Boris Lecoeur explique que l’innovation est le trait commun de Carrefour et Cloudflare.
« L’innovation définit tout ce que nous faisons chez Cloudflare. Après avoir travaillé avec Carrefour pendant plus d’un an, j’ai découvert que Carrefour est très avancé en termes d’innovation » déclare Boris Lecoeur.

Michelle Zatlyn, co fondatrice, présidente et Chief Operation Officer (COO) de Cloudflare, créée il y a 13 ans, rappelle que son entreprise aide les organisations du monde entier à répondre à leurs besoins en matière de cybersécurité, de connectivité et de développement.
Guillaume Cécile directeur Secops du Groupe Carrefour a la responsabilité de la cybersécurité de Carrefour. Il explique qu’une de ses missions consiste à aider toutes les équipes informatiques de Carrefour à déployer une nouvelle technologie et à se familiariser avec elle.

Boris Lecoeur : L’IA change le monde, comme Maria nous l’a dit lors de son introduction. Mais avant d’aborder l’impact de l’IA sur la cybersécurité en particulier, je souhaite comprendre comment l’IA change vos activités et quelle influence elle a sur la vie des entreprises en général. Guillaume Cécile ?

« Carrefour a toujours eu le client à l’esprit » explique Guillaume Cécile. « Ainsi, parmi les premiers programmes d’IA que nous déployons il y a un programme permettant aux clients de préparer la liste de leur panier de courses avec le site d’e-commerce. Par exemple, vous pouvez dire : “je veux préparer un poulet légèrement citronné pour le dîner”, et il préparera la liste de tous les ingrédients nécessaires. Jusque là cela reste simple mais vous pouvez aller plus loin. Vous pouvez dire “nous sommes six”, et cela influera sur la quantité et l’IA mais si vous avez besoin de beurre pour votre préparation, l’IA vous demandera si vous avez assez de beurre dans votre frigo ou si elle doit ajouter du beurre à la liste ? C’est dans cette direction que nous travaillons. Ensuite vous pourrez préciser : “oh, je suis désolé, mais je ne veux que des produits bio”, et l’IA modifiera la liste. Vous pouvez aussi dire que vous ne souhaitez pas dépenser plus de 20 € pour le dîner et la liste sera modifiée pour s’ajuster au prix. Par ailleurs, nous travaillons aussi à voir comment IA peut permettre d’optimiser la supply chain en affichant par exemple les données pour chaque entrepôt. Ainsi, il va être possible de déplacer des stocks en fonction des besoins d’un entrepôt à un autre. L’IA nous aide aussi en matière de ressources humaines pour répondre à toutes les questions courantes qu’un collaborateur peut se poser comme par exemple ses congés, les documents nécessaires en cas de congés maternités... »

Michelle Zatlyn explique que chez Cloudflare, on utilise l’IA pour de nombreuses applications. « Nous avons eu l’invention de l’électricité, d’Internet et l’arrivée de l’IA. C’est dire si l’IA est importante à mes yeux.Cloudflare utilise principalement l’IA de deux manières. La première s’applique au domaine de la cybersécurité car l’IA y est très adaptée ; nous utilisons donc beaucoup d’IA dans nos solutions de cybersécurité pour protéger nos clients. Nous extrayons une grande partie des données sur les menaces dans le monde, puis nous utilisons l’IA pour prédire les vulnérabilités de type Zero Day. Dans ce cas, l’IA fonctionne vraiment très bien. Hier, nous avons arrêté pour le bénéfice de nos clients plus de 140 milliards de cyberattaques. Ce sont les technologies comme l’apprentissage automatique (Machine Learning) et l’intelligence artificielle qui nous permettent de le faire. Dans ce cadre, ces technologies sont très efficaces. Il est donc très important de réfléchir à la façon d’intégrer l’IA dans vos produits. Il faut dès à présent penser à la manière dont vous pouvez utiliser l’IA au sein de vos entreprises.
Le deuxième point, qui est enthousiasmant, c’est que nous savons que l’intelligence artificielle sera importante pour chaque organisation… Tout le monde tente de comprendre à quoi ressemblera demain, comment améliorer l’expérience client ? Comment optimiser votre opérationnel tout en perfectionnant l’expérience de vos clients ? Nous voulons aider nos clients dans cette démarche. Pour ce faire, Cloudflare gère un réseau mondial au sein duquel il a disposé des GPU à la périphérie. Cela permet aux organisations de faire des déductions (inférence), non pas des modèles de données, mais des déductions de ces modèles. Nous sommes donc très enthousiastes à l’idée de jeter les bases de cette initiative. Tout cela est récent et date seulement de quelques semaines, et je ne sais pas encore ce que les gens vont construire avec ces outils, mais j’ai hâte de revenir l’année prochaine afin de partager avec vous certains des nouveaux cas d’usages. »

