Un géant de la distribution face aux pirates informatiques : comment Les Mousquetaires gèrent les attaques au quotidien

Les Mousquetaires, géants du secteur de la grande distribution, sont une sacrée machine informatique. Leurs activités les y obligent. Gérer la protection cyber d'une telle entité n'est pas chose aisée, mais le groupement fait preuve d'ingéniosité.

Quand on pèse près de 48 milliards d'euros de chiffre d'affaires, que l'on compte près de 4 000 points de vente, 56 usines, 45 bases logistiques, 2 300 camions, et que l'on s'appuie sur 150 000 salariés, il faut avoir les reins solides. Si le groupement Les Mousquetaires fait partie des exemples à suivre en matière de sécurité informatique, il n'est pourtant pas épargné par les pirates.

À Monaco, durant les Assises de la sécurité, nous avons questionné Fabrice Bru, directeur cybersécurité à la Stime, qui n'est autre que la direction des systèmes d'information (DSI) du groupement Les Mousquetaires. Organisation de la cybersécurité pour les salariés et clients des magasins, identification des menaces et attaques subies, l'expert n'a écarté aucun sujet à notre micro.

Les Mousquetaires, un groupement unique en son genre, qui nécessite une vraie stratégie cyber

Il est bon de rappeler que Les Mousquetaires est une entité qui prend la forme d'un groupement de 7 enseignes : Intermarché et Netto pour l'alimentaire ; Bricorama, Bricomarché et Brico Cash pour l'équipement et la maison ; et Roady et Rapid Pare-Brise pour la mobilité. Il s'agit d'une coopérative d'entrepreneurs indépendants, avec des conseils d'administration pilotés par des adhérents. Propriétaires de leur magasin, ces derniers contribuent à piloter la stratégie du groupement lors des tiers-temps (une contribution solidaire permettant d'assurer bénévolement la gestion des Mousquetaires, 2 jours par semaine).

La cybersécurité est prise très au sérieux chez Les Mousquetaires, à tel point qu'elle est devenue, sous l'impulsion de Fabrice Bru notamment, une fonction régalienne. Elle est régulièrement évoquée lorsque les adhérents quittent leur magasin pour se retrouver en région parisienne, lors des conseils d'administration de la STIME.

L'axe majeur sur lequel se positionne le groupement Les Mousquetaires est la détection des attaques. Scénarios de risque ; mise en place d'un SOC (centre d'opération et de sécurité de l'information) ; réflexion sur les usages d'accès en points de vente ; protection du pan « fidélité du client » et du service Drive… Il faut penser à tout. Et le groupement partait de loin.

Quelles priorités dans la stratégie cyber ?

En arrivant à la Stime, Fabrice Bru a hérité de systèmes presque obsolètes, à base de comptes partagés. « On a travaillé sur la mise en sécurité des postes informatiques que l'on met à disposition des collaborateurs », nous explique-t-il. Cela va des usines jusqu'aux points de vente et même à la fameuse balance connectée servant à peser fruits et légumes, qui est un système d'information. « Nous avons travaillé avec les adhérents pour identifier les processus clés en point de vente, tels que l’encaissement ou la fidélité autour du client ».

Après la pandémie de COVID-19 qui lui a permis de se démarquer de ses concurrents le groupe a pu consolider sa stratégie et mieux travailler au contrôle des menaces. Sa plateforme de e-commerce, développée en interne (et hébergée sur Google Cloud, avec des données qui restent en France et en Europe), est désormais mieux dimensionnée pour accueillir davantage de visiteurs et/ou clients.

Les bots (robots) : problème majeur auquel Intermarché et les enseignes du groupement font face

« Pendant la pandémie, nous avons constaté que des créneaux de Drive étaient préréservés, et certains l'étaient par des comptes factices », témoigne Fabrice Bru. Les Mousquetaires ont longtemps souffert de ces bots qui créent de faux comptes, font de fausses mises en panier et bookent des disponibilités sur le Drive du point de vente. Et difficile de prouver de façon certaine la provenance de cette activité.

