Comment Carrefour gère à distance ses 60 000 endpoints dans une architecture Zero Trust internationale

Grégory Strzelecki est responsable du pôle End-User Digital Devices Solutions chez Carrefour. En charge de toute la partie poste de travail, mobilité et virtualisation du poste de travail il accompagne le groupe dans sa bascule vers un architecture Zero Trust et s’est retrouvé confronté à problème de taille : concilier ZTNA et prise en main à distance, fonction indispensable au support des 60.000 postes répartis sur le globe. Il a accepté de répondre à nos questions et nous explique comment il s’en est sorti.

Grégory Strzelecki, responsable du pôle End-User Digital Devices Solutions chez Carrefour

Avec un objectif 100 % cloud d’ici 2026, le Groupe Carrefour met les bouchées doubles pour parvenir à ses fins. “Aujourd’hui, nous sommes à 80 % mais, comme chacun le sait, ce sont les 20 derniers pourcents qui sont les plus durs à aller chercher”, précise Grégory Strzelecki. Présent dans 40 pays dans le monde, Carrefour recense 14 348 magasins dont 5755 en France, 335 000 collaborateurs dans le monde dont 85 000 en France. Avec un chiffre d’affaires de 90 milliards, le spécialiste de la grande distribution affiche une part de progression dans le commerce alimentaire de 26 % en 2022. 

 

Quel est votre périmètre d’intervention ?

Je gère, à l’international, les trois briques suivantes : En termes de postes de travail, nous avons 52 000 postes Windows, 7000 Chrome OS et 130 Apple (que nous pilotons avec JAMF). Notre stratégie est d’aller autant que possible vers Chrome OS. Côté mobilité, nous gérons tout le cycle de vie de l’ensemble des devices : sécurité, déploiement des applications et mises à jour. Nous gérons également sur la partie mobilité le store applicatif, à savoir une centaine d’applications. Nous avons encore de vieux terminaux mobiles Windows que nous gérons à travers une solution qui s’appelle Avalanche et qui est en fin de vie. Ces gros terminaux durcis servent essentiellement au scanning pour de l’inventaire, du relevé de prix, etc.

52 000 postes Windows, 7000 Chrome OS et 130 MACOS

Nous déployons actuellement une flotte de nouveaux terminaux mobiles sous Android avec la solution MobileIron Cloud. Cela représente à peu près 60 000 terminaux mobiles en tout, gérés à travers ces deux solutions. Et on gère à peu près 20 000 devices collaborateurs, plutôt en mode BYOD à travers le MDM Google. Je gère également la brique virtualisation. Nous pilotons encore de vieilles solutions que nous sommes en train de décommissionner à base de clients légers et d’hyperviseur Hyper-V. Nous remplaçons également nos solutions Citrix par la solution Frame de Nutanix qui vient d’être rachetée par Dizzion. 

Quels sont les derniers chantiers qui ont été terminés ?

Nous avons réorganisé les plateformes de nos sites e-commerce pour avoir une meilleure expérience omnicanale à travers les différents canaux de vente. L’idée est de lier et d’uniformiser pour que le client puisse accéder aux mêmes informations depuis n’importe quel support. Il peut, par exemple, commencer un achat sur son téléphone mobile et le finaliser dans le magasin ou par une livraison à domicile. A titre d’illustration, nous réalisons 30 millions d’appels API sur nos applications chaque mois. 

30 millions d’appels API par mois
1 milliard d’échanges de données

La traçabilité alimentaire se fait à travers la Blockchain pour certains de nos produits. Nous générons à peu près 900 To de données dans le cloud. Nous avons 14500 soumissions de code chaque mois, 1 milliard d’échanges de données entre nos différents systèmes et, enfin, chaque mois, nous repoussons un millier d’attaques à destination de notre site Carrefour fr. Pour parer à ces attaques nous avons donc un SOC interne, qui se sert de l’outil Splunk pour l’aider dans sa tâche. Cette équipe est composée d’une équipe de 18 personnes auquel une bonne partie des pays sont rattachés 

Envisagez-vous d’aller vers du Zero Trust ?

Oui, nous avons comme stratégie d’aller de plus en plus vers du Zéro Trust mais de façon progressive. Nous nous sommes appuyés sur la solution Cloudflare derrière laquelle nous avons mis Frame Dizzion et nous mettons progressivement  l’ensemble de nos outils de back office financiers, magasins et métiers. Par exemple, des applications de traitement des emballages sont présentes dans l’ensemble des magasins. Et on a mis également le maximum de sites eCommerce derrière cette solution.

Un millier d’attaques REPOUSSEES PAR MOIS
SUR Carrefour.fr

Concernant, la sécurisation des communications, toujours dans cette approche Zero Trust, nous avons mis en place une stratégie avec Netskope Private Access qui a été déployée l’année dernière pour traiter le trafic interne à travers le proxy sortant et les accès VPN. La mise en place de cette solution a eu comme effet de rendre inopérante notre solution de prise en main à distance en place, SCCM Remote Tools. Nous avons eu des problèmes de routage lié à la rupture protocolaire de la nouvelle solution Netskope.

Comment avez-vous solutionné le problème de prise en main à distance ?