Boris Lecoeur : C’est fascinant d’en apprendre plus sur l’IA générative. Cependant, au fur et à mesure que l’IA générative est de plus en plus adoptée, quels sont les risques de vulnérabilité et quels sont vos conseils aux RSSI en ce qui concerne cette adoption de l’IA générative ?

Guillaume Cécile considère que son premier conseil est de travailler sur la donnée. « On utilise de plus en plus de données. Par contre, si vous voulez avoir quelque chose de pertinent, vous avez besoin des bonnes données. Toutefois à des fins de sécurité, vous devez vérifier si les données sont vraiment pertinentes pour toutes les applications. Ensuite, vous devez contrôler les données. Vous devez dire exactement quelles données seront utilisées pour former le modèle. Vous devez en outre vous poser la question de savoir si ces données sont pertinentes pour ce cas d’application ou pas ? Est-ce de l’intégration pour le cas d’usage ou non ? Le deuxième conseil concerne l’industrie du commerce et de la distribution. Nous possédons beaucoup de données des clients, des noms, des adresses, des emails, numéros de téléphone, listes de courses, fréquences des visites en magasin… et nous devons être en conformité avec la loi, avec le RGPD par exemple. Il faut y accorder beaucoup d’attention, se poser les bonnes questions : suis-je conforme au RGPD ? Dois-je faire une déclaration à la DPO (Délégué de la protection des données), ce point est-il dans le contrat de consentement de l’utilisateur ? Etc. »

Michelle Zatlyn enchaîne : « Vous savez, lors de mes nombreux voyages durant lesquels je rencontre des entreprises, c’est toujours intéressant lorsque le sujet de l’IA est abordé. Par exemple, il y a des organisations comme Carrefour qui s’y intéressent réellement, qui innovent, expérimentent et l’utilisent de différentes manières. Ils ont réfléchi à une grande partie de la question des données. En revanche, il y a d’autres organisations qui ne savent pas par où commencer, parce qu’elles ont peur des risques à la fois nombreux et réels, n’est ce pas ? Je pense que l’un des bons modèles mentaux est qu’une fois que vous avez inséré les données dans le modèle d’IA, vous ne pouvez plus les récupérer. Ce qui est vraiment effrayant surtout si vous dirigez une organisation avec des informations sensibles. Par contre, il ne faut pas avoir peur de ces technologies ! c’est presque comme si vous décidiez de ne pas aller de l’avant parce que vous vous inquiétez des inconvénients. Ce que Guillaume Cécile a dit est vraiment important. Il faut s’assurer que vous disposez d’une sorte de processus sur la manière dont les données entrent. De cette manière vous vous sentirez à l’aise avec ces process et vous pourrez profiter des avantages, de l’innovation et de la productivité. Aujourd’hui ce sont des gains importants dont toute organisation a besoin, sans pour autant subir le risque de laisser des données sensibles entrer dans l’IA. »