« Puisque le groupement est présent en France, Pologne, Belgique et Portugal, nous avons bloqué tous les accès depuis des adresses IP situées hors de ces pays-là ou de leurs pays limitrophes. Pour schématiser : si vous n'étiez pas Européen, vous n'aviez pas accès aux sites », ajoute-t-il.

« Concrètement, nous avons mis en place des services qui permettent de détecter ce type d'attaque. Nous avons activé des antibots et revu nos paramétrages de sécurité. Par exemple, si la fiche est complétée trop rapidement, nous suspectons l'activité d'un bot ». Cet épisode a concrétisé l'importance capitale de la cybersécurité.

L'usurpation d'identité aussi est une véritable plaie pour la Stime et le e-commerce

Le groupement a aussi subi l'épisode du credential stuffing, les attaques forcées visant à se livrer à de l'usurpation d'identité. « C'est délicat d'expliquer à nos clients que, pour bien faire, il faudrait qu'ils aient un identifiant et mot de passe pour chaque site commerçant qu'ils visitent. Du coup, ils se font piéger et se font dérober leurs login et mot de passe, qui sont exploités en masse ». Les équipes cybersécurité de la Stime ont déjà relevé des pics à 10 000, 100 000, voire à 150 000 tentatives de connexion, dont la majorité est rejetée. Mais il suffit qu'une ou deux connexions réussissent, pour que la stratégie des hackers fonctionne.

Les pirates ont ici un but : piller les cagnottes de fidélité des clients, pour les revendre sur des réseaux toxiques. Pour 30 euros, vous obtiendrez par exemple une valeur d'achat de 100 euros. Et Fabrice Bru d'ajouter : « Si d'autres failles s'y ajoutent, les pirates peuvent modifier le nom du client et/ou regénérer une carte de fidélité, et il n'y a même pas besoin d'être un expert pour faire ça ! » Dans ce cas-là, l'alerte vient souvent de sociétés spécialisées, qui tombent sur ces propositions-là sur le dark web. Généralement, et lorsque le piratage est avéré, les enseignes finissent par recréditer la carte de fidélité.

Tout un écosystème à sécuriser, mais à sensibiliser avant tout

Le groupement Les Mousquetaires est pour beaucoup dépendant des bonnes (et mauvaises) pratiques de ses clients. Évidemment, on les connaît : la combinaison mot de passe et login simples et répétés d'un site à l'autre est souvent la cause. Mais en interne, on n'est évidemment pas à l'abri. Le groupement peut être confronté à des tentatives de fraudes dirigées contre ses adhérents. « En ce moment, une organisation cybercriminelle se livre à ce que l'on appelle la "fraude au président", que j'appelle "fraude à l'adhérent". Le pirate essaie de se faire passer pour l'adhérent auprès du comptable d'un magasin, pour obtenir un virement en sa faveur », constate Fabrice Bru. D’où l’importance de sensibiliser régulièrement les adhérents et les collaborateurs aux risques cyber.

D'autant plus que les attaques sont toujours plus crédibles. « Ils connaissent très bien l'adhérent, le magasin, et sont vraiment bien renseignés. » Au moindre doute, Fabrice et ses équipes préviennent le magasin en question, lui indiquant la marche à suivre pour ne pas tomber dans le piège.

Enfin, et c'est l'un des dossiers chauds sur lesquels Fabrice Bru travaille, il y a les enjeux de cybersécurité liés aux interconnexions avec les fournisseurs du groupement : les fournisseurs. « De plus en plus d'incidents ont pour origine nos fournisseurs, entre 40 et 45 %. Par exemple, si un sous-traitant qui pilote la robotisation d'un site se fait pirater, devons-nous couper tous les accès ? Et si nous les coupons, quels sont les éventuels impacts sur l'activité du groupement ? C'est un enjeu d'autant plus important que les adhérents peuvent choisir leurs propres fournisseurs. Sur ce plan, nous ne pouvons que les éclairer. »

On en revient ainsi à cette double priorité protection-sensibilisation, qui vaut aussi bien pour les clients, pour les prestataires et les fournisseurs que pour les salariés des Mousquetaires. Une mission bien délicate, mais pour l'instant, le groupement ne se débrouille pas trop mal.