Frédérick Meyer, RSSI d’Auchan Retail International, souligne l’importance de protéger les environnements cloud hybride et multicloud autour d’une politique unique et de solutions de sécurité unifiées.
« Le poids du cloud est en très forte augmentation chez Auchan. Nous avons toujours des ressources sur nos sites, essentiellement dans nos filiales, mais l’entité groupe n’a plus que des environnements dans le cloud, » précise Frédérick Meyer, le RSSI d’Auchan Retail International.
Dans un tel contexte, une politique de sécurité unique devient critique, que les ressources techniques soient réparties sur les sites internes ou sur diverses infrastructures cloud public. Les équipes d’Auchan Retail se sont réorganisées afin que seuls des experts en sécurité interviennent sur les sujets de cybersécurité.
« Nous avons une vision holistique de la sécurité, une approche générale, très englobante, qui commence par la gestion des identités, avec le soutien de Sailpoint, Mail Identity et Deloitte, et qui se décline sur les différentes spécificités de nos systèmes d’informations. Sur le volet CSPM (Cloud Security Posture Management), nous travaillons avec Palo Alto par exemple, » illustre-t-il.
La différence intervient dans la déclinaison opérationnelle des règles de sécurité, souligne le RSSI : « Nous essayons de garder cette homogénéité. Quand nous souhaitons faire appel à des logiciels SaaS, nous prenons le temps d’analyser les engagements de sécurité de nos partenaires avant signature du contrat, pour nous assurer qu’ils correspondent bien à nos standards. » Cette précaution demande un peu plus de temps, mais elle permet à l’enseigne d’assurer ses choix.
L’IA n’est pas la piste privilégiée de Frédérick Meyer aujourd’hui : « Adopter des réflexes de base en informatique – renforcer l’Active Directory, gérer les patch systèmes, déployer l’antivirus ou l’EDR (endpoint detection and response) – cela apporte déjà beaucoup de protections. La plupart des victimes d’attaques ont lieu dans le cadre d’attaques opportunistes, rarement ciblées. En 2022, nous allons chercher de l’efficacité opérationnelle, multiplier les projets pour améliorer la résilience de nos systèmes et de nos process et préparer notre gestion de crise. »