L’Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa) a fait d’octobre le Mois de la cybersécurité. L’occasion pour Alliancy de s’entretenir avec Farid Illikoud, Group Chief Information Security Officer chez Decathlon Technology, l’entité chargée de la digitalisation du groupe.
Farid Illikoud, Group Chief Information Security Officer chez Decathlon Technology
Farid Illikoud : Decathlon compte plus de 100 000 collaborateurs, 400 points de vente et 1 800 magasins répartis dans 70 pays à travers le monde. Fort de 3 500 collaborateurs, Decathlon Technology est chargé de la conception et de la production de solutions innovantes pour les métiers de la logistique. J’ai rejoint cette entité il y a deux ans avec comme challenge d’augmenter le niveau général de cybersécurité du groupe. Et force est de constater que le secteur du retail était plutôt en retard sur ces enjeux.
Il a fallu déjà faire un travail de simplification du sujet technique lié à la cybersécurité. Il est fondamental que le métier de RSSI (Responsable de la Sécurité des Systèmes d’Information) soit au plus proche des enjeux de l’entreprise, avec une bonne compréhension de toute la chaîne de valeur. Une approche en 360° de tous les clients et partenaires impliqués dans l’écosystème.
Le RSSI n’a pas qu’une vision financière et juridique, il lui faut aussi une vision très terre à terre. Il a pour mission de définir un modèle de responsabilité partagée clair et qui ne repose pas sur un guide cyber de 50 pages que personne ne lira. Des lignes de conduites claires doivent être formulées ainsi que des dispositifs de contrôle de niveau 1, 2 et 3 pour assurer une bonne sécurité de l’entreprise au sein de son écosystème.
Il est important que la DSI (Direction du Système d’Information) soit dans une forme d’indépendance dans les conseils et les recommandations qu’elle peut faire au Comex. Elle doit intervenir très tôt dans la phase d’élaboration des projets et ensuite assurer le suivi avec des audits et contrôles de sécurité. Ce modèle de responsabilité partagée doit s’inscrire dans une stratégie de comitologie, autrement dit la DSI dispose d’un rôle clé au sein des organes de contrôle et de décision du groupe.
De mon côté, j’ai fait le choix de nommer un security officer pour chaque business unit. Il s’agit donc d’une douzaine de security officers qui travaillent au plus près des métiers pour élaborer des plans de transformation concrets.
À lire aussi : Jérôme Dubreuil (Decathlon) : « Le management de la donnée donne de la valeur à notre chaîne logistique »
Je suis assez étonné qu’on en parle seulement depuis si peu. Chez Decathlon, nous avons déjà prévu de longue date plusieurs dispositifs contractuels qui nous protègent de nos partenaires en imposant des audits et reporting précis sur leur niveau de sécurité. Ce travail implique une bonne connexion entre les équipes juridique, achats et cybersécurité.
SolarWinds a montré à quel point des grands éditeurs comme Microsoft sont aussi vulnérables. Nous le savions déjà mais ce qui nous ennuie le plus c’est plutôt l’absence de responsabilité de ces fournisseurs en cas de failles. Les entreprises n’attendent pas de ces plateformes des mises à jour régulières de patch, elles ont besoin davantage de transparence pour mieux comprendre le degré de défense des solutions en profondeur.
Il faut devenir davantage proactifs et nous avons par exemple besoin de recherche en quantique pour prévoir l’affaiblissement à venir de nos modèles cryptographiques. Si les attaquants mettent la main sur l’ordinateur quantique, nous ne serons tout simplement pas prêts à nous défendre. C’est le même constat avec les nouveaux risques qui émergent autour du Web3 ou du métavers. Il faut se préparer dès maintenant pour s’adapter au changement, et aux risques qui en découlent.
Il y a dix ans en arrière, l’entreprise était assez refermée sur elle-même. Aujourd’hui une logique d’honnêteté s’impose : il est primordial d’admettre la faillibilité de ses systèmes. Elle gagnerait à faire preuve de plus de transparence, tout simplement parce que ses clients seront plus à même de la pardonner en cas de cyberattaque.
De manière générale, le risque cyber en 2022 s’accélère de manière constante. Le vol de données est toujours important au même titre que les vols de brevets ou de propriété intellectuelle qui peuvent s’avérer être une perte d’avantage compétitif non négligeable sur le marché. Dans le même temps, les cyberattaques de type APT ou ransomwares avancés restent la menace numéro une. C’est un risque complexe qui se manifeste aussi à travers tous les tiers et partenaires de l’écosystème. Chez Decathlon, le fait d’être présent dans 70 pays augmente évidemment la surface d’attaque potentielle.
Face à ce constat, l’enjeu prioritaire reste de pallier la pénurie de compétences et je suis assez déçu de voir que la France ne forme toujours pas suffisamment à la cyber. Les cybermenaces sont de plus en plus pressantes et en face, le marché mondial engendre une inflation sur les salaires. Résultat, les talents se vendent à prix d’or et les entreprises françaises ont parfois du mal à s’adapter à la logique de marché .
C’est pourquoi Decathlon a investi largement dans l’apprentissage et l’alternance par le biais de partenariats avec des écoles et universités. Nous prévoyons de recruter 1 000 nouveaux contrats en alternance et 2 000 stagiaires en 2022. Et en complément, nous avons également annoncé l’ouverture de notre premier Centre de formation Decathlon sur la réparation de matériel sportif, par exemple.
Lorsque j’entends que des équipes doivent se délocaliser directement au cybercampus, je reste assez perplexe. Il y a une forme d’entre-soi qui coupe les cyber-talents des réalités de l’entreprise et des métiers. Je suis plutôt en faveur d’une DSI complètement intégrée et formée grâce à un réel dispositif de transparence et de partage d’informations. La cyber n’est donc en soi pas uniquement liée à une question de budget mais dépend du niveau d’information à disposition le plus tôt possible.
