Matthieu Vanoost (Decathlon Technology) "Notre défense est régulièrement testée par des cybercriminels"
Dans le cadre des Assises de la Cybersécurité à Monaco, Mathieu Vanoost, security manager chez Decathlon Technology, explique comment Decathlon a pris à bras le corps les problématiques liées à la cybersécurité.
JDN. Pouvez-vous nous présenter Decathlon Technology ?
Mathieu Vanoost. Decathlon Technology est la branche du groupe Decathlon chargée de la digitalisation de l'entreprise. En tout nous sommes 3 000, répartis dans les 70 pays dans lesquels le groupe Decathlon est présent.
Vous êtes dans la branche cybersécurité de Decathlon Technology, quel est son objectif ?
Nous avons investi massivement dans ce secteur via des recrutements, en France en recrutant des experts du risk management, mais aussi à l'étranger avec la nomination de RSSI locaux. Nous lions aussi des partenariats avec des acteurs du secteur de la cybersécurité, que ce soit pour des solutions de type logiciels ou alors pour de la threat intelligence. Nous nous concentrons sur la protection de Decathlon, déjà pour des raisons d'image : nous voulons que le client qui vient prendre une carte de fidélité chez nous soit en confiance. Il doit savoir que nous faisons tout notre possible pour sécuriser au mieux ses données. Mais il y a aussi le coté opérationnel. Sans une bonne protection, notre entreprise pourrait être victime d'un ransomware. Les conséquences pourraient être graves pour la compagnie et paralyser l'activité des magasins à travers le monde et le site e-commerce.
Le groupe Decathlon a-t-il été victime d'une cyberattaque depuis la création de la branche cybersécurité ?
Nous n'avons pas eu d'incident marquant. Nous n'avons subi ni ransomware ni vol de données massif qui auraient eu comme conséquence la mise à l'arrêt de la compagnie. Néanmoins, notre défense est régulièrement testée par des cybercriminels, ce qui est le cas de toutes les entreprises actuellement. Cela ne fait que renforcer notre volonté de vouloir accomplir notre objectif principal qui est de détecter et bloquer la menace. Et donc stopper une attaque à son tout début.
Quels sont les profils de vos collaborateurs ?
Nous avons tous les types de profils présents dans l'univers de la cybersécurité. Pour commencer, on a la corp capability, qui fournit des services à l'ensemble des business units des pays dans lesquels nous sommes implantés. Dans cette équipe, on trouve des analystes SOC, des gens qui font de la recherche sur des incidents de cybersécurité. Nous avons aussi des experts qui suivent les projets de Decathlon pour voir si ces derniers respectent nos normes cybersécurité. On a également une équipe qui s'occupe du risk management de notre politique de plan de reprise d'activité, et qui s'occupe de contrôler notre niveau de sécurité. Ensuite, nous avons des security officiers locaux qui prennent en compte les données qu'on leur fait remonter ainsi que les stratégies de défense. Ils animent alors la sécurité de leur business unit. En tout Decathlon compte 70 personnes dédiées aux activités cyber.
Vous avez également un programme de bug bounty, a-t-il été concluant ?
Nous avons lancé ce programme y a deux ans sur des assets que nous considérons comme matures et critiques comme l'e-commerce ou tout ce qui est lié à nos membres clients ou à leur fidélisation. Dans ce cadre-là nous avons des bugs bounty permanents. Les hackers éthiques trouvent toujours des vulnérabilités mais c'est tout l'objectif de ce programme, qu'un attaquant trouve la faille, puis nous la transmette afin que nous puissions la combler. Cependant, avec le temps, le nombre de failles et leur niveau de dangerosité baisse, car nous améliorons aussi nos défenses grâce aux bug bounty.