Projets

Casino reprend la maîtrise de son réseau avec l'approche SASE

David Garcia, DSSI du groupe Casino, insiste sur la relation de confiance à avoir avec le fournisseur dans une démarche SASE.

Avec la période Covid et la persistance du télétravail, le groupe Casino s'est interrogé sur une évolution de son proxy. Il a adopté une approche SASE avec Netskope pour sécuriser le trafic et reprendre le contrôle sur le réseau. Retour sur cette expérience.

PublicitéLa bascule massive et contrainte en télétravail pendant la crise sanitaire a obligé les entreprises à ouvrir les accès à Internet tout en essayant au maximum de sécuriser. C'est le point de départ de la réflexion de David Garcia, DSSI du groupe Casino, qui intervenait dans un atelier aux Assises de la Sécurité 2021 à Monaco. Avant la tempête Covid, il disposait d'un proxy on premise et des VPN pour le travail à distance. Du jour au lendemain, « plus de 5 000 personnes ont basculé en télétravail, nous avons installé de la MFA (authentification multifacteur), des EDR sur tous les postes et des accès directs sur Internet », souligne le dirigeant. C'est ce dernier point qui le perturbait, accentué par la pérennité du télétravail (deux jours par semaine).

Il était donc temps de reprendre la main sur le réseau avec en perspective une montée en puissance d'Auchan d'être cloud first. D'où l'idée d'avoir une approche SASE (Secure Access Service Edge). Ce concept théorisé par Gartner en 2019 qui consiste à faire converger les fonctions réseaux et sécurité au sein d'un service cloud natif et unifié. Elle regroupe plusieurs fonctionnalités et technologies dont du SD-WAN, un accès réseau Zero Trust (ZTNA), du firewall as a service, une passerelle Web sécurisée ou encore un courtier en sécurité dans le cloud (CASB). Dans le cadre de Casino, le point d'entrée a été le proxy cloud, « cela a été le catalyseur », explique David Garcia et d'ajouter « puis nous avons intégré d'autres briques comme le déchiffrement SSL et le navigateur sécurisé ».

Une relation de confiance établie

Sur le choix de la solution, un PoC a été réalisé auprès de trois fournisseurs où plusieurs critères ont été pris en considération. « La partie technique pour voir si c'est bien aligné avec notre volonté d'aller sur le cloud, le tarif, mais surtout la relation de confiance que l'on pouvait avoir avec le fournisseur », observe le DSSI du groupe. Au terme de trois mois de test, Netskope a été retenu. David Garcia insiste beaucoup sur la relation avec Netskope, « dans certains cas il y a eu des incompatibilités avec certains logiciels. Il est par exemple difficile de déchiffrer les flux des applications Zoom, Dropbox ou WhatsApp. Les discussions avec Netskope ont permis de trouver une solution en basculant les applications sur du web ». Ce type de projet nécessite « beaucoup de collaboration, car nous avions un grand nombre d'exigences », assure-t-il. Pour mener à bien cette initiative, le dirigeant s'est appuyé sur un intégrateur qui ne connaissait pas les solutions Netskope, « il a appris à les connaître, les apprécier et il les a maintenant intégrées à son portefeuille », glisse-t-il.

Au final, le premier lot de 5 000 personnes a été terminé et « un autre de 8 000 est en cours ». La mise en production est très facile après avoir mené correctement les configurations dans le cadre du PoC. David Garcia reconnait que « l'exploitation est simplifiée avec une console ergonomique. Il existe un agent unique. Aujourd'hui, nous travaillons avec deux agents, celui du VPN et celui de Netskope. À terme, nous n'aurons plus que celui de Netskope ». Toujours dans la perspective, il regarde avec intérêt le CASB (Cloud Access Security Broker). « Il y a des éléments intéressants comme l'ajout de contexte dans les données, la visualisation du trafic montant et descendant ». L'approche SASE va s'étendre au périmètre du groupe « nous avons signé pour Monoprix et Franprix, et nous regardons pour l'appliquer à RelevanC, Floa Bank et le LATA (zone Amérique Latine) ».

Publicité