1/ Pouvez-vous vous présenter et nous parler de votre expérience en tant que responsable de la sécurité des systèmes d’information chez Veepee ?
Je suis Antonin Garcia, RSSI chez Veepee, où je pilote la stratégie cybersécurité à l’échelle du groupe. Mon rôle est de garantir la sécurité du groupe en protégeant les données de nos clients, partenaires et collaborateurs, tout en assurant la disponibilité de nos services et la résilience de nos activités e-commerce. Chez Veepee, la cybersécurité c’est une culture partagée entre les équipes IT, produit, juridique et métier. Nous avons une approche très terrain, en valorisant notamment les solutions open source pour la détection, la gestion des incidents ou encore le pilotage de la conformité. Notre priorité est claire : faire de la sécurité un levier de performance et de confiance, sans jamais freiner l’innovation ou l’expérience utilisateur.
2/ Pouvez-vous nous raconter une situation où votre entreprise a dû gérer une attaque ou une fuite de données ? Comment avez-vous réagi ?
Nous sommes régulièrement confrontés à des menaces externes, parfois particulièrement crédibles. Ces derniers mois, nous avons constaté une hausse marquée des faux sites usurpant l’identité de Veepee, souvent hébergés à l’étranger, qui reprennent notre charte graphique pour diffuser des offres frauduleuses. Nous avons également identifié des fausses campagnes de recrutement, incitant les victimes à “évaluer des produits” moyennant des frais initiaux… qu’elles ne récupèrent jamais. Face à ces attaques, nous avons renforcé notre veille externe, automatisé les signalements et collaborons activement avec les plateformes, hébergeurs et autorités compétentes. Mais l’efficacité de ces démarches dépend surtout de la réactivité des parties impliquées : sans réponse rapide, une campagne frauduleuse peut se propager largement avant d’être stoppée. Il est essentiel de s’appuyer sur une cellule de crise structurée et une procédure d’escalade claire, capable de mobiliser rapidement les bons interlocuteurs qu’il soit technique, juridique, communication, partenaires pour une réponse coordonnée et efficace. Dans ces situations, anticipation, préparation et coopération sont les clés pour limiter l’impact, rétablir la situation sereinement et préserver la confiance des parties prenantes.
3/ La RGPD et la CNIL imposent un cadre de conformité strict : est-ce une contrainte ou une opportunité pour renforcer la sécurité ?
Le RGPD représente une opportunité pour les organisations. Il pousse les entreprises à mieux connaître leurs données, à les protéger dès la conception, et à responsabiliser l’ensemble des acteurs. Cela nous a permis de renforcer notre gouvernance, de mieux cadrer les projets, et d’élever le niveau d’exigence, aussi bien en interne qu’avec nos prestataires. Les recommandations de la CNIL ne sont plus de simples bonnes pratiques : elles sont désormais au cœur des exigences de gouvernance et de pilotage de la cybersécurité.
4/ Les marketplaces et prestataires techniques sont souvent impliqués dans les parcours de vente : comment assurer une cybersécurité partagée avec ces partenaires ?
La cybersécurité est aujourd’hui un effort collectif, en particulier dans un écosystème e-commerce où la chaîne de valeur implique de nombreux acteurs : prestataires techniques, logistiques, marketing, plateformes de paiement, et chacun peut devenir une cible. Chez Veepee, nous avons mis en place une approche rigoureuse de contrôle tiers : évaluation sécurité en amont, clauses contractuelles adaptées, exigences techniques minimales et audits ponctuels pour vérifier les pratiques effectives. Nous devons également faire face à des menaces concrètes, comme la fraude au changement de RIB en provenance de fournisseurs ou partenaires compromis. Cela impose une double vigilance, à la fois organisationnelle (processus de validation renforcés, contrôles manuels) et technique (authentification forte, détection d’anomalies dans les flux).
5/ Quels outils ou technologies vous semblent aujourd’hui les plus efficaces pour protéger un site e-commerce ?
Les outils les plus efficaces sont, avant tout, ceux que l’on maîtrise pleinement et que l’on sait intégrer de manière fluide dans l’organisation. Pour un acteur du e-commerce, il est essentiel de combiner plusieurs couches de protection de la défense applicative avec un WAF, à la protection contre les attaques DDoS, en passant par la supervision continue de l’infrastructure tout en assurant une gestion rigoureuse des accès et une vigilance partagée. Mais la clé ne réside pas dans l’accumulation de technologies : c’est leur cohérence et la manière dont elles sont orchestrées qui font la différence. Nous misons beaucoup sur l’automatisation, que ce soit pour détecter des comportements suspects, enrichir les alertes ou accélérer les réponses. Plus les contrôles sont intégrés tôt dans les cycles de développement et d’exploitation, plus ils gagnent en efficacité et en résilience. Dans cette logique, nous privilégions des solutions flexibles et souvent open source, comme TheHive pour la gestion des incidents, DefectDojo pour le suivi de la sécurité applicative, ou encore CISO Assistant pour structurer notre conformité. Des outils comme n8n nous permettent également d’automatiser des workflows de sécurité et de fluidifier nos processus. L’objectif reste constant : détecter plus vite, réagir mieux, tout en embarquant l’ensemble des équipes dans une culture de la sécurité pensée non comme une contrainte, mais comme un levier durable de confiance et de performance.
6/ Comment concilier expérience utilisateur fluide et sécurité renforcée ? Par exemple : l’authentification à double facteur peut-elle être un frein à la conversion ?
C’est une question d’équilibre. Une sécurité trop intrusive peut nuire à l’expérience utilisateur, mais une sécurité trop permissive expose à des risques. Le double facteur d’authentification (2FA), par exemple, peut freiner s’il est imposé aux utilisateurs. Nous cherchons à rendre ces mécanismes aussi invisibles que possible, en nous appuyant sur l’analyse comportementale technique comme les données de réputation (adresse IP, empreinte du terminal), le blocage des bots et de navigation intensives impossibles à reproduire humainement sans automatisation. Tout repose sur une approche par le risque : comprendre les menaces, adapter les mesures et ajuster sans surprotéger. Le RSSI a un rôle de conseil : il accompagne les décisions pour trouver le bon compromis entre sécurité, performance et fluidité. La sécurité est là pour soutenir le business, pas pour le freiner.
7/ Quelles sont, selon vous, les prochaines grandes évolutions ou menaces à anticiper dans les deux années à venir ?
Nous voyons trois évolutions majeures à anticiper. D’abord, l’industrialisation des attaques, rendue possible par des outils pilotés par l’IA, va faire exploser le volume et la crédibilité des fraudes : faux sites, faux SMS, fausses offres d’emploi, etc. Les campagnes deviennent plus ciblées, plus réalistes, et plus dangereuses. Ensuite, les fraudes comme les tentatives de changement de RIB fournisseurs et employés se multiplient. Elles mêlent usurpation d’identité, faiblesse des contrôles et compromission de tiers. Cela impose une vigilance renforcée à tous les niveaux de l’écosystème. Enfin, la pression réglementaire s’accélère. NIS2, les recommandations CNIL ou ANSSI, imposent une gouvernance des risques étendue aux partenaires. La sécurité et la résilience devront être intégrées dès la conception. Quoi qu’il en soit, les acteurs du e-commerce devront être exemplaires sur ces sujets. Dans un environnement ultra-concurrentiel, la confiance restera toujours un facteur clé de fidélisation.
