Table of Contents
Avec des dizaines de millions de membres, 7 000 marques partenaires et un chiffre d’affaires annuel de 3,3 milliards d’euros TTC, Veepee est un acteur incontournable du e-commerce en Europe. Présent dans plus de 10 pays, le groupe orchestre des milliers de ventes événementielles chaque année sur une infrastructure digitale en constante évolution.
Pour sécuriser cette surface d’attaque en perpétuel mouvement, Veepee a choisi de mettre en place, avec Yogosha, un dispositif de sécurité continue basé sur un programme de Bug Bounty privé et un Vulnerability Disclosure Program (VDP).
Depuis 2020, cette stratégie a permis de détecter et corriger 321 vulnérabilités dont plusieurs critiques qui auraient pu passer inaperçues, tout en renforçant la collaboration entre équipes internes et chercheurs en sécurité.
« Le Bug Bounty nous apporte une vision extérieure, experte et réactive, qui complète parfaitement nos dispositifs internes. »
— Antonin Garcia, RSSI, Veepee
Le défi : sécuriser une surface d’attaque en évolution permanente
Avec des mises en production fréquentes et des évolutions rapides, la surface d’attaque de Veepee est vaste et en perpétuel changement. Les pentests traditionnels, bien que nécessaires, présentent des limites :
- Ils sont ponctuels, laissant de longues périodes sans évaluation.
- Ils prennent du temps à planifier et exécuter, ce qui peut créer un décalage entre l’audit et l’état réel du système.
- Ils ne reproduisent pas des scénarios d’attaque réels.
Pour Veepee, il devenait essentiel de passer d’une stratégie statique à une approche continue, capable d’identifier des vulnérabilités en temps réel, tout en limitant l’impact sur les équipes internes. Cette approche permet non seulement de décharger les équipes de tâches répétitives ou chronophages, mais aussi de leur permettre de se concentrer sur des missions à plus forte valeur ajoutée, stimulant ainsi leur productivité et leur engagement.
« En tant que site e-commerce, les changements vont très vite. Notre surface d’attaque est large et on voulait identifier les potentielles vulnérabilités de nos angles morts. »
— Antonin Garcia, RSSI, Veepee
L’objectif : mettre en place un dispositif continu, scalable et complémentaire aux pratiques existantes, capable de détecter les failles critiques avant qu’elles ne soient exploitées.
La solution : La Plateforme de Tests de Sécurité Offensive Yogosha
Pour répondre à ces enjeux, Veepee a déployé avec Yogosha une approche hybride combinant Bug Bounty privé et Vulnerability Disclosure Program (VDP), afin d’allier recherche continue, gestion efficace des vulnérabilités et collaboration fluide avec la communauté des chercheurs.
La plateforme Yogosha a été sélectionnée en raison de sa capacité à mettre à l’échelle les tests de sécurité, à simuler des attaques réelles avec des professionnels de la sécurité hautement qualifiés et à faciliter les tests continus 24h/24 et 7j/7.
Composants clés de la stratégie de Veepee
1. Un programme VDP pour canaliser les signalements externes
Veepee a mis en place une page publique (https://www.veepee.fr/.well-known/security.txt) toujours active permettant à tout chercheur en sécurité de signaler une vulnérabilité via la plateforme Yogosha légalement et en toute sécurité.
« J’ai déjà eu des chercheurs qui m’ont contacté sur LinkedIn ou par email. Grâce au VDP, je leur ai envoyé le lien et, en quelques minutes, ils avaient soumis leur rapport. »
— Antonin Garcia, RSSI, Veepee
Ce canal officiel permet à l’équipe sécurité de qualifier rapidement les vulnérabilités tout en garantissant un cadre légal et sécurisé.
2. Un Bug Bounty privé pour tester en continu
Le cœur du dispositif repose sur un programme de Bug Bounty privé, confié à une large communauté de chercheurs hautement qualifiés :
- Tests sur domaines, sous-domaines, API et applications B2B
- Recherche continue des vulnérabilités 24/7
- Démarrage maîtrisé avec montée en charge progressive
« On ouvre notre surface d’attaque à une communauté pour aller chercher les angles morts que les pentests ciblés ne voient pas. »
— Antonin Garcia, RSSI, Veepee“Avec le Bug Bounty, on a parfois des hunters qui vont vraiment loin. Certains passent des commandes réelles sur le site, donc ils dépensent de leur argent pour trouver des vulns derrière. Avec des pentests externes, on n’a jamais vu ça.”
— Julien Reitzel, Lead Sécurité Offensive chez Veepee
Les résultats : couverture continue et failles critiques détectées
Depuis 2020, Veepee a construit un dispositif agile, efficace et rentable :
- 321 vulnérabilités détectées dont plusieurs critiques
- Réactivité accrue grâce aux workflows de retest intégrés
- Budget optimisé avec montée en puissance progressive
- Couverture étendue à l’ensemble des assets : domaines, sous-domaines, API, applications B2B
- Plus de 100 000 € versés en récompenses à la communauté
« Parfois, les chercheurs trouvent des vulnérabilités critiques, alors qu’on est déjà très opérationnels sur notre cybersécurité. C’est là toute la valeur de la démarche. »
— Antonin Garcia, RSSI, Veepee
Testez votre surface d’attaque avec Yogosha
Le retour d’expérience de Veepee démontre qu’une approche continue et collaborative est un atout stratégique pour renforcer la résilience.
Que vous soyez une scale-up ou un grand groupe, le Bug Bounty vous permet de tester la robustesse de vos systèmes en continu sans freiner vos équipes. C’est le moyen idéal de débusquer les vulnérabilités qui échappent aux tests traditionnels.
Contactez-nous dès aujourd’hui pour concevoir un programme de sécurité sur mesure adapté à vos enjeux.
