Les Mousquetaires
Les Mousquetaires démontrent l’efficience du SOC hybride
Filiale informatique du Groupement Mousquetaires, la STIME s’appuie sur son partenaire I-Tracing pour gérer son SOC. Avec une intégration maximale, des ressources dédiées et une marge de manœuvre très grande laissée aux analystes pour intervenir en cas d’incident.
S’il est un géant de la distribution en France avec 7 enseignes et 55 milliards de chiffre d’affaires, le Groupement Mousquetaires a une organisation bien particulière. En tant que coopérative d'entrepreneurs indépendants, sa stratégie est réellement définie par les patrons de magasins, y compris la stratégie IT et Cyber.
Ainsi, la sécurité est gérée par Fabrice Bru, directeur Cybersécurité et Architecture du Groupement Mousquetaires et un membre du groupement, un directeur de magasin. Ce mode de management pousse nécessairement à un certain pragmatisme.
« Quand nous avons mis en place le SOC, notre volonté initiale était de rester simple et pragmatique », explique Fabrice Bru : « il n’était pas question que le SOC soit un outil du back-office de la DSI. Nous avons travaillé avec nos adhérents sur ce qu’ils redoutent le plus, et leur réponse était très simple : lorsque j’ai une question, à qui puis-je m’adresser. Quand j'ai un doute sur un mail, à qui je m'adresse ? Quand j'ai un problème avec un mot de passe, à qui je m'adresse ? Quand j'ai un incident sécu, un virus détecté, à qui je m'adresse ? C'est à partir de là qu'on a construit notre stratégie, au moins sur la réponse ».
Le système d’information des Mousquetaires repose sur un patrimoine de plus de 1 100 applications. La STIME possède 3 datacenters, gère 10 millions de commandes par an, 610 millions de transactions monétiques, son système d’information se compose de 75 000 serveurs, 25 000 caisses et 5 000 terminaux mobiles.
Un SOC au service des adhérents
De facto, le SOC a été imaginé comme une plateforme centralisée, avec l’obligation de répondre aux questions des adhérents. Ceux-ci peuvent le faire en envoyant un email à l’adresse SignalSpam les messages qui leur semblent suspects. Ils peuvent aussi appeler le SOC par téléphone comme ils peuvent appeler le support délivré par STIME pour leurs problèmes informatiques.
Le troisième rôle du SOC est d’être proactif vis-à-vis des adhérents et de les avertir des menaces en cours, notamment en cas de tentatives de fraude au président auprès de certains membres. Le SOC a l’autorisation d’appeler directement pour les prévenir d’une menace.
« Cette approche a nécessité énormément de travail autour de tout ce qui est la définition des processus internes », explique Fabrice Bru : « en cas d’attaque par credential stuffing, au-delà de la déclaration RGPD, nous faisons avec le DPO un dépôt de plainte systématique auprès de la BEFTI [Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information]. Ce nombre de plaintes était trop élevé, il a été convenu avec eux que le dépôt de plainte n’a lieu qu’au-delà d'un certain nombre de seuils d'identités fuitées… »
Le partenaire retenu par les Mousquetaires, c'est I-Tracing. Michael Bellot, responsable de la Sécurité des Systèmes d'Information du Groupement explique : « I-Tracing met à notre disposition des analystes qui nous sont dédiés, ce qui est un avantage par rapport à des analystes qui peuvent être mutualisés. De ce fait, ces personnes ont toute légitimité à contacter nos utilisateurs, nos points de vente ».
Depuis 6 ans que cette organisation a été mise en place, le SOC collecte de 4 à 5 To de données par jour et traite de l’ordre d’un millier d’incidents par an. Les analystes dédiés sont complètement intégrés aux équipes cyber de la STIME et chaque lundi, les incidents de la semaine précédente sont passés en revue afin notamment de relancer les équipes opérationnelles pour mener les remédiations nécessaires et procéder à une escalade des incidents demandent plus de temps d’analyse.
Fabrice Bru souligne « un point très important » : « les collaborateurs d’I-Tracing doivent parler le langage de la grande distribution. Nous bénéficions d’une assez grande stabilité dans les équipes du côté d’I-Tracing et ceux-ci jouent le jeu et viennent à nos séminaires internes, ils visitent les usines avec nous pour que nous ayons tous le même langage. Ils connaissent le contexte métier, ils savent de quoi ils parlent ».
