LMi-MAG28 Dec - Flipbook - Page 31
lyses de ce centre et d’utiliser une autre solution pour les
besoins de conformité et de débogage. »
Car, entre-temps, Carrefour en France a en effet monté
une offre SOC en interne, en intégrant la composante
SIEM du même Splunk, pour des fonctions d’enrichissement des alertes, d’ajout de contexte, d’exclusion de faux
positifs et d’alertes basées sur un score de risques. « Nous
avons gagné beaucoup de temps », reprend le responsable
du SOC, en comparaison avec l’époque où son équipe
développait toutes ses règles de détection. Des gains de
temps qui ont notamment permis à l’équipe de sécurité
opérationnelle de mettre en place des scénarios de détection des comptes utilisateurs à risque.
Des analystes au contact des équipes
dans les différents pays
Construite dans un premier temps pour la France – soit
la moitié de l’activité environ –, l’offre de SOC a ensuite
été proposée aux autres pays où est présent le groupe,
pour remplacer les centres externalisés qu’ils exploitaient
jusqu’alors. « Ce qui se traduit par une contribution financière et la nomination d’un analyste local pour chaque
pays, qui devient membre à part entière de l’équipe du
SOC, tout en ayant la charge de la connaissance des
contacts sur place », précise David Charpagne. La moitié de l’équipe du SOC est désormais constituée d’analystes répartis dans les différents pays. A ce jour, le centre
opérationnel et sa vingtaine d’analystes couvrent les huit
pays où Carrefour opère en direct (France, Espagne, Italie,
Pologne, Roumanie, Belgique, Argentine et Brésil). Soit
environ 120 000 terminaux au total.
D’abord exploitée on premise, l’architecture Spunk est
désormais utilisée en mode SaaS. Un choix en ligne avec
la stratégie du groupe – qui est en train de migrer massivement vers le cloud via un contrat cadre avec Google
– et qui permet de limiter les efforts liés au MCO de la
plateforme technique du SOC.
Détecter les activités suspectes, la priorité
Confronté à une IT en magasins caractérisée par des
environnements hétérogènes et des contraintes opérationnelles spécifiques, le responsable du SOC indique
avoir mis la priorité sur la détection et la réponse aux
incidents, là où le centre opérationnel pouvait faire une
réelle différence. « En magasin, la diversité des contextes
terrain impose une approche adaptée, c’est pourquoi
nous priorisons la détection des activités suspectes et la
capacité d’y répondre rapidement », dit David Charpagne.
Hors EDR – homogène dans l’ensemble du groupe –, le
responsable du SOC doit aussi composer avec des technologies assez diverses : « Notre plateforme technique
doit donc aussi être capable d’intégrer très rapidement
toutes ces technologies. » Le SOC couvre également
les activités d’e-commerce du groupe, ciblées par des
attaques spécifiques, comme celles visant les cagnottes
de fidélité sur lesquelles des pirates tentent de mettre
la main.
S’il reconnaît être encore en apprentissage des usages
de l’IA dans le contexte d’un SOC, David Charpagne
estime que, d’ici à six mois ou un an, le métier d’analyste en sécurité aura changé. « Là où il passait trente
minutes sur une analyse, trente secondes suffiront à une
IA générative à condition d’avoir accès aux sources de
données », explique-t-il. Ce qui permettra de gagner du
temps sur le passage en revue des logs d’événements.
Si le SOC Carrefour en est encore aux phases d’étude,
il a notamment lancé un prototype sur le tri des courriels de phishing, test impliquant deux start-up, mais
aussi Gemini Pro. « En la matière, l’IA de Google semble
suffisante pour poser un premier verdict et écrémer les
e-mails suspects, souligne David Charpagne. Même s’il
faut encore valider ce résultat sur les volumes de la production et vérifier que les verdicts restent bien stables
quand on analyse le même e-mail 10, 20 ou 50 fois. »
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
tinyurl.com/podcast-carrefour
LIRE EN LIGNE
Article
tinyurl.com/article-carrefour
31
