Carrefour est l’un des plus grands ditributeurs au Monde avec des milliers d’hypermarchés dans les différents continents.

Nous avons accompagné Carrefour en partenariat avec l’entreprise Safescore dans la définition de son PAS (Plan d’action Sécurité) très inspiré des mises en conformité informatiques avec l’ISO 27001.

Arriver sur un existant qui est en situation de non conformité et travailler à sa mise en conformité sans impacter l’exploitation est un chemin parsemé d’embuches -:
Hétérogénéité des systèmes : L’organisation utilise diverses technologies, plateformes et systèmes, il a été difficile de mettre en place une politique de sécurité cohérente qui couvre l’ensemble de l’environnement informatique.

Impact sur la productivité : Si nous n’avions pas travaillé systématiquement sur la bascule du mode pré-production avec des ajustements et des itérations jusqu’au succès avant d’appliquer la même chose sur le mode production, la mise en conformité aurait pu entraîner des interruptions temporaires des opérations, des temps d’arrêt planifiés et des ajustements des processus de travail, ce qui aurait pu avoir un impact sur la productivité.

Nous avons couvert trois domaines principaux : applicatif, infrastructure et données. Voici un aperçu des chantiers couverts dans chacun de ces domaines :

1. Sécurité Applicative :

Développement sécurisé : Adoption des pratiques de développement sécurisé telles que l’utilisation de frameworks sécurisés, la validation des entrées utilisateur, la prévention des injections SQL, la gestion des sessions, etc.
Gestion des identités et des accès : Mise en place un système d’authentification robuste et s’assurer de ne donner aux utilisateurs que les privilèges nécessaires.
Mises à jour et correctifs : Tenir à jour les applications avec les derniers correctifs de sécurité pour éviter les vulnérabilités connues.
Tests de sécurité : Effectuer régulièrement des tests de sécurité tels que les tests de pénétration et les analyses de vulnérabilités pour identifier et résoudre les problèmes de sécurité.
Gestion des erreurs : Personnaliser les messages d’erreur pour ne pas divulguer d’informations sensibles et s’assurer que les erreurs sont correctement gérées.

2. Sécurité de l’Infrastructure :

Firewalls et filtrage des paquets : Configurer des firewalls pour contrôler le trafic réseau entrant et sortant et appliquez des règles de filtrage des paquets.
Sécurité physique : Protéger l’accès physique à vos serveurs et équipements réseau pour éviter les intrusions physiques.
Gestion des correctifs : Appliquer régulièrement les correctifs de sécurité aux serveurs, aux systèmes d’exploitation et aux logiciels tiers.
Surveillance du réseau : Mise en place un système de surveillance du réseau pour détecter les activités suspectes.
Gestion des mots de passe : Appliquer une politique de gestion des mots de passe forte, encourager les mots de passe complexes et utiliser l’authentification à deux facteurs (lorsque cela est possible).

3. Sécurité des Données :

Chiffrement : Utiliser le chiffrement pour protéger les données sensibles en transit et au repos.
Classification des données : Classifier les données en fonction de leur sensibilité et appliquer des politiques de sécurité en conséquence.
Gestion des accès : Limiter l’accès aux données sensibles uniquement aux utilisateurs autorisés.
Sauvegarde et reprise après sinistre : Mettez en place des processus de sauvegarde réguliers et des plans de reprise après sinistre pour garantir la disponibilité des données.
Suppression sécurisée : Assurez-vous que les données sensibles sont supprimées de manière sécurisée lorsqu’elles ne sont plus nécessaires.
Audit des données : Effectuez des audits de données pour suivre les accès et les modifications des données sensibles.