IT : DSI/CIO - RSSI/CISO - CDO

Fnac-Darty : DSI-RSSI, un duo gagnant

Comment le 1er e-Père Noël français assure la performance et la sécurité de son service face à son pic d’activité ?

Avec 275 millions d’attaques sur Fnac l’année dernière ou 30 millions d’attaques sur le mois de novembre pour Darty, Jean LABORDE, DSI adjoint et Jean-Luc CERDAN, Directeur Cybersécurité chez Fnac-Darty partage leur expérience sur l’activité du groupe, l’It et la cybersécurité, les bonnes pratiques pour concilier le run et sécurité ou encore de la nécessaire relation du DSI et du RSSI au profit du business.

Transcription Vidéo

e-Père-Noël
e-Père-Noël

Julien Merali : Bonjour et merci de nous avoir rejoints pour cette visio Retex de l’Agora des DSI-CIO, dernière de l’année 2020, année marquée par de nombreuses péripéties et c’est pour cela que l’on débute par un petit peu de rigolade et on reçoit aujourd’hui le Père Noël…

Papa Noël : Ho ho ho ho ho ho…. Bonjour Papa Noël. Bonjour tous les amis, merci d’être venus à cette grande soirée de Noël. Vous me connaissez tous depuis très longtemps. Je vous connais depuis que vous êtes enfant. Mais ce soir, je vais vous révéler un secret, que je n’ai révélé à personne.

Il y a deux Père Noël, mais ce deuxième Père Noël est dans l’ombre. Personne ne le connaît, c’est le e-Père Noël ! Moi je me déplace à la vitesse de la lumière, lui, il se déplace à la vitesse d’internet. Ce e-Père Noël, c’est Fnac Darty. Et je vais laisser mon petit lutin assistant vous présenter les e-Père Noël, qui nous font le plaisir d’être venu avec moi.

Bonne soirée à tous ! Ho ho ho ho ho ho…

Julien-Merali,-General-Manager-IT-chez-AGORA-MANAGERS
Julien-Merali,-General-Manager-IT-chez-AGORA-MANAGERS

Julien Merali : Merci Père Noël. Je vous rappelle que la consommation d’alcool est dangereuse pour la santé, buvez avec modération.
Donc effectivement, on reçoit aujourd’hui le groupe Fnac Darty, sur le thème : comment le premier e-Père Noël français puisqu’après, on va pouvoir donner les chiffres, assure la performance et la sécurité de son service face à son pic d’activité, DSI-RSSI, un duo gagnant, puisqu’aujourd’hui on reçoit à la fois l’Agora des DSI-CIO et l’Agora des RSSI. Et pour en parler, on reçoit Jean LABORDE DSI Adjoint et Jean-Luc CERDAN, Directeur Cybersécurité du Groupe FNAC DARTY.

FNAC DARTY est le premier e-commerçant français puisque selon les chiffres de la Fevad pour l’année 2019, vous comptabilisez 13 115 000 clients en ligne, donc 27% du marché en volumétrie de clients, devant Cdiscount qui comptabilise 8 835 000 clients et puis Veepee qui comptabilise 6 616 000 clients et qui représente 13, 2% du marché.

Vous avez eu un mois de décembre assez dynamique, entre les Black Friday et les commandes de Noël, donc merci de vous êtes rendus disponibles. Le pic de saisonnalité qui est marqué par l’opération des Black Friday et par les achats de Noël est encore plus puissant cette année puisqu’on se rend fatalement moins en boutique.

Jean-Laborde DSI Adjoint du Groupe Fnac Darty

Est-ce que vous avez constaté un effet Covid sur les commandes en ligne ?

Jean Laborde : Tout à fait ! L’effet Covid, on l’a déjà constaté lors du premier confinement où on avait eu à ce moment-là une accélération très significative des commandes en ligne. Combien en pourcentage ? Au moment de la fermeture des magasins, on avait triplé en gros le chiffre d’affaires réalisé sur internet, en mois comparable.

