Cybersécurité pour la grande distribution

Alors que les clients se tournent de plus en plus vers l'e-commerce, les magasins physiques doivent s'adapter à un consommateur dont les habitudes deviennent versatiles. En optant pour une approche stratégique à la transformation digitale, à l'Internet des objets (IoT) et au traitement analytique des données clients, les magasins peuvent apporter au grand public une expérience in-store flexible et personnalisée que l'e-commerce ne peut offrir.

Pour y parvenir, les enseignes doivent déployer un accès sans fil rapide, fiable et sécurisé au sein de leurs magasins. Optimisé par FortiGate, le SD-WAN sécurisé de Fortinet apporte aux entreprises la bande passante et la qualité de service (QoS) dont ils ont besoin pour leur réseau de grande distribution, tout en offrant des fonctions de sécurité de premier rang et une gestion centralisée des règles. Avec la solution d'accès sans fil sécurisé de Fortinet, les magasins peuvent déployer un accès Wi-Fi professionnel à l'intention des consommateurs et en complément des réseaux existants.

Avec ce sans-fil, un enseigne peut déployer FortiPresence qui assurera un traitement analytique des données de localisation des clients. En tirant parti de l'inspection DPI de FortiGate. FortiPresence identifie les clients dans les rayons et utilise son moteur d'analyse de présence pour leur faire parvenir des offres spéciales en temps réel sur leur téléphone et sur les affichages numériques.

L'utilisation conjointe de FortiAP et de FortiGate permet aux enseignes d'offrir à leurs clients une expérience sécurisée et omnichannel, tout en tirant parti d'avantages concrets opérationnels et marketing :

• Un déploiement rapide et une gestion automatisée de l'environnement radio
• Une détection des points d'accès indésirables et un reporting sur la conformité avec PCI
• Un portail captif avec authentification via ses identifiants de réseau social
• Une veille évoluée sur la présence et le positionnement des visiteurs
• Une publicité dynamique et basée sur la localisation du consommateur
• Un panel complet de fonctionnalités professionnelles

Les enseignes de la distribution gèrent des magasins disséminés et dont les besoins en matière de réseau et de sécurité sont souvent différents. Face à des clients qui s'attendent à des environnements de shopping omnichannel, les réseaux de la grande distribution gagnent en complexité compte tenu de nouveaux réseaux dédiés aux invités et des objets connectés. Les enseignes doivent arbitrer entre répondre aux besoins des clients et assurer une sécurité spécifique à chaque magasin, et la décision n'est pas toujours simple.

Les gains de productivité deviennent impératifs compte tenu de la complexité croissante des infrastructures et de la pénurie de compétences en cybersécurité. En tirant parti de FortiManager, FortiAnalyzer et FortiDeploy, les distributeurs bénéficient d'un haut niveau d'automatisation. Ils assurent un réel gain de temps en automatisant les déploiements, bénéficient d'une visibilité sur l'ensemble du réseau et assurent leurs opérations d'administration à partir d'une interface unique. Les entreprises peuvent ainsi gérer leurs multiples points de vente même si leur équipe IT est restreinte.

Les solutions Fortinet offrent des fonctionnalités qui aident les enseignes à maîtriser la complexité croissante de leur réseau, en dépit de ressources IT limitées :

• Une interface unifiée, pour une administration et une visibilité centralisées
• Une gestion de la configuration à partir de modèles, de scripts et d'API
• Une gamme de rapports personnalisables sur la sécurité, les performances et les usages
• Un reporting automatisé pour évaluer la conformité réglementaire
• Un provisioning simplifié des dispositifs, avec une évolutivité allant jusqu'à 10 000 sites .

La norme PCI DSS (Payment Card Industry Data Security Standard) et le futur cadre PCI Software Security Framework (SSF) définissent des exigences pour protéger les informations de cartes de paiement des clients. Une approche fragmentée à PCI DSS pourrait forcer les équipes de sécurité restreintes à choisir entre la protection du réseau et la réalisation des tâches nécessaires à prouver la conformité avec PCI DSS.