Michelle Zatlyn ajoute un second cas d’usage de l’IA avec la prévention de la perte de données ( DLP) . « Chez Cloudflare, nous construisons ce cloud de connectivité, c’est-à-dire cette capacité pour les organisations de dire, je veux un moyen de m’assurer qu’aucune de mes données sensibles ne sorte et nous proposons une solution de DLP que certains de nos clients ont mis en œuvre. Si cette question de prévention des données vous préoccupe, trouvez une solution en interne ou via un fournisseur pour vous permettre de tirer sans crainte tous les bénéficies de l’IA. Par ailleurs, il est important de comprendre que les choses changent très vite et que tout ne fonctionnera pas forcément. Toutes les applications de l’IA ne seront pas couronnées de succès car c’est impossible. Ce n’est pas ainsi que fonctionne l’innovation. Vous allez tenter dix choses différentes, certaines réussiront et d’autres non. Il est donc important d’avoir une méthode d’évaluation de ce qui fonctionne ou pas. L’important est de se lancer, de commencer par quelque chose mais aussi de pouvoir admettre que cela ne fonctionne pas, d’arrêter afin d’utiliser ces ressources et ce temps pour faire autre chose. » conclut Michelle Zatlyn.

Boris Lecoeur : Cela pourrait aussi être une accélération de l’adoption du Zero Trust en termes de contrôle d’accès et d’ IA générative. Puisque vous êtes tous deux au cœur de l’innovation dans les deux entreprises, quelles tendances ou transformations voyez-vous sur le marché lorsque vous discutez avec vos clients et en interne dans votre organisation ?

Guillaume Cécile : « De mon côté, il n’y a pas de réel impact sur le fonctionnement de la cybersécurité. Nous allons contrôler le matériel à tout moment, le système d’exploitation et les nouveaux changements. Avec notre modèle nous pouvons savoir, quel serait l’impact si quelqu’un prenait le contrôle du modèle ? Par exemple, dans la chaîne d’approvisionnement, nous sommes en juillet et les modèles disent qu’il faut des parapluies. Est-ce pertinent ou pas ? Est-ce normal ou non ? Mais que se passe-t-il si le changement est très lent ? Quel est l’impact pour l’entreprise ? Par exemple, nous surveillons tout chez Carrefour à l’aide de l’IA. Quelle est la demande ? Quelle est la réponse ? Et nous vérifions s’il y a une dérive ou une erreur. »

Michelle Zatlyn approuve : « Ce sont de très bons exemples parce qu’ils sont simples. Vous pensez avoir dit, oh, bien sûr, ce fichier change, mais c’est le genre de choses concrètes que les équipes doivent en ce moment même surveiller. Actuellement, il y a beaucoup de tendances différentes qui rendent notre travail beaucoup plus difficile parce qu’il y a d’importants changements en cours, et il est compliqué de savoir ce qui va rester et ce qui va changer. Parmi les tendances intéressantes par exemple en matière de cybersécurité, les nouvelles vulnérabilités continuent d’être une priorité. Ainsi, cette semaine, il y avait une vulnérabilité dans le protocole Http2. Pour les entreprises se sont des situations complexes, inquiétantes et épineuses. Il y a cette vulnérabilité divulguée qui a permis trois fois plus d’attaques DDoS en termes de taille que les failles précédentes. Ainsi, Google, Amazon et Cloudflare sont également intervenus pour permettre de mieux comprendre cette vulnérabilité. Nous devons rester vigilants et continuer à travailler ensemble. S’il est vrai que les attaques deviennent de plus en plus importantes, la technologie est bien meilleure aujourd’hui ; c’est la bonne nouvelle. Assurez-vous de bénéficier d’une bonne protection des couches sept, trois et quatre.
Plus largement, il existe une énorme convergence entre les équipes réseau, les équipes de sécurité et les équipes informatiques. C’est assez récent car il y a dix ans encore, les organisations étaient plutôt cloisonnées et des décisions se faisaient sans consulter des autres services de l’entreprise. Aujourd’hui, il est difficile de prendre une décision sans l’avis et l’aval des autres services. Dans certaines organisations, les équipes travaillent très bien ensemble. Ce travail collaboratif est passionnant car on apprend à mieux se connaître. Dans d’autres organisations, c’est plus difficile et ce manque de communication conduit peu à peu à une impasse. Il est donc important que les équipes de sécurité communiquent avec les équipes réseaux et les DSI d’autant plus avec la montée en puissance du Zero Trust où la cybersécurité joue un rôle central. Soudainement, les lignes qui étaient autrefois assez claires deviennent beaucoup plus floues dans de nombreuses organisations. Si je fais juste une sorte de courbe en cloche, il y a certaines organisations qui s’en sortent très bien avec cela et il y en a d’autres qui ont du mal. De ce fait, je m’inquiète un peu pour celles qui ne prennent pas la décision de moderniser leurs entreprises en raison des processus organisationnels internes. »