Nous soumettons nos systèmes d’information au bug bounty de YesWeHack depuis deux ans maintenant et cela nous permet de montrer auprès de la communauté cyber et de nos clients comment Decathlon innove en la matière. Il ne faut pas oublier que la cyber est un facteur de confiance dans la manière de protéger nos actifs et ceux de nos clients.
En parallèle, la stratégie data Cyber, est tout autant primordiale et celle-ci est menée autour de cinq piliers que sont la gouvernance, le management du risque, l’expertise, l’audit & le contrôle et la sécurité opérationnelle. Cette stratégie n’est pas limitée à la traçabilité des données mais aussi à l’identification des faisceaux d’attaque. La prochaine étape de notre côté est d’investir davantage dans l’intelligence artificielle et modèles de machine learning pour devenir plus proactifs sur les cyber-risques.
Le spectre d’attaques informatiques ne va pas se réduire avec le temps et nous devons absolument investir dans les technologies de machine learning pour mieux nous protéger. L’adoption d’une posture CSPM (Cloud Security Posture Management) est essentielle pour surveiller nos systèmes cloud et détecter les patterns d’attaque qui nécessitent une réponse automatique. L’automatisation est la clé, au même titre que la recherche et développement.
Ce mois d’octobre est l’occasion d’enrichir notre stratégie Cyber et de contribuer à la sensibilisation des organisations tant publiques que privées aux risques cyber. Nous sommes engagés depuis plus d’un an à faire cette pédagogie pour l’ensemble de l’écosystème et des métiers. Le but n’est pas de créer des formations pointues techniquement parlant mais plutôt de réaliser des formats ludiques comme des vidéos qui vulgarisent les bons réflexes de cybersécurité.
Votre adresse e-mail ne sera pas publiée.
Inscrivez-vous à la
Newsletter Alliancy
Coup de Boost
Avec Michael Colpin, Directeur Commercial et Partner Manager d’Ibexa France
Les events de la rédaction
Média sur la transformation numérique des entreprises, engagé en faveur du « Plus forts ensemble », Alliancy sélectionne pour vous les témoignages et les retours d’expériences de femmes et d’hommes actifs dans une dynamique d’innovation. Vision stratégique, gouvernance et modes d’organisation, utilisation de la donnée, enrichissement et animation d’écosystèmes (innovation, ressources humaines, systèmes d’information, finances et achats…), cloud, sécurité et pilotage du SI… Nous nous intéressons à ces différents leviers de la transformation pour qu’ils s’invitent peu à peu dans votre quotidien. Stimulez votre curiosité, gagnez du temps et identifiez les clés de la réussite de votre entreprise.
ISSN 2727-5264
LES DOSSIERS WEB
LA NEWSLETTER ALLIANCY
NOUS CONTACTER
DEVENIR ANNONCEUR
PARTENAIRES
POLITIQUE DE PROTECTION DE VOS DONNÉES
INFORMATIONS LÉGALES
CGV
Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site Web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site Web, de manière anonyme.
Les cookies fonctionnels aident à exécuter certaines fonctionnalités telles que le partage du contenu du site Web sur les plates-formes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités tierces.
| Cookie | Durée | Description |
|---|---|---|
| mautic_device_id | 1 year |
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an. |
| mautic_referer_id | 30 minutes |
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur. |
| mtc_id | session |
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session |
| mtc_sid | session |
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session |
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing.
Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie permet de connaître l’origine du visiteur.
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session
Les cookies de performance recueillent des informations sur l’utilisation de nos sites web afin d’améliorer leur attractivité, leur contenu et leur fonctionnalité. Ces cookies nous aident, par exemple, à déterminer quelles pages secondaires de notre site sont visitées et quel type de contenu intéresse nos lecteurs.
| Cookie | Durée | Description |
|---|---|---|
| YSC | session |
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l’utilisateur a vues. |
| _first_pageview | 10 minutes |
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n’afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide. |
| _gat | 1 minute |
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session. |
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l’utilisateur a vues.
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n’afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur les mesures du nombre de visiteurs, du taux de rebond, de la source du trafic, etc.
Les cookies publicitaires sont utilisés pour proposer au visiteurs des publicités personnalisées selon votre parcours sur notre site.
| Cookie | Durée | Description |
|---|---|---|
| IDE | 1 year 24 days | Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile. |
| NID | 6 months | This cookie is used to a profile based on user’s interest and display personalized ads to the users. |
| VISITOR_INFO1_LIVE | 5 months 27 days | This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website. |
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
| Cookie | Durée | Description |
|---|---|---|
| ARRAffinitySameSite | session | No description |
| attribution_user_id | 1 year | No description |
| cg_uuid | 1 year |
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers. |
| cilSessionId_e6aa0e1dbf | 1 day | No description |
| cilSessionId_efcc418067 | 1 day | No description |
| cilSessionId_ffd7baf9a1 | 1 day | No description |
| cookielawinfo-checkbox-others | 1 year | No description |
| PagePeeker | No description | |
| recs_17b347eba0c893c4ff49a469be629e65 | past | No description |
| scid | past | No description |
| sdx | past | No description |
| su_sdx | past | No description |
| su_sid | past | No description |
| su_user_id | past | No description |
| thirdparty | 1 hour | No description |
| ubpv | 6 months 1 day | No description |
| ubrs | No description | |
| ubvs | 5 months 27 days | No description |
| ubvt | 3 days | No description |
| UID | 2 years | No description |
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