A partir du mois de mai – juin et la réouverture des magasins, on a malgré tout continué à voir cette accélération du digital avec une dynamique retrouvée sur le mortar, mais également des consommateurs qui ont basculé encore un peu plus que les années précédentes sur le online. Et donc là, on a abordé la haute saison, les mois de novembre et décembre, qui sont clés pour le groupe avec des tendances et des accélérations très fortes sur une baseline qui était déjà très importante. Donc c’est un challenge assez important pour nous d’assurer une qualité de services de livraison.

Quelles sont les grandes tendances pour Noël 2020 ?

Alors les grandes tendances et ce qu’on constate avec le confinement, les gens se sont rééquipés fortement sur de l’informatique, avec de la télévision mais on est aussi sur une année assez importante pour les amateurs de jeux vidéo avec deux nouvelles consoles qui ont été annoncées, qui sont sorties depuis l’automne, donc la nouvelle Playstation 5 et la nouvelle Xbox et donc ça, ces deux produits phares de Noël qui sont malheureusement en rupture…

Ce sont des produits qui ont également entraîné des stress de plateformes très très forts. A chaque moment où il y avait des consoles, en particulier la playstation qui était en vente, on voyait des d’activités, sur les sites FNAC DARTY ou les concurrents, vraiment exceptionnelles…

C’est ce que l’on disait en préparant l’interview, vous avez eu aussi un moment de blackout !

Oui nous aussi. On a eu effectivement un blackout lié au trafic au moment où on a mis en vente des Playstation 5.

Alors ce pic annuel, il revient fatalement chaque année, quand est-ce que vous le préparez ? Combien de mois avant et comment vous le préparez à la fois sur l’aspect IT mais aussi sur l’aspect cyber ?

En gros, c’est vrai que c’est une campagne qui se prépare assez longtemps en avance. On fait souvent en janvier un peu un bilan de notre pic période pour garder en mémoire tout ce qui s’est passé, poser un petit peu à froid nos éléments d’amélioration pour l’année qui vient et puis on relance les chantiers vraiment au mois de juillet, et à partir de juillet, août, septembre jusqu’à novembre, on réalise un certain nombre d’améliorations, d’optimisations, de constructions, de nouvelles infrastructures, redimensionnement des éléments du réseau.

Voilà on regarde un petit peu toutes les chaînes, toutes les briques. On réalise aussi quand même beaucoup de changements et on a des nouveautés, des nouvelles features qui sont développées pendant tout le premier semestre et donc il faut qu’on tienne compte aussi de ces nouveautés qui viennent modifier notre écosystème pour se préparer au mieux aux pics de charge. Des stress tests et beaucoup d’opérations.

Dans cette période de forte activité, vous faites très attention à l’expérience utilisateur, que d’ailleurs, vous retravaillez d’année en année !

Les clients, c’est un sujet clé pour nous. On a des challengers qui sont extrêmement performants et qui font monter la barre toujours plus haut. Donc nous, on se doit aussi de se réinventer avec un modèle qui n’est pas pure player mais omnicanal.

Donc on doit assurer des parcours les plus fluides entre les sites internet et les magasins. On sait qu’il y a énormément de choses à faire encore sur le service après-vente, mais on est dans une dynamique où, depuis un an et demi, on a transformé aussi nos organisations sein de la dsi pour avoir plus d’agilité.

On a des feature team qui sont capables de livrer des modules sur nos sites de manière assez indépendante.

Chaque brique du site est un projet que vous développez avec des équipes dédiées ?

Exactement ! Autour des sites internet, on a une quinzaine d’équipes qui développent des features pour développer les parcours.

Jean-Luc CERDAN, Directeur Cybersécurité chez Fnac Darty
Quelle est la place de legacy dans votre activité et votre activité en ligne ? Et comment adaptez-vous votre legacy ? Comment travaillez-vous d’année en année pour vous adapter au contexte ?

