Pour les JO 2024, Carrefour a sprinté pour réduire sa surface d'attaque
Pour sécuriser son dispositif spécial JO 2024 - magasins éphémères et entrepôts -, le distributeur a déployé un outil de gestion de l'exposition cyber. Soulevant quelques lièvres au passage.
PublicitéLes Jeux Olympiques de 2024, à Paris, ont été l'occasion d'une vaste mobilisation de la communauté cyber française. Et c'est encore plus vrai des acteurs directement impliqués sur cet événement, comme Carrefour, partenaire premium. Lors des Assises de la sécurité, qui se déroulaient à Monaco du 9 au 11 octobre, le distributeur est revenu sur l'analyse de la surface d'attaque des magasins éphémères créés pour l'occasion (dans le village Olympique, au centre de diffusion vidéo, au Bourget et au village des médias à Dugny) et des entrepôts mobilisés pour la logistique associée. Des infrastructures importantes comportant chacune leur fonctionnement spécifique, « les entrepôts se gèrent de manière un peu particulière avec des livraisons de commandes, des stocks qu'il faut réapprovisionner... En magasin, nous avons toute une série d'éléments à aligner comme des balances, des étiquettes, un back-office particulier, de l'encaissement », explique Guillaume Cécile, directeur SecOps de Carrefour pour planter le décor.
Vérifier le bon respect des règles
L'objectif était donc de disposer d'une vue d'ensemble sur ce périmètre, glisse le dirigeant. Avec des particularités : « les magasins sont éphémères, donc ils ne sont pas montés au moment où débutent les travaux d'analyse. Il faut donc identifier ce qu'il va être déployé sur le réseau et récupérer la topologie complète du réseau local », souligne-t-il. Sur les entrepôts, « certains ont 15 ans et ils évoluent, parfois avec des éléments mis en place sans que vous ayez été prévenus. C'était donc l'occasion d'identifier ces choses-là ».
Pendant les JO à proprement parler, le but de cette analyse était aussi de « recevoir des alertes quand des nouveaux terminaux se connectent sur le réseau des magasins ou quand des flux au sein des entrepôts deviennent invisibles », indique Guillaume Cécile. Autre objectif : « vérifier que les règles posées sont bien respectées sur les équipements recensés : ont-ils un EDR ? Le patch management est-il à jour ? L'équipement est-il visible dans l'AD ? », énumère-t-il. Enfin, le dirigeant souligne « le besoin d'identifier l'ensemble des flux réseaux IT et OT pour les classifier et définir s'il s'agit de flux légitimes en fonction de leur volumétrie ».
Un projet en trois étapes
Le déploiement de la solution Centrix d'Armis, choisie pour surveiller le dispositif spécial JO du distributeur, s'est fait « par étapes », avec d'abord la mise en place d'un collecteur (une appliance) au siège de Carrefour, sur le réseau. Seconde étape : l'équipement des entrepôts. « Huit d'entre eux étaient mobilisés pour les JO. L'ambition au départ n'était pas nécessairement de détecter des nouveaux équipements, mais de garantir la conformité locale », assure le directeur SecOps.
PublicitéEnfin, la troisième étape portait sur les magasins éphémères montés un mois avant l'évènement. Le dirigeant précise, par ailleurs, avoir réalisé un travail d'intégration avec différents outils de cybersécurité : EDR, antivirus, SIEM, SOAR, DHCP... Le tout sur une soixantaine de zones du réseau (local, WiFi).
Pompe à insuline, Raspberry Pi et Tesla
Et les découvertes ont été surprenantes pour le dirigeant. « Dans les entrepôts, nous avons identifié des consoles de jeux branchées sur le réseau. De même, nous avons détecté une pompe à insuline d'un salarié diabétique, qui était connectée en WiFi pour la remontée d'information. Un Raspberry Pi a aussi été trouvé, il était utilisé par une équipe pour faire des tableaux de bord. Il y avait par ailleurs une Tesla qui se connectait sur le réseau de l'entrepôt pour se mettre à jour », résume Guillaume Cécile. Sur l'OT des entrepôts, l'obsolescence de certains équipements a été mise en évidemment, comme « un PC pour piloter le froid qui était sous Windows 7. Plus de mainteneur, un identifiant en clair, des traces de Wannacry » soupire le responsable.
Concernant les magasins, dès la mise en place, c'est la douche froide : « l'OS des caisses n'était pas à jour parce que le master utilisé, n'était pas le dernier en date. Nous avons dû reprendre les installations de toutes les caisses ; sans l'outil d'Armis, nous n'aurions rien pu voir » reconnait le responsable. Et de continuer par la mise en évidence « d'un switch doté d'un OS plus supporté et renfermant des CVE connues. Il servait de backbone pour un des magasins ».
Donner la priorité à l'OT en entrepôts
Pour Guillaume Cécile, malgré cet inventaire de découvertes, le bilan est positif : « la solution est simple à mettre en oeuvre, sans problème technique ». Il salue également « la priorisation du VOC (vulnerability operation center) qui propose des actions pour pouvoir sortir de l'ornière très vite ». Si la solution a permis de mettre au jour « des points de vulnérabilité que l'on ne connaissait pas », les magasins éphémères ont bien fonctionné durant l'événement de l'été, comme le montre la vidéo de la gymnaste américaine Simon Biles achetant des pains au chocolat dans un de ces points de vente. Pour l'après-JO, le directeur SecOps de Carrefour envisage de mettre le focus sur l'OT : « nous avons identifié des choses dans les entrepôts et il y a un travail à mener, notamment en rajoutant des cas d'usage pour avoir une vision plus précise ».
Article rédigé par
Jacques Cheminat, Rédacteur en chef LMI
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire