileSecOps Manager et CISO de Carrefour Group
Des quais de chargement ont été dédiés aux Jeux, de même que des camions et des chauffeurs pour rentrer plus facilement dans le village olympique. Il s’agissait de s’assurer que les produits qui allaient alimenter les restaurants de celui-ci ne soient pas contaminés, de même que les produits commercialisés dans les 3 points de vente éphémères mis en place dans le village olympique, au Broadcast Center au Bourget et au village des médias.
Un gros chantier en amont a été mené pour préparer la chaîne logistique des JO à tenir le choc de cet événement sans précédent pour l’enseigne : les magasins éphémères ont été construits sur le site Carrefour de Massy, puis ils ont été déplacés sur les sites olympiques.
« Les magasins ont été prêts à ouvrir entre 5 à 10 jours seulement avant l’arrivée des athlètes », se rappelle Guillaume Cécile.
Assurer une sécurité physique et cyber de la chaîne logistique des Jeux
Du point de vue de la cybersécurité, le CISO souhaitait identifier en amont des jeux tous les actifs qui allaient être connectés au réseau dédié aux Jeux olympiques.
Il s’agissait de disposer d’une cartographie complète et à jour du réseau pour être capable de générer des alertes lorsque de nouveaux équipements y sont connectés ou lorsque cette topologie était modifiée. « Un deuxième cas d’usage à traiter consistait à être sûrs que tous les équipements sur le périmètre JO étaient conformes à notre politique de sécurité, avec un EDR présent sur l’équipement, que le patch management soit à jour, que l’équipement soit déclaré dans l’Active Directory et le MDM », explique Guillaume Cécile.
En outre, il voulait disposer d’une vision complète sur les équipements OT en production dans les entrepôts, dont les lecteurs de code-barres, les chariots connectés et les équipements mécaniques sur la chaîne de préparation automatisée. Enfin, Carrefour souhaitait mettre en place une analyse du trafic réseau pour, après un apprentissage de quelques jours, détecter toute variation anormale sur un flux et déclencher une alerte.
La solution Armis Centrix VIPR a été déployée sur 3 périmètres : d’une part, au siège du distributeur d’où l’activité logistique est pilotée, dans les 8 entrepôts impliqués dans l’approvisionnement des Jeux et dans les 3 magasins éphémères. « Un collecteur [une sonde, N.D.L.R.] a été déployé au siège notamment pour détecter les nouveaux équipements, mais aussi surveiller les flux d’administration à destination des entrepôts et des magasins », explique Guillaume Cécile.
En outre, « un collecteur a été déployé dans chacun des 8 entrepôts et le vrai défi pour nous portait sur le volet conformité de ces entrepôts et la bonne identification des flux entre les entrepôts et nos datacenters. Enfin, un collecteur a été installé dans chaque magasin pour détecter les nouveaux appareils et contrôler les flux avec les datacenters ».
Dans le cadre de ce projet, 157 intégrations avec la plateforme SaaS d’Armis ont été réalisées, dont celle avec l’EDR de CrowdStrike, le CNAPP de Carrefour, ou encore Microsoft SCCM, les bornes Wi-Fi, le serveur DHCP et les hyperviseurs. 63 périmètres ont été déclarés et 61 plages IP/VLAN sous surveillance de l’outil.
Des devices parfois étonnants connectés au réseau d’entreprise
L’activation de l’outil a permis de détecter diverses anomalies plus ou moins attendues. Ainsi, dans les entrepôts, l’outil a repéré les consoles de jeux installées dans les salles de repos qui étaient connectées au réseau interne… Mais plus surprenant, la pompe à insuline d’un collaborateur a elle aussi été repérée sur le réseau d’entreprise, de même que de nombreux smartphones et autres montres connectées.