Jean-Luc CERDAN : Le legacy est une pierre angulaire du SI, du système informatique et chaque vente traverse les legacy, que ce soit chez FNAC ou DARTY. En permanence, on réajuste les réglages, les réglages de legacy et on augmente ou on baisse les puissances en fonction de l’activité. et en termes de cybersécurité, évidemment on s’assure que tous les accès au legacy sont les bons, pas trop ou pas assez, si on règle notre legacy.

On a parlé également de l’IT qui vient au coeur des boutiques avec le click and collect qui a été beaucoup utilisé ces derniers mois. Mais il y a aussi une autre raison, c’est que vos partenaires et prestataires livreurs n’ont pas forcément ce niveau de scalabilité que vous avez dans l’IT. Comment vous travaillez avec eux et comment vous intégrez l’IT au sein des entreprises d’un point de vue physique ?

Jean LABORDE : C’est vrai que, comme on est un groupe, on a l’avantage de pouvoir faire de la livraison à domicile, un peu comme un pure player mais également de faire de la remise de colis aux consommateurs par nos magasins, c’est un canal de livraison qui nous permet de déborder également quand les capacités de livraison à domicile sont un petit peu saturées. Et ça, on l’a vu très fortement lors du premier confinement.

Il y avait des problématiques au niveau de la poste, au niveau de Chronopost qui n’était plus capable de livrer tous les volumes et toutes les quantités de colis que l’on fabriquait. Et donc, à ce moment-là, on s’est dit : il faut qu’on utilise mieux, quand nos magasins sont ouverts, ses capacités. Et c’est ce qu’on fait en ce moment en incitant nos clients à venir retirer des colis en magasin avec des promotions par exemple, en leur donnant 2, 4, 5 euros pour aller retirer un colis en magasin parce que ça permet d’amener les gens au magasin, ça permet aussi de créer du trafic dans les magasins et que ça permet aussi d’optimiser toutes les capacités de la logistique du dernier kilomètre.

En toute transparence, Jean, quand on a eu le premier confinement, est-ce que vous étiez prêts à voir un tel afflux ? J’imagine que oui puisque vous avez l’habitude de vivre les périodes de Noël. Comment vous l’avez vécu au sein de vos équipes IT ?

Jean LABORDE : Alors ça a été quand même un choc parce que l’annonce a été assez rapide et il a fallu réagir très vite. On a eu deux chocs : un choc sur toutes les équipes du siège. Il a fallu être en télétravail de manière très rapide en quelques jours où on a basculé 2000 personnes, il y avait une journée de télétravail par semaine maximum pour 30% des effectifs. On a dit : maintenant on ferme le siège ! Donc tout le monde doit être capable de travailler à la maison avec les bons vpn, avec des postes mobiles. Ça a été un défi numéro un.

Et puis défi numéro deux, c’était plus sur le business : on ferme nos magasins. Avant le Covid, les magasins c’était 80 % du chiffre d’affaires, quand on ferme cette porte-là, forcément l’activité est très lourdement impactée. Donc il a fallu que l’on mette tout le poids du corps sur le e-commerce pour le faire monter, le faire accélérer et on l’a fait accélérer à x 2 x 3 par rapport à son rythme habituel, en faisant énormément de petites évolutions en mode commando et donc là, il y a eu des cellules qui sont montées, très intégrées, entre des gens opérationnels de la logistique, les gens du commerce et des équipes IT. On était en pilotage très cours, matin, soir, en sprint, le comex, jusqu’au développement à peu près.

Jean-Luc, si vous deviez donner un mapping aux DSI, RSSI, qui nous écoutent, des risques cyber auxquels vous êtes confrontés ?

Jean-Luc CERDAN : Aujourd’hui très clairement, les risques et les difficultés que l’on rencontre, c’est toutes les attaques ddos. J’ai des chiffres sous les yeux, on parle de 5 millions d’attaques, sur le mois de novembre, sur Darty et on parle de 275 millions d’attaques sur Fnac et les problèmes qu’on rencontre également c’est tout ce qui est tentative d’intrusion de codes malicieux.

Avec une hausse pendant le Covid  ?

Jean-Luc CERDAN : On a constaté une hausse pendant le Covid sur Darty. Alors les attaques ddos sont montées 85 millions de tentatives. Fnac est resté relativement stable. Et concernant les attaques applicatives, on n’a pas eu de hausse pendant le Covid. Par contre, sur le mois de novembre, on est passé de 2 millions et demi d’attaques sur Darty à 30 millions d’attaques sur les injections de code. Quant à Fnac, c’est resté relativement stable et on est plutôt à 75 millions de tentatives d’injections de code. C’est stable, c’est agréable. C’est votre quotidien ! C’est notre quotidien.

À ces intrusions-là, quels autres cyber risques ?

Jean-Luc CERDAN : La difficulté qu’on a et pour lequel on est passif, que l’on subit, c’est tout ce qui est phishing, le phishing des clients. Et vous me disiez que c’était finalement ce qu’il y a de pire pour vous, le phishing des clients ! Parce que c’est l’image de marque, c’est l’image de l’enseigne qui est touchée. Et là, encore une fois, on prend quand même des initiatives.

D’abord, on informe nos clients, on envoie des campagnes de mails régulières à nos clients sur les risques du phishing. 18 millions de mails régulièrement. Mais également, on a des pages sur les sites qui explique les risques du phishing et ce qu’il ne faut pas faire. On a remis en place des adresses mail pour que les clients puissent nous adresser les emails de phishing.

Et puis, également, on a toute une procédure en interne qui nous aident à faire fermer les sites. À titre d’exemple, en 2019, on a fait fermer 377 sites avec l’aide de notre service juridique et en 2020, à fin novembre, on a fait fermer 220 sites.

Si vous deviez donner le parcours d’une fermeture d’un site extérieur sans rentrer dans la confidentialité, quelles sont les différentes étapes ?

Jean-Luc CERDAN : Notre service juridique va porter plainte, c’est la première chose et puis notre service juridique prend contact avec les hébergeurs. C’est avec l’aide des hébergeurs que l’on fait fermer des sites en fait.

On va revenir sur la transversalité. Comment travaillez-vous avec votre service juridique dans cette démarche à la fois en préventif et puis aussi, une fois l’attaque passée ?

Jean-Luc CERDAN : Nous avons mis en place une procédure où toutes les tentatives d’attaque sont loguées et disponible auprès du service juridique et très régulièrement, chaque semaine, le service juridique reprend toutes ces données et les prend en charge directement, prévient la police, prend en charge toutes les procédures, etc. En fait, c’est une procédure qui a été imaginée il y a quelques années avec le travail de différentes directions qui a abouti à ces procédures.

Et la fuite de données, c’est aussi un sujet, puisque vous traitez de la donnée personnelle et des millions de données, peut-être même plus que des millions. Comment vous gérez la fuite de données ?

Jean-Luc CERDAN : La fuite de données, on est très transparent vis-à-vis de la CNIL. Quand on a une fuite de données ou risque de fuite de données, évidemment on prévient nos clients et on est très transparent vis-à-vis de la Cnil. Et là encore, on a une DPO dans ces cas-là qui prend la main et qui s’occupe de toutes les déclarations.

Jean LABORDE : C’est un sujet qui est très important pour nous et sur lequel on est extrêmement vigilant. On met en place toutes les mesures que l’on juge nécessaire pour protéger les données de nos clients et ce qu’on voit, c’est que l’on a beaucoup de tentatives d’intrusion dans les comptes des clients parce qu’il y a beaucoup d’attaques sur des sites tiers qui permettent de récupérer des logins, des password et donc, les pirates avec ces listings de login password essaient chez nous, sur Fnac, sur Darty de rentrer dans le compte du client et de récupérer des informations additionnelles, des adresses postales, des numéros de téléphone, etc.

