- Trophées 2024 : 8 gagnants récompensés par Solutions numériques & cybersécurité
- Albert, l'IA pour les cas d'usage de l'Administration française
- Agence du Numérique en Santé : SI-SAMU, le programme d'État qui numérise les SAMU
- La Croix-Rouge assure la disponibilité de ses données les plus critiques
- Chorus : migration réussie du SI vers S/4 HANA
- IA générative : Acorus à l'avant-garde
- ALAIN AFFLELOU orchestre avec brio son parcours client idéal
- Carrefour gère à distance ses 60 000 endpoints dans une architecture Zero Trust
- Veolia Eau : le cycle de l'eau 100 % numérisé
Le groupe Carrefour bascule vers une architecture Zero Trust et s’est retrouvé confronté à un problème de taille : concilier ZTNA et prise en main à distance, fonction indispensable au support des 60 000 postes répartis dans le monde.
Avec un objectif 100 % cloud d’ici 2026, Carrefour met les bouchées doubles pour parvenir à ses fins. « Aujourd’hui, nous sommes à 80 % mais, comme chacun le sait, ce sont les 20 derniers pourcents qui sont les plus durs à aller chercher », précise Grégory Strzelecki, responsable du pôle End-User Digital Devices Solutions chez Carrefour. Ce dernier est en charge de toute la partie poste de travail, mobilité et virtualisation du poste de travail.
Présent dans 40 pays dans le monde, Carrefour recense 14 348 magasins dont 5 755 en France et 335 000 collaborateurs dans le monde dont 85 000 en France. Avec un chiffre d’affaires de 90 milliards d’euros, le spécialiste de la grande distribution affiche une part de progression dans le commerce alimentaire de 26 % en 2022.
Grégory Strzelecki gère, à l’échelle internationale, les trois briques suivantes en termes de postes de travail : 52 000 postes Windows, 7 000 postes Chrome OS et 130 postes Apple (pilotés avec JAMF). « Notre stratégie est d’aller autant que possible vers Chrome OS. Côté mobilité, nous gérons tout le cycle de vie de l’ensemble des appareils : sécurité, déploiement des applications et mises à jour. Sur la partie mobilité, nous gérons également le store applicatif, à savoir une centaine d’applications. Nous avons encore de vieux terminaux mobiles Windows que nous gérons à travers une solution qui s’appelle Avalanche et qui est en fin de vie. Ces gros terminaux durcis servent essentiellement au scanning pour de l’inventaire, du relevé de prix, etc. »
Carrefour déploie une flotte de nouveaux terminaux mobiles sous Android avec la solution MobileIron Cloud. « Cela représente à peu près 60 000 terminaux mobiles en tout, gérés à travers ces deux solutions. Et on gère environ 20 000 appareils collaborateurs, plutôt en mode BYOD à travers le MDM Google. Je suis également la brique virtualisation. Nous pilotons encore de vieilles solutions que nous sommes en train de décommissionner à base de clients légers et d’hyper-viseurs Hyper-V. Nous remplaçons également nos solutions Citrix par la solution Frame de Nutanix, qui a été rachetée par Dizzion. » Parmi les derniers chantiers terminés, Carrefour a réorganisé les plateformes de ses sites d’e-commerce pour avoir une meilleure expérience omnicanale. L’idée est de lier et d’uniformiser pour que le client puisse accéder aux mêmes informations depuis n’importe quel support. Il peut, par exemple, commencer un achat sur son téléphone mobile et le finaliser dans le magasin ou par une livraison à domicile.