Nous avons cherché une autre solution de prise en main à distance qui pouvait suivre également une stratégie ZTNA. Avec BeyondTrust nous avons eu la possibilité d’avoir un RBAC (Role-Based Access Control) performant, des flux remontant uniquement la possibilité d’avoir un vote intégré pour les équipes. La solution nous apporte aussi des capacités d’audit et de monitoring intéressantes et importantes pour, éventuellement, savoir ce qui s’est passé sur le poste d’un collaborateur. En plus de cela, on souhaitait pouvoir prendre la main sur les devices mobiles, ce qui était un périmètre non couvert jusqu’à présent. Or nos devices mobiles sont assez variés, on a à peu près toutes les marques, du Zebra, du Datalogic, du Samsung, etc. Avec BeyondTrust, nous avons trouvé une solution moderne et simple à utiliser.

Qu’aviez-vous comme outils ou architecture avant ?

Nous avions une variété des solutions de PMAD (Prise en Main A Distance) souvent liées aux outils qui venaient les gérer. C’est-à-dire que nous utilisions SCCM (System Center Configuration Manager) Remote Tools pour gérer les postes Windows sous SCCM. Nous utilisions la solution Avalanche pour gérer les terminaux Windows CE. Les terminaux Android et Mac OS n’étaient pas couverts. Pour la partie Chrome OS, nous utilisons Chrome Remote Desktop. 

Quelle est la démarche que vous avez utilisée pour choisir la solution ?

Au moment de la mise en place de Netsktope, en mai 2022, nous avons commencé à chercher des solutions qui pourraient venir nous aider sur la partie prise en main à distance. On a tout de suite éliminé la solution Anydesk parce qu’on cherchait avant tout une solution SaaS. Donc on s’est concentrés sur la partie Remote Support et TeamViewer support. Il fallait également que ce soit simple à mettre en œuvre. Le but d’une solution SaaS, en plus de permettre une rationalisation des coûts, est de faciliter la prise en main à distance pour les opérateurs. Tout s’est fait assez rapidement. D’une part parce qu’on a eu un très bon accompagnement de la part de BeyondTrust, avec une très bonne qualité des intervenants techniques. Et d’autre part parce qu’elle cochait toutes les cases : une interface simplifiée pour les équipes, un outil très polyvalent avec beaucoup de fonctionnalités de sécurité, avec tout ce qui va être injection de mot de passe à travers le Vault, et la possibilité d’exécuter des scripts également pour les opérateurs de maintenance, ce qui peut être assez pratique. Dans le cahier des charges, il y avait également un besoin de RBAC très poussé. On a des découpages en termes de machine et puis de périmètre de support. Donc, on a créé ces deux regroupements de techniciens, de machines, et après on a construit notre RBAC comme ça.

LE CALENDRIER

  • Septembre 2022 : Début de l’appel d’offres lancé 
  • Décembre 2022 : Choix de BeyondTrust
  • Fin janvier 2023 : Préparation des prérequis pour lancer le projet et 
  • Mi-février 2023 : Mise en place de l’appliance côté BeyondTrust. 
  • Mars 2023 : Réalisation des premiers pilotes de validation avec les équipes support
  • Avril : Découpage RBAC pour déployer correctement auprès des équipes “il faut que tout soit bien cloisonné et bien définir les rôles et responsabilités de chacun. C’est vraiment ça qui a été le plus long. Un travail plutôt interne pour savoir complètement les rôles et responsabilités de chacun sur des lots de machine.”, Grégory Strzelecki
  • Mai 2023 : Lancement des tests sur les différents périmètres prédéfinis 
  • Juin 2023 : Démarrage du déploiement sur l’ensemble des machines
  • Octobre 2023 : 20.000 postes déployés

LES BENEFICES

  • Les informations recherchées sont directement accessibles via la console du technicien de support, ce qui simplifie les choses pour l’utilisateur
  • Le partage est transparent et extrêmement rapide, avec une possibilité pour l’agent d’avoir l’ensemble des écrans de l’utilisateur. “Surtout maintenant, avec des collaborateurs qui travaillent beaucoup en télétravail et avec des écrans supplémentaires. On peut afficher jusqu’à trois écrans, ce qui est pas mal.”, Grégory Strzelecki
  • Un gain de temps pour les opérateurs “parce que justement, on peut automatiser une partie des remédiations un peu standard à travers des scripts qui peuvent être exécutés pendant la session ou même sans prendre la main sur le poste. Et pour le technicien, il y a également tout un tas d’informations, d’analyses qui sont visualisables avant de prendre la main sur le poste également. C’est-à-dire que l’on peut savoir quels sont les processus qui tournent : est ce qu’il y a assez de CPU, de RAM, l’espace disque restant, etc. Cela sans avoir besoin de se connecter, juste avec l’agent qui remonte des informations.” , Grégory Strzelecki
  • Le technicien dispose d’une connexion simplifiée. “Il n’a plus besoin d’aller saisir une IP, un nom de machine et saisir des credentials. Tout se fait à travers un SSO interne, et s’il est à l’extérieur de l’entreprise, il sera soumis au MFA.”, Grégory Strzeleck
  • Amélioration des KPI des services Desk Manager. “Avec les outils de collaboration, on peut inviter d’autres experts si le technicien n’est pas expert sur un des sujets. Il n’y a pas de rupture de connexion. Un hotliner de niveau 1 peut donner la main, par exemple, à un hotliner applicatif et lui passer la main de façon assez transparente, sans perturbation et sans rappel de l’utilisateur. Ça va généralement plus vite et l’expérience utilisateur s’en trouve améliorée.