Et donc, les quelques fois où on constate que, on a des comptes de clients qui ont pu être accédés lors de campagnes de scraping, à ce moment-là, on reset le password du client, on l’informe, on a une procédure pour verrouiller ça, lui demander de resécuriser son espace personnel. Aujourd’hui on a des niveaux de sécurité qui sont au standard, demain peut-être qu’il faut encore aller plus loin vers du double facteur pour l’authentification des comptes.

C’est un projet, le double facteur ?

Jean-Luc CERDAN : Nous sommes en train d’y penser, de même qu’on a renforcé également la politique de mot de passe : on s’aligne sur l’ANSSI, et oui, on est en train de réfléchir potentiellement à un mettre du MFA pour nos clients également (Multi-Factor Authentication).

Fnac-Darty-Monde
Fnac-Darty-Monde

Comment organisez-vous votre gouvernance avec ce duo DSI-RSSI et comment la maintenez-vous au quotidien ?

Jean LABORDE : Alors au quotidien, on a des points hebdomadaires avec un tableau de bord sur les enjeux cybersécurité, donc tous les indicateurs classiques d’attaque de la semaine passée. On va faire un petit point de santé et de voir la situation. Ensuite, on a un point mensuel entre Jean-Luc avec un comité. Jean-Luc partage les grands chantiers en cours avec les directeurs de domaine ; le codir, le directeur marchandises, le directeur SI clients, le directeur web, le directeur de la data particuliers.

Donc avec ces différentes personnes, on a un point mensuel et le suivi des chantiers de sécurité. C’est un chantier qui permet d’aligner la politique de sécurité avec les gens qui délivrent les projets, qui font les évolutions sur les systèmes.

Et puis il y a un deuxième axe, c’est la sécurité de Jean-Luc avec plutôt des acteurs coté métier ; la direction juridique on en a parlé, DPO, très important, on a tous les sujets GDPR en cours, mais également une direction sécurité gestion des risques groupe qui permet aussi d’avoir des relations avec l’organe, la police.

Est-ce que vous pouvez nous en dire un peu plus sur la relation entre les directeurs sécurité-sûreté, et le RSSI et le DSI ?

Jean-Luc CERDAN : Comme le disait Jean, on a différents comités qui nous permettent de diffuser les risques cybersécurité. Puis ça nous permet également de transmettre par leurs canaux, d’envoyer les bons messages aux différentes directions et pourquoi pas au Comex.

Par rapport aux Comex justement, comment les sensibilisez-vous sur la cybersécurité ? Est-ce que finalement, vous avez d’ailleurs besoin de les sensibiliser ou peut-être pas ?

Jean LABORDE : Alors ils sont très attentifs et on voit de plus en plus de relais dans la presse data, d’entreprises qui sont impactées, donc forcément, ça les préoccupe. Ensuite, dans la gouvernance, entre le Comex et l’IT, on a une instance mensuelle, entre 1 et 2 heures, où l’IT peut parler au Comex et mettre sur la table un certain nombre de sujets.

C’est souvent l’occasion de faire un zoom sur des enjeux de protection, de cybersécurité, sur la partie assurance par exemple, l’assurance cyber, et rajouter des outils pour nous protéger, pour mieux détecter, pour mieux bloquer des attaques. Ce sont des sujets que Jean-Luc et moi expliquons au Comex.

Quand on a quelque chose qui est prêt, qui est mûr sur lequel on veut un arbitrage, on le présente dans cette instance mensuelle.

Le RSSI est un peu comme le directeur sécurité-sûreté, c’est un peu celui qui met les barrières, celui qui bloque ! Comment on arrive à ne pas être perçu comme celui qui bloque et qui met de la sécurité partout pour peu de choses pour certains ?