Face à des exigences qui évoluent et à la complexité imposée par la conformité réglementaire, il devient plus difficile d'obtenir une visibilité complète sur le réseau et de mettre en place manuellement les fonctions de sécurité requises. De plus, la volonté d'intégrer les applications web et mobiles, ou encore de faire appel à différents services directement sur le réseau du point de vente (livraison à domicile par exemple) participent à étendre le périmètre de responsabilité des équipes de sécurité.

La Security Fabric de Fortinet permet aux distributeurs de prouver et assurer la conformité avec PCI DSS et SSF, en permettant aux dispositifs et services de Fortinet de s'intégrer avec des solutions tierces et recueillir les informations nécessaires. Ceci porte notamment sur un écosystème d'API ouvertes et sur une liste importante de partenaires tiers actuels.

La Security Fabric de Fortinet fournit aux distributeurs les outils qui permettent d'assurer la conformité avec PCI DSS:

• Une gestion centralisée et cohérente des règles
• Un reporting prêt à l'emploi de conformité à PCI DSS et autres réglementations
• Un mapping de la totalité du réseau pour identifier les dispositifs
• Des indicateurs en temps réel mis à disposition des produits Fortinet et des solutions des partenaires Fabric-Ready
• Une détection et une prise en charge automatisées des menaces

Les enseignes de la grande distribution ont besoin d'une connectivité rapide et évolutive pour assurer des transactions transparentes en support de leurs métiers : vente, gestion des stocks, achats, etc. Par rapport aux liens MPLS (multiprotocol label switching) classiques pour les connexions de site distant à site distant, ou de site distant au siège social, le SD-WAN (software-defined wide-area networking) propose une approche plus flexible à la connectivité, avec des performances renforcées et à un coût total de possession (TCO) maîtrisé.

Si l'adoption d'une solution SD-WAN offre davantage de flexibilité et favorise la maîtrise des coûts par rapport au MPLS, les enseignes de la grande distribution doivent prendre leurs dispositions par rapport à la sécurité. Plutôt que de déployer des pare-feux et davantage d'infrastructure réseau en complément des dispositifs SD-WAN, Fortinet propose une solution tout-en-un, avec une sécurité intégrée et intégrale, de l'Internet à l'infrastructure de switching. Le SD-WAN sécurisé de FortiGate bénéficie d'une protection contre les menaces qui s'applique de la couche 3 à la couche 7, et offre des performances optimales, grâce à son processeur novateur, conçu sur mesure pour le SD-WAN.

Des nombreux points de vente tirent parti de leurs liens WAN pour déployer la Voix sur IP en remplacement de leur service téléphonique existant. Les applications de VoIP exigent de la bande passante sur le WAN, mais leur disponibilité et la qualité de service sont menacées en cas de cyberattaques. FortiVoice offre une solution VoIP flexible et configurable facilement, qui peut être sécurisée et cloisonnée par rapport aux réseaux Wi-Fi publics, à l'aide des fonctions de commutation et de contrôle d'accès de Fortinet SD-Branch. FortiExtender offre un lien de secours 3G/4G pour assurer la continuité métier en cas d'une panne du réseau.

Le SD-WAN sécurisé de FortiGate présente le TCO le plus bas du marché et offre un riche panel fonctionnel pour optimiser les performances et la haute disponibilité des applications :

• Une reconnaissance automatique et un routage optimal pour plus de 5 000 applications
• Les mises à jour de la base de données applicative par les FortiGuard Labs permettent d'accéder aux signatures de malware les plus récentes
• Une protection complète contre les menaces, basée sur des pare-feux, antivirus, systèmes de prévention d'intrusion et le contrôle applicatif
• Une inspection à haut débit du trafic SSL (secure sockets layer) et TLS (transport layer security) avec un impact minimal sur les performances, pour s'assurer que les entreprises bénéficient d'une protection complète contre les menaces mais aussi des performances qu'elles attendent.
• Un filtrage web pour assurer la sécurité Internet sans faire appel à une passerelle de sécurité web distincte
• Des tunnels VPN évolutifs et à haut débit pour s'assurer du chiffrement du trafic confidentiel