Et d'insister sur le fait que le SOC est avant tout un achat de prestation de service. L’outillage n’est pas le cœur du sujet pour lui. Ses équipes évaluent, testent et négocient avec les éditeurs de logiciels, mais ce sera l’équipe SOC qui devra les opérer : « que ce soit le SIEM, que ce soit l’EDR ou la CTI, un de nos critères de choix est que nos équipes SOC sachent utiliser ces outils et soient formées sur ces outils, parce que c'est eux qui vont les utiliser au quotidien. Nous regardons les écrans de supervision pour avoir un petit état au matin, même si on a fait d'ailleurs un PowerBI pour avoir des choses beaucoup plus consolidées. Mais la problématique de l'outil, c'est une problématique pour nous du SOC, du centre de service ».
Michael Bellot précise que le business model de ce SOC hybride repose sur une maîtrise des coûts du SIEM et sur ce dispositif humain déployé par I-Tracing : « au niveau contractuel, à partir d'un certain seuil de logs collectées, nous devons prendre un analyste de plus ; Les analystes nous sont dédiés, mais sur certaines tâches, il s’agit d’ETP mutualisés sur le CERT, ou la mise en place de dashboards, par exemple ».
La STIME a négocié avec l’éditeur pour régler des licences par siège et non pas par volume, ce qui lui permet d’élargir ses périmètres de collecte. Aujourd'hui, celui-ci collecte les logs des briques d'infrastructures, des magasins et des bases logistiques, demain ce sera ceux de la soixantaine d’usines du groupement.
Plus d’autonomie laissée aux analystes
De son côté, Cyriaque Nemshi, responsable de SOC chez I-Tracing évoque ce besoin d’intégration souhaité par son client : « nous sommes prestataire, mais nous faisons le maximum au quotidien pour être au plus proche de n'importe quel interlocuteur du groupement des Mousquetaires. Cela peut être un consommateur, quelqu'un dans une usine, un point de vente, etc. ».
Le corollaire de cette approche est que l’analyse SOC est celui qui est le plus à même de répondre à un incident de sécurité : « nous sommes externes à l'entreprise, mais nous prenons en charge par défaut l'incident de sécurité, analysons, comprenons, parce qu'on connaît le contexte, parce qu'on fait en sorte au quotidien de mieux apprendre comment fonctionne de manière générale le système d'information ».
Cyriaque Nemshi explique jusqu’où son équipe peut aller : « en termes de capacité d'intervention et d'autonomie, souvent, ce qui est délégué au SOC, ça va être des actions du type bloquer une adresse IP au niveau des firewalls, bloquer un domaine au niveau des proxys, bloquer un compte Active Directory ».
Si la priorité est de minimiser l’impact sur l'activité des membres du groupement, certaines de ces actions peuvent avoir une incidence pour les collaborateurs ou pour certains services : « nous pouvons être amenés à bloquer et réinitialiser le mot de passe des clients d'Intermarché et d'Ecomarché pour lesquels on suspecte une compromission de leur compte. C'est quelque chose qui peut avoir beaucoup d'impact ».
Un impact pleinement assumé par Fabrice Bru : « pour reprendre une expression de Julien Dreano, le RSSI de Framatome, c’est un process "Block and Apologize". Donc, d'abord, je commence par couper, puis après, je m'excuse. C’est un process qu'on applique dans certains cas. »
Le SOC au cœur de la gestion de crise cyber
Les processus internes définissent jusqu’où les analystes peuvent aller en totale autonomie et à partir de quand, ils doivent lever la main. Ce mode de fonctionnement hybride se retrouve aussi en gestion de crise.
« Nous avons vécu deux grandes crises au sein du groupement depuis 3 ans et le SOC a été en première ligne », raconte Fabrice Bru : « quand nous organisons les réunions de crise, soit au sein de la cellule décisionnelle, soit pour avoir un éclairage, le SOC me donne tous les éléments pour que je puisse expliquer aux dirigeants de l'entreprise ce qui est en train de se passer. Alors, la cellule opérationnelle devient de fait la plaque tournante entre les équipes opérationnelles techniques, les équipes cyber qui investiguent pour leur indiquer les pistes de réflexion et ce qu’ils doivent faire. En parallèle, les équipes réseau et les équipes système étudient le côté plus production pour redémarrer ».
Pour Fabrice Bru, le SOC doit jouer un rôle pivot dans le pilotage de crise et, côté STIME, il n’y a finalement pas de distinction entre un incident et une gestion de crise, seulement plus de ressources à mobiliser chez son partenaire le temps de la crise.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
![]()
Intel et Nvidia visent les stations de travail d'IA avec leurs derniers systèmes sur puce
Par: Antone Gonsalves
-
![]()
Les Mousquetaires troquent leur antivirus au profit d’un EDR
Par: Alain Clapaud
-
![]()
Le groupe Vinci appuie son SOC sur un Microsoft Sentinel un peu particulier
Par: Alain Clapaud
-
![]()
Que sera le rôle du RSSI en 2025 ?
Par: Alain Clapaud