Jean-Luc CERDAN : D’abord, on passe par beaucoup de communication. On explique ce qu’on fait, on explique pourquoi on le fait. On utilise ces fameux canaux, ces différents comités pour passer la bonne parole et puis surtout, ce qu’on essaie de faire, ce n’est pas de dire juste « non » mais de dire, « cette solution-là ne m’arrange pas ; en revanche, tu peux faire la même chose si tu prends cette solution-là qui elle, est beaucoup plus sécurisée ».

En fait, on ne bloque pas ! On propose des solutions, c’est l’enjeu ! Et la communication surtout ! Qu’est- ce qu’on fait, pourquoi on le fait !

Jean LABORDE : Jean-Luc et son équipe sont aussi acteurs de la sécurité. Ils ne font pas juste de la définition de la politique, les règles ; « vous respectez, vous ne respectez pas et puis je contrôle ». Ils font remonter le cyber au Comex mais aussi, ils sont impliqués dans des run de pilotage quotidien opérationnel de ce qui se passe, de nos attaques, et donc cela crée de la proximité avec les équipes Prod & Infrastructures par exemple.

Il y a de beaux sujets et des projets et c’est une équipe qui contribue et qui n’est pas juste-là en tant que gendarme ou empêcheur de tourner en rond !

Quels sont les prochaines grandes étapes au sein du groupe Fnac-Darty, dans l’IT et la cybersécurité en particulier ?

Jean LABORDE : Comme beaucoup de groupes de notre taille, on est en train d’accélérer le move to cloud, donc vers le cloud public forcément. On développe des environnements et des infrastructures sur des environnements un peu nouveau pour nous. On pense que l’on maîtrise assez bien la sécurité et les plateformes sur du On Prem de l’hébergement traditionnel. Pour le cloud, c’est un challenge ! Il faut acquérir de nouvelles compétences, il faut développer des nouvelles pratiques, l’équipe cyber doit monter en compétences et puis également, elle doit être force de propositions, expliquer, développer toutes ces nouvelles pratiques auprès des développeurs qui s’approprient ces nouveaux environnements.

Jean-Luc, sur l’année 2021, en termes de cybersécurité, quels sont vos principaux chantiers ?

Jean-Luc CERDAN : Le programme, c’est que la sécurité est revue chaque année ! Elle est présentée à Jean chaque année. Là, on surveille tout particulièrement les agressions autour de l’AD puisqu’on sait que 90 % des attaques, c’est sur l’annuaire d’entreprise, donc on est particulièrement vigilant là-dessus et le phishing également, que ce soit externe mais également le phishing interne. Ce seront les enjeux 2021.

Merci beaucoup, merci Jean, merci Jean-Luc.

LES BIO :

Jean LABORDE est diplômé de l’Ecole des mines. Il a été consultant pour le groupe Carrefour, et pendant sept ans chez Accenture en tant que consultant puis manager retail. En 2011, il intégre le groupe Fnac à la direction des approvisionnements et de la supply chain. Et en 2017, il devient chief operating officer sur le territoire belge, puis en 2018, CIO adjoint du groupe FNAC DARTY.

Jean-Luc CERDAN intégre FNAC DARTY en 2002. D’abord en tant qu’ingénieur systèmes avant de devenir le Directeur de la gouvernance en 2013, puis directeur de la production en 2016, fonction qu’il continue d’occuper d’ailleurs après la fusion entre les deux marques. Enfin en mars 2019, il est nommé Directeur de la cybersécurité pour le groupe FNAC DARTY.

Interview réalisé par Julien MERALI, General Managers IT – AGORA MANAGERS

 

Agora RSSI & CISO
Afficher plus

Agora RSSI et CISO

L’Agora RSSI et CISO est l’une des 17 communautés d’Agora Managers Clubs. Tous les membres exercent obligatoirement ladite fonction et sont issus d’un groupe ou d’une entreprise de plus de 500 salariés.
Bouton retour en haut de la page