Le SD-Branch de Fortinet permet aux enseignes d'associer accès réseau et sécurité en fournissant des fonctionnalités telles que :

• L'utilisation de FortiGate et de FortiNAC pour identifier et sécuriser les objets connectés sur le réseau
• L'intégration de réseaux filaires et sans fil au coeur de l'infrastructure de sécurité
• Une gestion centralisée des pare-feux, des commutateurs Ethernet et des interfaces WLAN
• Une visibilité et un contrôle à partir d'une interface unique pour automatiser le provisioning des dispositifs

Selon les chiffres de Fortinet, 87 % des acteurs de la grande distribution ont déjà subi une intrusion. De plus, des analyses menées par les FortiGuard Labs indiquent que jusqu'à 40 % des nouveaux malware détectés sur un jour donné sont des vulnérabilités zero-day ou inconnues.

Les intrusions étant inévitables, les distributeurs doivent être prêts à répondre de manière appropriée. Cette réponse exige, en premier lieu, une veille en temps réel et éprouvée sur les menaces. FortiGuard Labs recueille, analyse et classifie les menaces, de manière ultra-rapide et avec un haut degré de précision. Sa technologie de détection intégrale des menaces tire parti de l'intelligence artificielle (IA) et du machine learning (ML) pour définir des signatures pour les nouveaux malware et les mettre à disposition sur l'ensemble de la Security Fabric de Fortinet.

Les environnements de la grande distribution qui comptent un grand nombre de sites et de magasins, qui offrent un Wi-Fi public ou qui déploient des objets connectés subissent le risque de menaces inconnues qui tentent de s'immiscer via les dispositifs mobiles des clients ou des collaborateurs, ou via des applications et interfaces utilisateurs. Lorsqu'un FortiGate détecte un contenu suspect non identifié en tant que menace connue, il le relaie vers FortiSandbox qui assure la mise en quarantaine et l'inspection de ce contenu en amont du réseau, même si ce contenu est chiffré sous SSL (secure sockets layer)/TLS(transport layer security). FortiSandbox peut aussi partager cette information sur les menaces détectées avec les autres modules de sécurité via la Security Fabric de Fortinet.

La protection évoluée contre les menaces doit protéger l'activité interne également. Le déploiement de FortiDeceptor permet aux enseignes d'identifier les assaillants internes qui ont pu accéder au réseau. De son côté, FortiInsight surveille les endpoints et les utilisateurs à la recherche d'anomalies et de comportements suspects susceptibles d'être une menace pour l'entreprise.

Une ligne de défense multicouche constitue la meilleure des approches à la sécurité réseau, grâce aux fonctionnalités suivantes :

• Détection et protection robuste contre les menaces connues et inconnues
• Identification et prise en charge des menaces au sein du réseau corporate
• Analyse automatisée des menaces au sein de sandbox cloisonnées
• Utilisation de leurres pour détecter les menaces internes
• Veille sur les menaces en temps réel via l'intelligence artificielle et le Machine Learning
• Mises à jour en continu via le réseau FortiGuard

En intégrant les innovations digitales au sein de l'expérience de shopping omnichannel, les distributeurs continuent à attirer et fidéliser leurs clients en dépit de la concurrence des acteurs du commerce en ligne. Cependant, des efforts d'innovation digitale sont également nécessaires pour réduire les coûts et renforcer la productivité opérationnelle.

À titre d'exemple, de nombreux acteurs de la grande distribution utilisent des objets connectés et des technologies RFID pour simplifier les processus liés à la gestion des stocks et à la logistique. Ces nouveaux noeuds du réseau, souvent peu sécurisés, étendent la surface d'attaque. Les enseignes doivent privilégier l'approche d'un réseau orienté sécurité pour cette extension du réseau.