Boris Lecoeur : Nous parlons donc de consolidation. La voyez-vous également au sein de l’organisation de Carrefour ?

Guillaume Cécile : « Bien sûr, lorsque nous avons commencé à travailler avec Cloudflare, l’objectif était de réduire le nombre d’outils dont nous disposions tout en ne changeant pas tous les outils, mais de n’avoir qu’un seul outil pour tout le monde. De ce fait, chaque équipe impliquée dans ce processus a les mêmes outils, le même tableau de bord et la même matrice Ainsi, tout est unifié et tout le monde parle de la même chose. Autrement dit, la consolidation était l’objectif principal lorsque nous avons commencé à travailler avec Cloudflare. »

Boris Lecoeur : Quels conseils donneriez-vous aux RSSI pour surmonter les obstacles, convaincre leurs conseils d’administration de réaliser cette transformation et de ne pas attendre pour changer ?

Guillaume Cécile : « Il n’y a pas ce problème chez Carrefour. Nous avons un conseil d’administration et un RSSI qui veulent toujours aller plus vite et aller de l’avant dans la technologie. Nous souhaitons être à la genèse de toute innovation, nous voulons être en mouvement, alors cela ne pose aucun problème. Mais nous devons surveiller toute innovation, non pas pour réglementer, mais pour en avoir le contrôle. Avec l’équipe de sécurité, nous avons établi une règle en trois points chez Carrefour. Le premier point est que ce que vous dites est utilisé par les salariés, même s’ils ont ou non l’acceptation de la direction. Si on dit que l’IA est autorisée, vous pouvez utiliser l’IA chez Carrefour sans problème. Cependant, il y a un « mais » dans chaque règle : aucune donnée sensible ne doit sortir. Si vous ne savez pas s’il s’agit de données sensibles, c’est peut-être le cas, vous devez venir voir la SSI pour que nous puissions vérifier. La deuxième règle est que si vous avez besoin de partager des données sensibles, ce n’est pas grave mais il faut utiliser un modèle privé. Et la troisième règle est que si vous avez des données sensibles, vous les mettez sur un modèle privé. Si vous avez besoin d’un modèle d’apprentissage automatique, ce n’est pas grave, mais faites toujours ce que vous avez à faire. Quelques personnes sont autorisées à utiliser ce modèle et ce cas d’utilisation, et toutes les personnes impliquées dans l’utilisation de ce modèle doivent avoir le même niveau d’habilitation sur les données partagées dans le modèle. Avec ces trois règles, nous pouvons couvrir la quasi-totalité des cas d’utilisation de Carrefour. C’est la règle que nous déployons actuellement et que nous gérons avec le conseil d’administration. C’est pour ça que tout le monde vient vers moi ou vers mon équipe pour me dire qu’on va déployer un nouveau service. Est-ce pertinent ? Est-ce que c’est fait dans les bonnes règles, les bons assets, bref est-ce que ça va ou pas ? »

