![[Fabrice Bru] (Groupement Les Mousquetaires) : « Cybersécurité : l’IA est une source de création de valeur, et donc d'emploi »](https://incyber.org//wp-content/uploads/2024/06/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-2160x735.jpg)
- Accueil
- Transformation numérique
- Fabrice Bru (Groupement Les Mousquetaires) : « Cybersécurité : l’IA est une source de création de valeur, et donc d’emploi »
Fabrice Bru (Groupement Les Mousquetaires) : « Cybersécurité : l’IA est une source de création de valeur, et donc d’emploi »


Vous êtes un Groupement de 4 000 magasins, avec sept enseignes différentes, et vous constituez le cinquième industriel agroalimentaire en France. Quels sont vos principaux enjeux en matière de cybersécurité ?
Un de nos principaux enjeux est de nous assurer que nos différentes activités ne soient pas perturbées par une cyberattaque. Cela signifie qu’il faut que nos clients puissent continuer à faire leurs courses et trouver leurs produits en rayon, que les prix affichés soient les bons, que les caisses fonctionnent, etc. En gros, nous travaillons à protéger les processus clés de passage de commande, d’affichage des prix et d’encaissement en magasin.
Ensuite, quand on remonte la chaîne, une fois qu’un patron de magasin (un « adhérent » dans notre jargon) a passé ses commandes auprès de la base logistique, il faut que celle-ci soit en mesure de passer commande auprès de ses fournisseurs. Il faut donc que le processus de consolidation des commandes de tous les magasins, de répartition et d’envoi des commandes vis-à-vis des fournisseurs soit lui aussi parfaitement fonctionnel et que les préparateurs, en base logistique, puissent voir la commande de l’adhérent et la préparer afin qu’elle lui soit expédiée dans les meilleurs délais. Et puis, quand on remonte encore en amont de la chaîne, puisque nous avons la chance de posséder 60 usines de production agroalimentaire, quand les commandes des bases logistiques s’adressent à nos usines, il faut qu’elles puissent réceptionner ces commandes et préparer les produits.
Nous avons pour cela identifié ce qui nous semblait être les processus métier critiques, en collaboration avec nos adhérents. Notre travail est dans un premier temps de nous assurer que tout cela est convenablement protégé. Dans un deuxième temps, étant donné que la sécurité à 100 % n’existe pas, nous devons aussi nous assurer que, s’il y a un grain de sable dans ce rouage parfaitement réglé, ce dernier soit détecté au plus tôt pour réagir rapidement. C’est là que vous retrouvez des équipes SOC, audit, red team, etc.
Enfin, comme tout le monde, nous devons travailler sur notre résilience. Nous avons fait des investissements pour protéger nos systèmes, pour anticiper la menace, détecter et corriger au plus tôt… Mais si jamais demain nous avons en face de nous des cybercriminels qui sont beaucoup plus forts que nous et que notre système d’information est totalement paralysé, nous devons malgré tout continuer à accueillir nos clients en magasin. Nous travaillons donc autour des sujets liés à la résilience et aux plans de continuité d’activité. Nous sommes dans un secteur où l’humilité est une grande valeur.
Quelles sont les répercussions de cette stratégie en termes d’investissements ?
L’identification des processus clés est très importante. Cela signifie qu’il faut savoir investir aux bons endroits, et pas nécessairement vouloir tout couvrir. Il faut d’abord se focaliser sur ce qui est essentiel et puis, par amélioration continue, étendre le cercle des systèmes pour lesquels on va protéger, détecter et assurer la restauration.
Sur le point particulier de la détection, quels dispositifs avez-vous mis en place ?
Sur la détection, nous avons tout d’abord mis en place un processus et des ressources à travers un SOC (est-ce utile de développer l’acronyme ?). Même si je crois davantage aux qualités humaines qu’aux outils, nous avons besoin de ces derniers. Donc la première chose que nous avons mise en place est un SOC.
Ensuite, nous avons apporté de la protection sur l’ensemble des actifs du Groupement en déployant un EDR, que ce soit sur les postes de travail ou les serveurs. Nous avons aussi travaillé sur la protection de la messagerie. Quand j’ai rejoint le Groupement il y a six ans, nous avons mis en place tous les mécanismes techniques qui nous permettent de nous assurer que le mail qui arrive dans la boîte d’un utilisateur ait suffisamment de confiance pour que ce dernier puisse cliquer dessus sans se faire piéger.
Quels autres dispositifs de cybersécurité avez-vous mis en œuvre ?
Nous avons également mis en place des processus très opérationnels pour nous assurer que nos infrastructures sont au niveau le plus récent de sécurisation, grâce au patch management et à la gestion des vulnérabilités… Nous avons aussi énormément investi sur le développement sécurisé des applications. Au sein de la Stime, nous avons une direction du développement, une « Dev Factory », avec laquelle nous avons beaucoup travaillé pour intégrer systématiquement la cybersécurité dans le cycle de développement des applications. Nous pratiquons l’analyse statique et dynamique de code et allons ajouter cette année d’autres fonctionnalités pour les compléter. Même s’il faut rester humble, nous avons aujourd’hui atteint un très bon niveau de maturité, et avons intégré en profondeur le fait de développer des applications qui soient nativement les plus sécurisées possibles.
Nous avons aussi beaucoup travaillé sur l’intégration de la sécurité dans les projets. Aujourd’hui, nous faisons systématiquement une analyse de risque de tous nos projets. Le tampon de la direction cybersécurité doit être présenté dans les différents comités d’investissements informatiques pour démontrer que le projet a bien fait l’objet d’une revue cyber, que les risques ont été identifiés et que les plans d’action associés ont été validés.
