Salut Dan ! Peux-tu nous en dire un peu plus sur toi et Bound ?
Bonjour, je suis Dan Kindler et je suis le CTO et co-fondateur de Bound. Nous nous concentrons sur la conversion de devises et la couverture de change pour les rendre abordables, équitables et, surtout, faciles. Nos plateformes aident des centaines d'entreprises à se protéger du risque de change partout dans le monde. Actuellement, environ la moitié de notre équipe est composée d'ingénieurs.
Comment Bound se positionne-t-il dans le secteur de la FinTech, et par rapport à la concurrence ?
Avant de plonger dans la FinTech elle-même, permettez-moi d'abord d'expliquer comment nous nous positionnons par rapport aux institutions financières traditionnelles. Les banques ou courtiers traditionnels s'adressent généralement à des clients disposant de grandes équipes de trésorerie qui privilégient les transactions par téléphone et par e-mail. Leurs plateformes d'échange en ligne n'offrent généralement que des transactions au comptant. Notre objectif étant de rendre la couverture facile et sans tracas, nous proposons des outils de couverture au comptant et de change pour gérer et protéger vos flux de trésorerie internationaux. En décembre 2022, nous avons reçu notre autorisation de la FCA, une autorité de régulation financière britannique, nous permettant de fournir des produits de couverture réglementés.
En matière de FinTech, on peut dire que nous repoussons les limites (Bound-aries, oui) en introduisant des conversions de devises en libre-service en ligne. Des entreprises comme Wise et Revolut ont fait un travail formidable pour faciliter les conversions de devises en ligne – mais elles se concentrent uniquement sur les conversions « spot » (ou instantanées). Avec Bound, nous nous concentrons sur les flux de trésorerie futurs, ce sur quoi ils ne se concentrent pas autant.
Quel rôle la sécurité devrait-elle jouer dans la FinTech ?
La sécurité joue un rôle primordial dans notre secteur. En fin de compte, nous traitons des transactions financières qui pourraient valoir des centaines de milliers de livres/dollars/euros, voire plus. Chez Bound, notre volume de transactions a déjà dépassé des centaines de millions de dollars. Si un risque de sécurité s'infiltre dans notre produit – ou dans tout autre produit FinTech d'ailleurs – il est clair que les conséquences seraient désastreuses. Et pas seulement. Outre les conséquences juridiques, les hackers pourraient voler l'épargne d'autrui, détruisant des entreprises et des vies.
Dans le domaine des technologies financières, on peut imaginer que les instances réglementaires ou les organismes gouvernementaux de réglementation surveillent de plus près les entreprises qui traitent les données des clients. Comment Aikido vous Aikido faire face à cette situation ?
La pression pour rester conforme est énorme. Au Royaume-Uni, nous naviguons constamment entre des réglementations strictes comme le GDPR et les directives de la FCA sur la protection et la sécurité des données. Les régulateurs attendent de nous que nous soyons proactifs dans la gestion des vulnérabilités, d'autant plus que nous traitons des données clients sensibles.
Aikido changé la donne pour nous. La plateforme 9-en-1 nous permet de couvrir de manière exhaustive tous les aspects de la sécurité de nos logiciels. Cette approche facilite le respect des exigences réglementaires sans avoir à assembler plusieurs outils. La réduction des faux positifs a été un avantage considérable. Dans un contexte réglementaire, nous ne pouvons pas nous permettre de perdre du temps à rechercher des vulnérabilités inexistantes. Grâce à la précision Aikido, lorsque nous recevons une alerte, nous savons qu'il s'agit d'un problème qui nécessite une action, ce qui est inestimable lors des audits ou des contrôles de conformité. De plus, l'interface utilisateur claire permet à notre équipe d'agir rapidement, en évitant la complexité généralement associée aux outils de sécurité. Cela nous permet de garder une longueur d'avance sur les éventuels problèmes de conformité sans perturber notre flux de développement.
Quelle future réglementation voyez-vous se profiler pour les autres responsables d'ingénierie et VP à surveiller ?
Les futures réglementations FinTech au Royaume-Uni devraient se concentrer sur l'expansion de l'Open Banking et le renforcement de la surveillance des actifs numériques. Avec des innovations comme les Variable Recurring Payments et un bac à sable réglementaire numérique, les équipes d'ingénierie devraient se préparer à des normes de sécurité plus strictes et à de nouvelles intégrations d'API.
Avant Aikido, qu'est-ce qui vous empêchait de dormir la nuit en matière de sécurité ? Comment abordiez-vous la question de la sécurité ?
Honnêtement, c'était compliqué de gérer différents outils pour chaque type de contrôle de sécurité. Nous avions constamment peur de passer à côté de quelque chose, et le nombre de faux positifs ne faisait qu'empirer les choses. Aikido tout regroupé en un seul endroit, ce qui nous permet désormais de détecter les vrais problèmes sans tout le bruit, et cela nous a considérablement simplifié la vie.
Nous avons constaté que Bound est l'un de nos rares clients à avoir résolu pratiquement tous les problèmes signalés. Aikido vous a-t-il Aikido dans ce domaine ?
Absolument ! Nous sommes fiers de prendre la sécurité très au sérieux (comme la plupart des entreprises, espérons-le). Pour nous, Aikido eu un impact considérable sur notre approche gestion des vulnérabilités de leur correction. Nous le considérons comme notre seule source de vérité, et les fonctionnalités de déduplication et de préfiltrage des faux positifs de la plateforme nous aident vraiment à voir la forêt à travers les arbres. Lorsqu'une véritable vulnérabilité apparaît, un déclencheur s'affiche dans notre outil de suivi des problèmes (Linear) afin de nous assurer de la corriger dès que possible. Le processus est très bien conçu et bien intégré à notre cycle de développement, et nous nous y fions beaucoup.
Quelle est votre expérience de collaboration avec Aikido ?
L'équipe a été très réactive et nous a apporté son soutien dès le premier jour. Nous pouvons partager nos commentaires en temps réel, faire des demandes et recevoir des mises à jour pertinentes sur les produits via notre canal Slack commun. À un moment donné, j'ai demandé Aikido si elle savait dans quoi elle s'était embarquée. Nous n'avons pas laissé leur équipe produit dormir une seule fois après avoir réalisé que nous pouvions leur demander tout ce que nous voulions !
Quelle est votre fonctionnalité préférée ?
Mis à part la réduction des faux positifs, le bouton « Importer depuis GitHub » est très pratique. J'apprécie particulièrement le fait que tous les dépôts soient automatiquement attribués à une équipe. Nous pouvons conserver GitHub comme source de vérité, tandis Aikido mappe tout Aikido en conséquence.
Quelques mots pour conclure ?
Nous avons effectué notre premier test de pénétration et notre premier audit de sécurité Amazon AWS plus tôt cette année, qui se sont très bien déroulés. Nous n'avons rien obtenu au-dessus d'un niveau moyen (et je n'étais de toute façon pas entièrement d'accord avec la plupart des niveaux moyens...). Ils auraient probablement trouvé beaucoup plus de choses intéressantes si Aikido ne nous avait pas constamment Aikido dessus, alors merci pour cela !
Sécurisez votre logiciel dès maintenant.
.avif)