Plus exotique, un Raspberry Pi était utilisé pour faire du dashboarding dans une salle de réunion et la Tesla d’un collaborateur profitait de la bande passante de l’entreprise pour réaliser ses mises à jour… Les consoles ont été basculées sur le Wi-Fi partenaire de l’entrepôt et les salariés ont été priés de bien vouloir utiliser le Wi-Fi public à leur disposition…
Dans les entrepôts eux-mêmes, le logiciel a découvert un équipement OT, un simple équipement de routage sur un système de transfert de cartons, qui échangeait en Telnet avec l’extérieur sans chiffrement : « cet équipement n’avait pas été patché depuis son installation, 15 ans plus tôt. Il était normal qu’il fasse de la communication sortante, mais personne ne le savait sur le site », explique Guillaume Cécile.
« Lorsque l’outil remonte des milliers de vulnérabilités, il faut pouvoir traiter en priorité celles qui sont réellement les plus critiques ».
Guillaume CécileSecOps Manager et CISO de Carrefour Group
Autre mauvaise surprise, un PC de pilotage du froid de la cellule froide de l’entrepôt avait été installé là en Shadow IT. Cette machine sous Windows 7 avait son service de partage de fichiers SMBv1 actif, qui plus est avec identifiants par défaut… Pire, cette machine particulièrement vulnérable était accessible de l’extérieur via un boîtier de communication de type box de FAI : « lorsque nous avons découvert ces anomalies dans ces 8 premiers entrepôts, nous avons immédiatement lancé un inventaire dans nos autres entrepôts pour voir si nous pouvions retrouver ce type de signature et couvrir rapidement ce risque. Deux autres systèmes mécaniques ont été effectivement découverts avec des failles ». Carrefour compte de l’ordre de 70 entrepôts en France.
Pour les magasins éphémères, ceux-ci étant entièrement nouveaux, le CISO pouvait estimer que les systèmes seraient à jour dans leurs patchs et que ceux-ci embarqueraient toutes les briques de sécurité du groupe… mais il n’en était rien. Le prestataire en charge de l’installation des caisses n’a pas pris le bon master et n’a pas installé la bonne version de l’EDR. De même, ces postes n’étaient pas intégrés à Microsoft SCCM…
Enfin, au siège, l’équipe Cyber a trouvé un vieux PC utilisé pour faire du reporting en Shadow IT dans un bureau et qui n’était pas référencé par la DSI. De même, un ancien équipement réseau a été découvert sur le backbone réseau du siège. Son système d’exploitation n’était plus supporté et affligé de plusieurs vulnérabilités, pour lesquelles les correctifs n’avaient pas été appliqués. Ce système devait être décommissionné deux ans plus tôt, mais cela n’avait jamais été fait.
Des surprises attendues du CISO
Si ce palmarès paraît alarmant, le CISO tempère la gravité de ces découvertes : « il s’agit de pratiquement l’intégralité de tout ce qui a été découvert et cela nous a permis de réfléchir à la manière de retrouver ces vulnérabilités ailleurs. Nous avons bien évidemment trouvé des retards de patchs sur d’autres actifs, mais rien de critique ».
Aujourd’hui, Carrefour exploite l’outil Armis VIPR mais aussi la plateforme de VOC (Vulnerability Operation Center) Armis Centrix qui vient alimenter le SOC de Carrefour avec les alertes relatives aux actifs. Selon Guillaume Cécile, « cela nous permet de réagir très vite et surtout de prioriser nos actions, car lorsque l’outil remonte des milliers de vulnérabilités, il faut pouvoir traiter en priorité celles qui sont réellement les plus critiques ».
Fin 2024, 9 membres de l’équipe de cybersécurité connaissaient l’outil, dont une personne réellement experte de l’outil. Cette approche avait déjà été appliquée pour l’EDR de CrowdStrike, et pour d’autres solutions de sécurité, afin d’avoir des temps de réponse les plus restreints possibles et un point de contact privilégié avec l’éditeur.
La solution a permis à Carrefour d’être prêt mi-juin 2024, bien avant le début des jeux le 26 juillet. Un programme doit être lancé cette année afin de répliquer ce qui a été fait pour les JO dans tous les entrepôts Carrefour de France. « Nous allons ensuite embarquer d’autres pays dans l’outil Armis pour leur donner la visibilité dont nous avons pu bénéficier avant les JO et avoir une démarche comparable à la nôtre », conclut Guillaume Cécile.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