Un millier d’attaques repoussées par mois sur carrefour.fr
La traçabilité alimentaire se fait à travers la blockchain pour certains des produits. Carrefour génère à peu près 900 teraoctets de données dans le cloud. « Nous avons 14 500 soumissions de code chaque mois, 1 milliard d’échanges de données entre nos différents systèmes et, enfin, nous repoussons un millier d’attaques à destina-tion de notre site carrefour.fr chaque mois. Pour parer ces attaques, nous avons donc un SOC interne, qui se sert de l’outil Splunk pour l’aider dans sa tâche. Ce service est composé d’une équipe de 18 personnes auxquelles une bonne partie des pays sont rattachés. »
Carrefour envisage d’aller vers du Zero Trust de façon progressive. « Nous nous sommes appuyés sur la solution Cloudflare, derrière laquelle nous avons mis Frame Dizzion, et nous y mettons progressivement l’ensemble de nos outils de backoffices financiers, magasins et métiers. Des applications de traitement des emballages sont par exemple présentes dans l’ensemble des magasins. Et on a également mis le maximum de sites d’e-commerce derrière cette solution. »
Concernant, la sécurisation des communications, toujours dans cette approche Zero Trust, Carrefour a mis en place une stratégie avec Netskope Private Access qui a été déployée l’année dernière pour traiter le trafic interne à travers le proxy sortant et les accès VPN. La mise en place de cette solution a eu comme effet de rendre inopérante la solution de prise en main à distance en place, SCCM Remote Tools. « Nous avons eu des problèmes de routage liés à la rupture protocolaire de la nouvelle solution Netskope. » Pour résoudre le problème de prise en main à distance, Carrefour a cherché une autre solution qui pouvait également suivre une stratégie ZTNA. « Avec BeyondTrust nous avons eu la possibilité d’avoir un RBAC (Role-Based Access Control) performant, des flux remontant uniquement la possibilité d’avoir un vote intégré pour les équipes. La solution nous apporte aussi des capacités d’audit et de monitoring intéressantes et importantes pour, éventuellement, savoir ce qu’il s’est passé sur le poste d’un collaborateur. En plus de cela, on souhaitait pouvoir prendre la main sur les appareils mobiles, ce qui était un périmètre non couvert jusqu’à présent. Or, nos appareils sont assez variés, on a à peu près toutes les marques, du Zebra, du Datalogic, du Samsung, etc. Avec BeyondTrust, nous avons trouvé une solution moderne et simple à utiliser. »
Quels outils ou architectures étaient utilisés avant ? « Nous avions une variété de solutions de PMAD (prise en main à distance) souvent liées aux outils qui venaient les gérer. C’est-à-dire que nous utilisions le SCCM (System Center Configuration Manager) Remote Tools pour gérer les postes Windows sous SCCM. Nous utilisions la solution Avalanche pour gérer les terminaux Windows CE. Les terminaux Android et Mac OS n’étaient pas couverts. Pour la partie Chrome OS, nous utilisons Chrome Remote Desktop. »
Au moment de la mise en place de Netsktope, en mai 2022, le groupe a commencé à chercher des solutions qui pourraient venir l’aider sur la partie prise en main à distance. Le but d’une solution SaaS, en plus de permettre une rationalisation des coûts, est de faciliter cette prise en main pour les opérateurs. Tout s’est fait assez rapidement avec la solution de BeyondTrust, grâce à une très bonne qualité des intervenants techniques. Et la solution cochait toutes les cases : « Une interface simplifiée pour les équipes, un outil très polyvalent avec beaucoup de fonctionnalités de sécurité. »
Les bénéfices
- Les informations recherchées sont directement accessibles via la console du technicien de support, ce qui simplifie les choses pour l’utilisateur.
- Le partage est transparent et extrêmement rapide, avec une possibilité pour l’agent d’avoir l’ensemble des écrans de l’utilisateur. « Surtout maintenant, avec des collaborateurs qui travaillent beaucoup depuis leur domicile et avec des écrans supplémentaires. On peut afficher jusqu’à trois écrans, ce qui est pas mal », Grégory Strzelecki
- Un gain de temps pour les opérateurs, comme le souligne Grégory Strzelecki, « parce qu’on peut automatiser une partie des remédiations standards à travers des scripts qui peuvent être exécutés pendant la session ou sans prendre la main sur le poste. Et pour le technicien, il y a également des informations et des analyses qui sont visualisables avant de prendre la main sur le poste également. On peut savoir quels sont les processus qui tournent : est ce qu’il y a assez de CPU, de RAM, l’espace disque restant, etc. Cela sans avoir besoin de se connecter, juste avec l’agent qui remonte des informations. »
- Le technicien dispose d’une connexion simplifiée. « Il n’a plus besoin d’aller saisir une IP, un nom de machine et/ou des credentials. Tout se fait à travers un SSO interne, et s’il est à l’extérieur de l’entreprise, il sera soumis au MFA. »
- Amélioration des KPI des services Desk Manager. « Avec les outils de collaboration, on peut inviter d’autres experts si le technicien n’est pas expert sur un des sujets. Il n’y a pas de rupture de connexion. Un hotliner de niveau 1 peut donner la main, par exemple, à un hotliner applicatif et de façon assez transparente, sans perturbation et sans rappel de l’utilisateur. Ça va généralement plus vite et l’expérience utilisateur s’en trouve améliorée. »
Calendrier de déploiement
- Septembre 2022 : début de l’appel d’offres
- Décembre 2022 : choix de BeyondTrust
- Fin janvier 2023 : préparation des prérequis pour lancer le projet
- Mi-février 2023 : mise en place de outils côté BeyondTrust.
- Mars 2023 : réalisation des premiers pilotes de validation avec les équipes support
- Avril 2023 : découpage RBAC pour déployer correctement auprès des équipes. « Il faut que tout soit bien cloisonné et bien définir les rôles et responsabilités de chacun. C’est vraiment ça qui a été le plus long. Un travail plutôt interne pour connaître parfaitement les rôles et responsabilités de chacun sur des lots de machine », Grégory Strzelecki
- Mai 2023 : lancement des tests sur les différents périmètres prédéfinis
- Juin 2023 : démarrage du déploiement sur l’ensemble des machines
- Octobre 2023 : 20 000 postes déployés