Antonin, quand vous êtes arrivé chez Veepee en tant que RSSI, quels ont été les principaux enjeux de sécurité auxquels vous avez dû répondre ?
Antonin Garcia : En 2019, forte de sa stratégie de croissance externe et européenne mise en place depuis 2016, vente-privee.com a renouvelé son image de marque pour devenir Veepee, une marque globale présente dans 10 pays.
À ma prise de fonction, toutes les entités acquises et historiques étaient en phase de convergence. Cela englobait les nouvelles infrastructures, les plateformes web, le back office, mais aussi les services de logistique, les entrepôts et divers services support associés.
Veepee héberge, déploie et développe également quasiment tous ses services en interne. Cela nous confère une grande autonomie, soutenue par des experts capables de maintenir nos propres services et innovations.
L'un des défis majeurs était d'unifier l’ensemble de ces entités vers une vision commune de la cybersécurité dans ce contexte particulier.
Comment avez-vous réfléchi votre stratégie cyber à ce moment-là ?
A.G : Il est crucial de reconnaître que se conformer uniquement aux bonnes pratiques cyber ne suffit pas pour garantir la sécurité d'une entreprise. Cela était même rendu difficile car plusieurs cultures coexistent du fait des croissances externes. Se conformer aux bonnes pratiques, c'est bien, mais hacker sa propre entreprise, c’est adopter une approche proactive plus réaliste. Il était donc indispensable de mettre en place des programmes de bug bounty et des tests red team pour avoir une stratégie cyber pertinente adaptée aux évolutions de Veepee.
Le bug bounty permet à une entreprise de mobiliser une communauté d'experts en sécurité externe pour identifier activement les vulnérabilités potentielles dans les systèmes. C'est une approche collaborative qui expose les faiblesses que des acteurs malveillants pourraient exploiter. D'autre part, les tests red team simulent des attaques réalistes pour évaluer la résilience des systèmes et des équipes de sécurité. Ces simulations vont au-delà des bonnes pratiques habituelles et visent à révéler les vrais points faibles à corriger.
Cette année vous avez d’ailleurs renforcé votre stack cyber avec la mise en place d’un EDR. Comment avez-vous convaincu votre direction de s’équiper avec cet outil ?
A.G : Nous avons mis en lumière l'évolution des cybermenaces comme en témoignent les nombreuses attaques régulièrement médiatisées qui mettent à l’arrêt et visent entre autres hôpitaux, collectivités et même l’ensemble des entités publiques et privées. Ces exemples exigeaient une adaptation de notre posture cyber.
Nous avons présenté l'EDR comme une clé essentielle pour faire face à ces menaces. Sa capacité à détecter de manière précoce les comportements suspects et à améliorer notre réactivité en cas d'incident a été un point phare de notre argumentaire visant à faire adhérer l'ensemble des équipes.
Si on vous donnait 30 % de budget supplémentaire demain, où est-ce que vous le mettriez en priorité ?
A.G : Avant tout, je mettrais l'accent sur nos équipes, en cherchant à continuer à attirer et à retenir les personnes passionnées et investies dans leur travail mais surtout des profils humbles avec le sens du service et l’esprit critique. Cela inclut le maintien d'un environnement propice à l’autonomie où ils ont le temps nécessaire pour travailler correctement, sans subir de pression injustifiée.
Ensuite, une part significative de ce budget devrait être allouée au maintien et au développement de nos services et applications. Il est primordial de veiller à ce que les services restent à la hauteur des besoins de l'entreprise, réduisant ainsi les risques de solutions de contournement. Nous devons encourager l'innovation et créer un environnement propice à la créativité, sans entraver notre agilité. Plutôt que d'adopter des mesures restrictives qui pourraient ralentir nos opérations, nous visons à trouver un équilibre entre sécurité et opérations, favorisant ainsi une culture d'entreprise cyber dynamique et proactive.
En résumé, je concentrerais ce budget supplémentaire dans le renforcement de nos équipes, l’intégration des besoins dans les services IT et la promotion d'une culture d'entreprise axée sur l'innovation, tout en maintenant une vigilance continue face aux cybermenaces, et moins sur les services de cybersécurité purs. Je suis persuadé qu’investir dans l’humain et son IT réduit les coûts de la cyber tout en conservant une stratégie de défense robuste, évolutive et en phase avec les besoins de notre entreprise.
Qu’allez-vous chercher comme compétences chez un candidat quand vous embauchez dans votre équipe ?
A.G : Je recherche des individus passionnés et curieux. Je ne porte quasiment aucune attention au parcours académique, privilégiant davantage l'expérience et la passion pour le métier.
Je suis à la recherche de hackers dans le vrai sens du terme : des personnes geeks au sens large, immergées dans la technologie, qui aiment consacrer du temps à comprendre les rouages et finalités métiers, et qui ont surtout la volonté de résoudre des problèmes. L'humilité est également essentielle. Notre domaine est extrêmement complexe et nous sommes constamment confrontés à de nouveaux défis à surmonter. Un travers de la cyber est de se positionner comme juge et non comme contributeur aux objectifs des autres directions et de l’entreprise.
Vous et vos équipes passez régulièrement des certifications. Est-ce nécessaire pour évoluer dans la cyber aujourd’hui ?
A.G : Les certifications dans le domaine de la cybersécurité ne sont pas une condition sine qua non pour progresser, elles donnent une valeur significative sur le marché de l’emploi. Au-delà de leur rôle dans le renforcement des compétences, elles contribuent tout de même à solidifier nos profils professionnels et à véhiculer une image d'expertise. De plus, elles offrent la possibilité d'acquérir de nouvelles compétences au sein de l'équipe sans nécessairement devoir chercher des talents à l'extérieur de l'entreprise.
Lorsque nous investissons dans les certifications et les compétences de notre équipe en cybersécurité, nous créons une culture d'apprentissage et de croissance au sein de l'organisation. Cela va au-delà de la simple accumulation de certificats ; c'est une démarche visant à offrir à nos équipes les défis et les expériences qu'elles chercheraient potentiellement ailleurs. En fournissant des opportunités de développement professionnel, nous répondons à leur soif de nouvelles problématiques et d'apprentissage continu. C'est un moyen de maintenir l'enthousiasme et l'engagement de notre équipe, tout en assurant une expertise constamment actualisée et pertinente mais surtout d’éviter aux équipes d’aller chercher ailleurs ce qu’on peut déjà leur offrir en interne.
Vous faites partie de l'association SecAtScale, dédiée à la cybersécurité des organisations tech. Qu’est-ce que cela vous apporte ?
A.G : On ne gère pas la stratégie cyber d'une société de plusieurs dizaines de milliers de collaborateurs de la même façon qu’une entreprise de 5000 personnes, ou même une entreprise de quelques centaines d’employés. Nous partageons cependant la même cible : protéger l’entreprise face aux attaques et menaces cyber.
En dialoguant avec d’autres RSSI, nous avons constaté que nous rencontrions des problèmes opérationnels communs et c'est précisément ces sujets, initiatives et surtout les solutions que nous avions apportées que nous cherchons à partager au sein de l’association SecAtScale. C'est devenu une très bonne source de réflexions et de partages.
Vous souhaitez en savoir plus sur notre solution ?