Avec 1750 magasins (dont 320 en France) dans 70 pays et un chiffre d'affaires de presque 14 milliards d'euros (un quart en France), Decathlon rassemble plus de 100 000 collaborateurs passionnés par le sport. Ce distributeur spécialisé, dont le siège est dans la métropole lilloise, est contrôlé par l'Association Familiale Mulliez (souvent improprement désignée comme « groupe Auchan ») et a logé dans une filiale dédiée, Decathlon Technology, son IT. Bien entendu, Decathlon possède des sites e-commerce. Et, évidemment, comme toutes les boutiques en ligne, ces sites e-commerce sont l'objet de cyber-attaques fréquentes. Leur sécurisation est donc cruciale. Plusieurs démarches sont menées à cette fin. Farid Illikoud, RSSI groupe de Decathlon, nous a expliqué l'intérêt du bug bounty et comment celui-ci vient s'insérer dans une démarche globale.

Les boutiques en ligne de Decathlon sont de deux types technologiques. Il y a d'une part des sites basés sur un développement propre réalisé en interne, d'autre part des implémentations de Prestashop, un progiciel open-source très courant. « Chaque pays choisit sa technologie et mène son implémentation mais nous avons un objectif d'uniformisation du parcours et de l'expérience client » précise Farid Illikoud. Dans le cas de la Tunisie, il s'agit d'un site basé sur Prestashop avec des personnalisations réalisées par une équipe interne de Decathlon située au Canada. Réalisé récemment, ce site a été choisi pour réaliser un bug bounty public à l'occasion du FIC (Forum international de la cybersécurité) qui a eu lieu à Lille du mardi 7 au jeudi 9 juin 2022. Pour le mener, Decathlon Technology s'est appuyé sur YesWeHack. 

Lire la suite de l'article sur CIO