Laurent Amsel (Carrefour) : « pendant les travaux de cybersécurité, les ventes continuent ! »

Pouvez-vous nous rappeler où en est Carrefour aujourd’hui ?

Carrefour est un des acteurs majeurs de la grande distribution dans le monde, présent dans plus de 40 pays, avec un chiffre d’affaires de 94,1 milliards d’euros (dont 988 millions en France).  Son réseau de magasins intégrés comptabilise plus de 300 000 collaborateurs qui contribuent à faire de Carrefour le leader mondial de la transition alimentaire pour tous, en offrant chaque jour une alimentation de qualité, accessible partout et à un prix raisonnable. Au global, plus de 500 000 personnes travaillent sous enseigne Carrefour dans le monde.

En tant que RSSI groupe, quelle est votre place dans l’organisation du groupe ?

Je suis rattaché au secrétaire général, membre du ComEx. Je suis donc en dehors des équipes techniques de la DSI. C’est un choix assumé de Carrefour.

Je pense que c’est un modèle vertueux dans notre cas car la cybersécurité concerne le business, le juridique et la conformité… et plus uniquement la technique (même si la fonction reste évidemment technique). SOC et CERT me sont rattachés.

Quelle est l’approche de Carrefour en matière de cybersécurité ?

Notre approche est hybride. Centralement, au niveau groupe, nous avons une sécurité opérationnelle, le SOC, le CERT et la sécurité opérationnelle. Au niveau de chaque pays, nous avons la sécurité des projets (y compris la sécurité des fournisseurs) et de l’organisation (notamment la sensibilisation des personnels).

La centralisation permet l’efficience. D’abord, quand une attaque survient, elle est souvent transnationale. Ensuite, en mutualisant SOC et CERT, nous pouvons faire bénéficier aux petits pays de toute la force du groupe car, seuls, ils n’auraient pas pu avoir le même niveau de cyber-protection. L’union fait la force.

A l’inverse, la proximité des métiers et de la culture nous semble nécessaire pour sécuriser les projets locaux et mener la sensibilisation des personnels dans la bonne langue avec la bonne approche.

Avez-vous cependant une politique de sensibilisation au niveau groupe ?

Globalement, nous nous assurons que tous les pays réalisent bien ce qu’il faut, comme des campagnes de faux phishing par exemple. Nous nous appuyons aussi sur des moments comme le Cybermois. Mais la réalisation est toujours locale.

Carrefour est partenaire premium des Jeux Olympiques et Paralympiques de Paris 2024. Est-ce que cela vous amène un défi particulier ?

Nous nous sentons évidemment concernés car nous sommes une très grande entreprise française en plus d'être partenaire premium et chacun sait que l’on observe, d’olympiade en olympiade, une forte progression des cyber-attaques associées. Evidemment, nous sommes donc en relation avec le comité d’organisation et d’autres partenaires à ce sujet.

Mais la cybersécurité est un effort constant. Nous réexaminons les fondamentaux.

Du coup, quels sont vos grands défis actuels ?

Comme tous mes confrères, je vais dire, en premier lieu, devoir s’adapter à l'évolution constante des cybermenaces.

Mais le principal défi, pour moi, est bien sûr d’accompagner l'évolution en cours du groupe Carrefour qui se digitalise et se transforme avec le Plan Carrefour 2026. Cela amène davantage de synergies, de mutualisations, y compris pour la cybersécurité. Nous avons déjà globalisé SOC et CERT mais nous avons d’autres éléments à mutualiser.

Et la cybersécurité ne doit jamais gêner le métier, même quand on la fait évoluer, évidemment en agilité. Pendant les travaux de cybersécurité, les ventes continuent ! Le RSSI ne doit jamais dire « non » mais toujours « oui mais ».