Revenons sur la partie « résilience » de vos magasins. Vous préparez-vous à pouvoir fonctionner sans aucune informatique ?
Si un magasin n’a aucune informatique, il n’a plus d’autre choix que de baisser le rideau. Nous travaillons plutôt sur un fonctionnement en mode dégradé. Si le système de passage de commande n’est pas disponible, par exemple, le réflexe est peut-être, pour l’alimentaire, de reprendre la commande de la veille et de régulariser les écarts par la suite, quand le système d’information est remonté.
En termes de résilience, le processus existe déjà à l’échelle du point de vente, car quand nous installons un nouveau magasin, nous déployons un système d’information pour ce magasin-là. Donc nous savons redéployer un SI pour un point de vente donné. Par le passé, nous avons eu, sporadiquement, des magasins qui ont été paralysés et nous avons su les reconstruire dans un délai totalement acceptable par l’adhérent.
Le véritable enjeu serait plutôt le phénomène catastrophe, avec 4 000 magasins qui seraient « par terre ». Ce sont des sujets sur lesquels nous avons démarré des travaux et sur lesquels nous sommes en train, petit à petit, de progresser et de nous améliorer. Mais des applications qui sont secourues, dédoublées, pour lesquelles nous savons mettre en place un plan de reprise d’activité, cela commence à être totalement intégré dans les modèles de systèmes d’information que nous déployons en magasin.
Êtes-vous dans une logique de standardisation des SI pour chaque magasin ?
Effectivement, les applications que nous déployons dans un Intermarché du Cantal sont les mêmes que celles d’un Intermarché d’un autre département. Elles sont standardisées, du moins pour le cœur du réacteur. Le logiciel de gestion de l’entrepôt est ainsi identique partout, de même pour le logiciel de passage de commande. Nous mettons à disposition de nos adhérents un catalogue de solutions référencées et ce sont ces solutions que nous déployons.
Concernant les briques de cybersécurité, le raisonnement est le même. L’EDR que nous avons déployé est identique partout, que ce soit sur un serveur Scada dans une usine, sur un poste de travail dans un point de vente, sur l’ordinateur d’un préparateur de commandes en base logistique ou au siège du Groupement. De même pour la protection de la messagerie. Nous avons mis tout le monde derrière les mêmes processus.
Entre les collaborateurs internes et les prestataires, notre équipe cybersécurité est composée d’une trentaine de personnes. Nous agissons avec pragmatisme et simplicité. Si une solution répond à nos besoins, nous la déployons partout et l’adaptons, à la marge, en fonction de l’activité métier.
Quels usages de l’IA voyez-vous aujourd’hui apparaître en termes de sécurité des systèmes d’information ?
Dans le cadre de notre SOC, nous allons tester l’intégration de l’intelligence artificielle afin d’observer comment elle peut nous aider à identifier d’autres scénarios ou des combinaisons auxquelles nous n’aurions pas pensé. Nous allons donc intégrer l’IA dans nos méthodes pour essayer d’être toujours plus préventifs que réactifs sur de potentiels incidents de cybersécurité. Nous allons également essayer d’exploiter certaines fonctionnalités de machine learning et nous verrons par la suite si nous pouvons les adosser à un moteur d’intelligence artificielle.
L’intelligence artificielle va surtout nous permettre de traiter davantage d’informations et elle sera d’autant plus efficace que nous saurons ce que nous cherchons. L’IA est une corde supplémentaire à l’arc du RSSI, plutôt que quelque chose qui va tout révolutionner et remplacer tout le monde. Elle sera un outil complémentaire et une source de création de valeur, et donc d’emploi, car si vous avez une IA qui vous aide à trouver plus de scénarios, cela veut dire qu’il vous faut plus d’analystes pour réaliser les levées de doute.
Quelles sont les particularités de la gouvernance de votre Groupement et ses bénéfices sur la cybersécurité ?
Notre Groupement est une coopérative d’entrepreneurs indépendants. La grande majorité de nos adhérents, qui sont des patrons de magasins, viennent passer deux jours par semaine pour travailler à l’intérêt collectif. Ils font ce qu’on appelle un ‘tiers temps’ et travaillent, entre autres, sur la stratégie du Groupement, ses optimisations et ambitions. Ils le font soit au sein de leur région, soit au siège à Paris. Tous participent, grâce à cet effort, au bien-être de chacun.
À titre d’exemple, le président de la Stime est un adhérent. Et le conseil d’administration de la Stime est composé de plusieurs autres adhérents qui représentent pratiquement toutes les enseignes.
En tant que membre du comité de direction de la Stime, en charge de la cybersécurité, j’ai un adhérent qui travaille avec moi pour définir mon schéma directeur, ma stratégie, m’aider à piloter cette activité, expliquer nos budgets et ce que l’on fait. Il est véritablement partie prenante dans mes dossiers. Cette gouvernance « bicéphale » est très intéressante, car l’adhérent nous aide à sortir de notre expertise, à avoir ce « pas de côté » nécessaire pour apporter un autre regard et mieux présenter à nos pairs un dossier, même très technique.
Qui plus est, ce modèle de gouvernance nous permet d’être constamment au plus près du terrain et de rester pragmatiques. Les adhérents nous rappellent à la réalité du quotidien. Quand vous prenez une décision, vous en voyez immédiatement l’impact sur le terrain. De même, je pousse mes équipes à aller sur le terrain, afin de se mettre à la place des collaborateurs dans les magasins afin qu’elles comprennent que notre objectif n’est pas de modifier l’expérience des salariés, mais de s’intégrer totalement dans les processus en cours.
la newsletter
la newsletter