Projets

Chez Carrefour, le SOC interne étend sa toile à l'échelle du groupe

La façade d’un Carrefour Market. D’abord conçu pour la France, le SOC couvre désormais les 8 pays où le distributeur opère. Soit quelque 120 000 terminaux. (Photo : Swaf75/CC BY SA 4.0)

Focalisé sur la détection de comportements suspects et la réponse aux incidents, le SOC construit initialement pour la France couvre désormais l'ensemble des pays où le distributeur opère en direct.

PublicitéGérer le monitoring réseau ou la sécurité opérationnelle d'un groupe comme Carrefour (321 000 personnes, dans 8 pays où le distributeur opère en propre), c'est évidemment se confronter à des volumes énormes. Une réalité qui a poussé le groupe français à bien délimiter le périmètre des données confiées à la solution Splunk. « Il y a une dizaine d'années, nous stockions toute la donnée réseau pour nos besoins de troubleshooting, raconte David Charpagne, actuel responsable du SOC du groupe, qui travaillait à l'époque dans l'équipe réseau de Carrefour. Avec le temps, nous avons été challengés sur les coûts. Quand nous avons récupéré le SOC en interne, nous avons décidé de concentrer Splunk pour les analyses de ce centre et d'utiliser une autre solution pour les besoins de conformité et de déboguage. »

Car, entretemps, Carrefour en France a en effet monté une offre SOC en interne, en intégrant la composante SIEM du même Splunk, pour des fonctions d'enrichissement des alertes, d'ajout de contexte, d'exclusion de faux positifs et d'alertes basées sur un score de risques. « Nous avons gagné beaucoup de temps », reprend le responsable du SOC, en comparaison avec l'époque où son équipe développait toutes ses règles de détection. Des gains de temps qui ont notamment permis à l'équipe de sécurité opérationnelle de mettre en place des scénarios de détection des comptes utilisateurs à risque.

Des analystes au contact des équipes dans les différents pays

Construite dans un premier temps pour la France - soit la moitié de l'activité environ -, l'offre de SOC a ensuite été proposée aux autres pays où est présent le groupe, pour remplacer les centres externalisés qu'ils exploitaient jusqu'alors. « Ce qui se traduit par une contribution financière et la nomination d'un analyste local pour chaque pays, qui devient membre à part entière de l'équipe du SOC, tout en ayant la charge de la connaissance des contacts sur place », précise David Charpagne. La moitié de l'équipe du SOC est désormais constituée d'analystes répartis dans les différents pays. A ce jour, le centre opérationnel et sa vingtaine d'analystes couvrent les 8 pays où Carrefour opère en direct (France, Espagne, Italie, Pologne, Roumanie, Belgique, Argentine et Brésil). Soit environ 120 000 terminaux au total.

D'abord exploitée on-premise, l'architecture Spunk est désormais utilisée en mode SaaS. Un choix en ligne avec la stratégie du groupe - qui est en train de migrer massivement vers le cloud via un contrat cadre avec Google - et qui permet de limiter les efforts liés au MCO de la plateforme technique du SOC.

Détecter les activités suspectes, la priorité

Confronté à une IT en magasins caractérisée par des environnements hétérogènes et des contraintes opérationnelles spécifiques, le responsable du SOC indique avoir mis la priorité sur la détection et la réponse aux incidents, là où le centre opérationnel pouvait faire une réelle différence. « En magasins, la diversité des contextes terrain impose une approche adaptée, c'est pourquoi nous priorisons la détection des activités suspectes et la capacité d'y répondre rapidement », dit David Charpagne. Hors EDR - homogène dans l'ensemble du groupe -, le responsable du SOC doit aussi composer avec des technologies assez diverses : « notre plateforme technique doit donc aussi être capable d'intégrer très rapidement toutes ces technologies. » Le SOC couvre également les activités de e-commerce du groupe, ciblées par des attaques spécifiques, comme celles visant les cagnottes de fidélité sur lesquelles des pirates tentent de mettre la main.

PublicitéS'il reconnaît être encore en apprentissage des usages de l'IA dans le contexte d'un SOC, David Charpagne estime que, d'ici 6 mois à un an, le métier d'analyste en sécurité aura changé. « Là où il passait 30 minutes sur une analyse, 30 secondes suffiront à une IA générative à condition d'avoir accès aux sources de données », explique-t-il. Ce qui permettra de gagner du temps sur le passage en revue des logs d'événements. Si le SOC Carrefour en est encore aux phases d'étude, il a notamment lancé un prototype sur le tri des courriels de phishing, test impliquant deux start-up, mais aussi Gemini Pro. « En la matière, l'IA de Google semble suffisante pour poser un premier verdict et écrémer les mails suspects, souligne David Charpagne. Même s'il faut encore valider ce résultat sur les volumes de la production et vérifier que les verdicts restent bien stables quand on analyse le même mail 10, 20 ou 50 fois. »