Cette approche implique de séparer le réseau et de déployer une sécurité individualisée. Les enseignes peuvent tirer parti du SD-Branch de Fortinet pour gérer le réseau des invités et celui dédié aux activités professionnelles, ce qui isole les objets connectés du réseau Wi-Fi public. Chaque réseau dispose du niveau de sécurité dont il a besoin, et bénéficie d'un contrôle d'accès prêt à l'emploi qui protège les objets connectés.

Les solutions Fortinet encouragent l'innovation digitale sur l'ensemble de l'entreprise grâce à un panel diversifié de fonctionnalités :

• Une connectivité sans fil avec une qualité de services (QoS) optimale et une sécurité intégrée
• Une visibilité et un contrôle unifiés sur les environnements multi-cloud
• Un provisioning simplifié des dispositifs, avec une évolutivité allant jusqu'à plus de 10 000 sites
• Un contrôle d'accès réseau intégré pour une visibilité et une protection des dispositifs IoT

Les enseignes de la grande distribution exploitent des réseaux de grande envergure et des magasins disséminés géographiquement, ce qui fait des services cloud un choix pertinent. Les clouds publics et privés présentent chacun leurs avantages, et l'utilisation d'un SD-WAN (Software-Defined Wide-Area Network) sécurisé permet aux entreprises de bénéficier d'une latence réduite et d'allèger les charges sur le réseau du siège social. Cependant, l'infrastructure réseau qui s'étend sur les clouds privés, les clouds publics et sur les data centers sur site crée souvent un environnement fragmenté et difficile à sécuriser.

La toute première étape dans le déploiement d'une sécurité réseau qui soit conforme avec la norme PCI DSS (Payment Card Industry Data Security Standard) est de disposer d'une visibilité sur l'ensemble du réseau et d'une gestion centralisée des configurations. La Security Fabric de Fortinet offre une intégration en natif avec tous les principaux fournisseurs de services cloud : les équipes de sécurité appliquent ainsi les règles de sécurité cohérentes sur l'ensemble de réseau à partir d'une interface unique plutôt que de devoir configurer manuellement les paramètres de sécurité de chacun des fournisseurs cloud.

Fortinet propose également des solutions de sécurité conçues pour les applications cloud. Le pare-feu d’application web (WAF) FortiWeb protège les services web (site web corporate, portail de paiement, API web) et peut être déployé sur site en tant que machine virtuelle (VM) ou en tant qu'offre SaaS. Alors que les équipes DevOps utilisent de plus en plus les environnements cloud, un pare-feu WAF est essentiel pour assurer la conformité avec PCI DSS.

FortiMail intègre une passerelle email qui protège tant les messageries SaaS comme Microsoft Office 365 que celles sur site. Les pare-feux nouvelle-génération FortiGate (NGFW) intègrent une option IaaS (Infrastructure-as-a-Service), ce qui déploie une sécurité évolutive et cloud-native pour tous les environnements.

Les solutions de sécurité cloud de Fortinet offrent aux distributeurs les outils nécessaires pour optimiser leur sécurité de leurs environnements multi-cloud, parmi lesquels :

• Une intégration en natif des fonctions de sécurité natives du fournisseur de services cloud
• Une visibilité et une gestion unifiées à partir d'une interface unique pour les environnements multi-cloud
• Des solutions cloud de pare-feu et de protection de l'email et des sites web
• Une veille sur les menaces basée sur l'intelligence artificielle mise à disposition en temps réel sur l'ensemble de l'infrastructure de sécurité
• Une identification et une classification automatisées du trafic en temps réel, notamment des données chiffrées des applications cloud
• Le SD-WAN Sécurisé pour offrir un accès direct et sécurisé vers les ressources cloud à partir des sites distants