Comment Carrefour a musclé sa cybersécurité avant les JO 2024

Assurer une sécurité physique et cyber de la chaîne logistique des Jeux

Du point de vue de la cybersecurité, le CISO souhaitait identifier en amont des jeux tous les actifs qui allaient être connectés au réseau dédié aux Jeux Olympiques.

Il s’agissait de disposer d’une cartographie complète et à jour du réseau pour être capable de générer des alertes lorsque de nouveaux équipements y sont connectés ou lorsque cette topologie était modifiée. « Un deuxième cas d’usage à traiter consistait à être sûrs que tous les équipements sur le périmètre JO étaient conformes à notre politique de sécurité, avec un EDR présent sur l’équipement, que le patch management soit à jour, que l’équipement soit déclaré dans l’Active Directory et le MDM », explique Guillaume Cécile.

En outre, il voulait disposer d'une vision complète sur les équipements OT en production dans les entrepôts, dont les lecteurs de code-barres, les chariots connectés et les équipements mécaniques sur la chaine de préparation automatisée. Enfin, Carrefour souhaitait mettre en place une analyse du trafic réseau pour, après un apprentissage de quelques jours, détecter toute variation anormale sur un flux et déclencher une alerte.

La solution Armis Centrix VIPR a été déployée sur 3 périmètres : d’une part, au siège du distributeur d’où l’activité logistique est pilotée, dans les 8 entrepôts impliqués dans l’approvisionnement des Jeux et dans les 3 magasins éphémères. « Un collecteur [une sonde, N.D.L.R.] a été déployé au siège notamment pour détecter les nouveaux équipements, mais aussi surveiller les flux d’administration à destination des entrepôts et des magasins », explique Guillaume Cécile.

En outre, « un collecteur a été déployé dans chacun des 8 entrepôts et le vrai défi pour nous portait sur le volet conformité de ces entrepôts et la bonne identification des flux entre les entrepôts et nos datacenters. Enfin, un collecteur a été installé dans chaque magasin pour détecter les nouveaux appareils et contrôler les flux avec les datacenters ».

Dans le cadre de ce projet, 157 intégrations avec la plateforme SaaS d’Armis ont été réalisées, dont celle avec l’EDR de CrowdStrike, le CNAPP de Carrefour, ou encore Microsoft SCCM, les bornes Wi-Fi, le serveur DHCP et les hyperviseurs. 63 périmètres ont été déclarés et 61 plages IP/VLAN sous surveillance de l’outil.

Des devices connectés au réseau d’entreprise parfois étonnants

L’activation de l’outil a permis de détecter diverses anomalies plus ou moins attendues. Ainsi, dans les entrepôts, l’outil a repéré les consoles de jeux installées dans les salles de repos qui étaient connectées au réseau interne… Plus surprenant, la pompe à insuline d’un collaborateur a elle-aussi été repérée sur le réseau d'entreprise, de même que de nombreux smartphones et autres montres connectées.

Plus exotique, un Raspberry Pi était utilisé pour faire du dashboarding dans une salle de réunion et la Tesla d’un collaborateur profitait de la bande passante de l’entreprise pour réaliser ses mises à jour... Les consoles ont été basculées sur le Wi-Fi partenaire de l’entrepôt et les salariés priés de bien vouloir utiliser le Wi-Fi public à leur disposition…

Dans les entrepôts eux-mêmes, le logiciel a découvert un équipement OT, un simple équipement de routage sur un système de transfert de cartons, qui échangeait en Telnet avec l’extérieur sans chiffrement : « cet équipement n’avait pas été patché depuis son installation, 15 ans plus tôt. Il était normal qu’il fasse de la communication sortante, mais personne ne le savait sur le site », explique Guillaume Cécile.

Autre mauvaise surprise, un PC de pilotage du froid de la cellule froide de l’entrepôt avait été installé là en Shadow IT. Cette machine sous Windows 7 avait son service de partage de fichiers SMBv1 actif, qui plus est avec identifiants par défaut… Pire, cette machine particulièrement vulnérable était accessible de l’extérieur via un boitier de communication de type box de FAI : « lorsque nous avons découvert ces anomalies dans ces 8 premiers entrepôts, nous avons immédiatement lancé un inventaire dans nos autres entrepôts pour voir si nous pouvions retrouver ce type de signature et couvrir rapidement ce risque. Deux autres systèmes mécaniques ont été effectivement découverts avec des failles ». Carrefour compte de l’ordre de 70 entrepôts en France.

Pour les magasins éphémères, ceux-ci étant entièrement nouveaux, le CISO pouvait estimer que les systèmes seraient à jour dans leurs patchs et que ceux-ci embarqueraient toutes les briques de sécurité du groupe… mais il n’en était rien ! Le prestataire en charge de l’installation des caisses n’a pas pris le bon master et n’a pas installé la bonne version de l’EDR. De même, ces postes n’étaient pas intégrés à Microsoft SCCM…

Enfin, au siège, l’équipe Cyber a trouvé un vieux PC utilisé pour faire du reporting en Shadow IT dans un bureau et qui n’était pas référencé par la DSI. De même, un ancien équipement réseau a été découvert sur le backbone réseau du siège. Son système d'exploitation n’était plus supporté et affligé de plusieurs vulnérabilités pour lesquelles les correctifs n'avaient pas été appliqués. Ce système devait être décommissionné deux ans plus tôt, mais cela n’avait jamais été fait.

Des surprises attendues du CISO

Si ce palmarès parait alarmant, le CISO tempère la gravité de ces découvertes : « il s’agit de pratiquement l’intégralité de tout ce qui a été découvert et cela nous a permis de réfléchir à la manière de retrouver ces vulnérabilités ailleurs. Nous avons bien évidemment trouvé des retards de patchs sur d’autres actifs, mais rien de critique ». 

Aujourd’hui, Carrefour exploite l’outil Armis VIPR mais aussi la plateforme de VOC (Vulnerability Operation Center) Armis Centrix qui vient alimenter le SOC de Carrefour avec les alertes relatives aux actifs : « cela nous permet de réagir très vite et surtout de prioriser nos actions, car lorsque l’outil remonte des milliers de vulnérabilités, il faut pouvoir traiter en priorité celles qui sont réellement les plus critiques ».

Fin 2024, 9 membres de l’équipe de cybersécurité connaissaient l’outil, dont une personne réellement experte de l’outil. Cette approche avait déjà été appliquée pour l’EDR de CrowdStrike, et pour d’autres solutions de sécurité, afin d’avoir des temps de réponse les plus restreints possibles et un point de contact privilégié avec l’éditeur.

La solution a permis à Carrefour d’être prêt mi-juin 2024, bien avant le début des jeux le 26 juillet. Un programme doit être lancé cette annee afin de répliquer ce qui a été fait pour les JO dans tous les entrepôts Carrefour de France. « Nous allons ensuite embarquer d’autres pays dans l’outil Armis pour leur donner la visibilité dont nous avons pu bénéficier avant les JO et avoir une démarche comparable à la nôtre », conclut Guillaume Cécile.