Michelle Zatlyn : « J’ai l’impression que beaucoup de vos confrères vont venir vous retrouver par la suite pour découvrir comment vous parvenez à si bien faire cela chez Carrefour, car je sais que ce n’est pas la même chose pour chaque organisation. J’étais récemment chez un client, dans le domaine des chemins de fer, et je discutais avec son responsable de la sécurité de nombreuses opportunités de progrès et de modernisation. Il m’a expliqué que son PDG ne connaissait rien à la technologie : “Il ne connaît que les chemins de fer. En fait, chaque fois que je prononce le mot transformation ou modernisation, il ne m’écoute pas. Au lieu de cela, lui et son comex engagent un consultant pour faire la recommandation, puis ils suivent ce que dit le consultant.” Je suis donc sûre que certaines de vos organisations ont le même problème. Les RSSI doivent trouver un moyen de comprendre comment introduire la nouveauté, la modernisation et expliquer pourquoi c’est important. Je pense que dans ces cas-là, il est vraiment utile de parler de risque, car les dirigeants et les conseils d’administration se soucient de la gestion des risques dans une organisation, c’est leur priorité numéro un, et ils ne se soucient probablement pas d’être les plus cool et innovants. Par contre, ils tiennent à gérer leurs risques. Dans le contexte actuel, nous sommes confrontés à un risque de cybersécurité, car nous utilisons des services qui étaient peut-être adaptés il y a dix ans, mais qui ne sont plus d’actualité au regard de la cartographie changeante des nouvelles cybermenaces. Et sur ce thème, vous éveillez leur intérêt. Ou encore vous parlez de risque au sujet de la supply chain, il s’agit d’innover et la moderniser en réduisant le risque. Bref, dès que vous parlez risque d’entreprise, vous pouvez créer des ponts avec des personnes qui ne sont pas intéressées par l’innovation mais par la diminution du risque. »

Boris : Dernière question. La technologie et l’innovation évoluent très vite. Quel conseil donneriez-vous sur la manière de rester à jour avec les dernières technologies, les innovations les plus récentes ?

Guillaume Cécile : « Je ne dirais qu’un seul mot : « Courir ». Courez de la bonne manière. Mais courez. Suivez le système, suivez tout ce dont vous avez besoin et faites vous aider par des personnes qui s’y connaissent. Si vous ratez le train aujourd’hui, il vous sera très difficile de le rattraper. Ce qui se passe actuellement, ce n’est pas une évolution pour nous, pour tout le monde, c’est une révolution. Nous devons faire partie de la solution ce qui implique un fort besoin d’informations. Nous devons suivre exactement ce qui se passera dans l’avenir. Parce que l’IA sera partout d’ici quelques années. Alors, si vous ne savez pas exactement ce qui s’est passé, ce qui a été fait, il sera très difficile d’exister professionnellement et de réaliser quelque chose de bien. »

Michelle Zatlyn : « Effectivement ! Commencez juste à apprendre, à comprendre, même si vous ne savez pas grand-chose ; lisez un article, participez à une conférence comme celle-ci, et vous en avez appris un peu plus, et vous continuez ainsi à suivre le sujet.
Je pense d’ailleurs que c’est pour ça que des conférences comme les Assises sont si importantes, parce qu’elles rassemblent les gens pour pouvoir discuter des nouveautés, de ce qu’on fait, de ce qui a fonctionné, de ce qui n’a pas fonctionné. Il me semble que les retours d’expériences sont vraiment utiles. De ce fait, participer à des conférences comme celle-ci est extrêmement important. Malheureusement, on ne peut pas toujours venir jusqu’à Monaco pour participer à ce type de conférence. Heureusement, il est possible de s’informer via le nombre important de ressources en ligne qui couvrent l’actualité, qu’il s’agisse de blogs ou de comptes LinkedIn... Mais je pense que bénéficier d’exemples concrets d’acteurs qui essaient réellement de mettre en pratique ces technologies innovantes reste essentiel. »