Hé, Dan ! Peux-tu nous en dire un peu plus sur toi et Bound ?
Bonjour, je suis Dan Kindler, directeur technique et cofondateur de Bound. Notre objectif est de rendre la conversion et la couverture des risques de change bon marché, équitable et, surtout, facile. Nos plateformes aident des centaines d'entreprises à se protéger du risque de change dans le monde entier. Actuellement, environ la moitié de notre équipe est composée d'ingénieurs.
Comment Bound se positionne-t-il dans le secteur FinTech et par rapport à la concurrence ?
Avant de plonger dans les FinTech elles-mêmes, permettez-moi de vous expliquer comment nous nous positionnons par rapport aux institutions financières traditionnelles. Les banques ou les courtiers traditionnels s'adressent généralement à des clients qui disposent d'équipes de trésorerie importantes et qui privilégient les transactions par téléphone ou par courrier électronique. Leurs bourses en ligne n'offrent généralement que des transactions sur place. Notre objectif étant de faciliter les opérations de couverture, nous proposons des outils de couverture au comptant et de couverture de change pour gérer et protéger vos flux de trésorerie internationaux. En décembre 2022, nous avons reçu l'autorisation de la FCA, une autorité de régulation financière britannique, ce qui nous permet de proposer des produits de couverture réglementés.
En matière de FinTech, on peut dire sans risque de se tromper que nous brisons les frontières (ouais) en introduisant les conversions de devises en ligne en libre-service. Des sociétés comme Wise et Revolut ont fait un travail remarquable pour faciliter les conversions de devises en ligne, mais elles ne se concentrent que sur les conversions "spot" (ou instantanées). Avec Bound, nous nous concentrons sur les flux de trésorerie futurs, ce qui n'est pas le cas de ces sociétés.
Quel est l'objectif de la sécurité dans les FinTech ?
La sécurité joue un rôle essentiel dans notre secteur. En fin de compte, nous traitons des transactions financières qui peuvent valoir des centaines de milliers de livres, de dollars ou d'euros, voire plus. Chez Bound, notre volume de transactions a déjà dépassé les centaines de millions de dollars. Si un risque de sécurité se faufile dans notre produit - ou dans n'importe quel produit FinTech d'ailleurs - on peut dire sans risque de se tromper qu'il y a du grabuge dans l'air. Et pas n'importe lequel. Outre les conséquences juridiques, les pirates informatiques pourraient voler les économies d'autres personnes, détruisant ainsi des entreprises et des vies.
Dans le domaine de la FinTech, nous pouvons imaginer que les instances réglementaires ou les organismes de réglementation gouvernementaux surveillent de plus près les entreprises qui traitent les données de leurs clients. Comment Aikido vous aide-t-il à faire face à cette situation ?
La pression pour rester conforme est énorme. Au Royaume-Uni, nous naviguons constamment entre des réglementations strictes telles que le GDPR et les orientations de la FCA sur la protection des données et la sécurité. Les régulateurs attendent de nous que nous soyons proactifs dans la gestion des vulnérabilités, d'autant plus que nous traitons des données clients sensibles.
Aikido a changé la donne pour nous. La plateforme 9 en 1 nous permet de couvrir tous les aspects de la sécurité de nos logiciels. Cette approche nous permet de répondre plus facilement aux exigences réglementaires sans avoir à assembler plusieurs outils. La réduction du nombre de faux positifs est un atout majeur. Dans un contexte réglementaire, nous n'avons pas le luxe de perdre du temps à traquer des vulnérabilités inexistantes. La précision d'Aikido signifie que lorsqu'une alerte arrive, nous pouvons être sûrs qu'il s'agit de quelque chose qui nécessite une action, ce qui est inestimable lors des audits ou des examens de conformité. De plus, la clarté de l'interface utilisateur permet à notre équipe d'agir rapidement, en évitant la complexité qui accompagne généralement les outils de sécurité. Cela nous permet de garder une longueur d'avance sur les problèmes de conformité potentiels sans perturber notre flux de développement.
Quelle réglementation future envisagez-vous pour les autres responsables et vice-présidents de l'ingénierie ?
Les futures réglementations FinTech du Royaume-Uni devraient se concentrer sur l'expansion de l'Open Banking et l'amélioration de la surveillance des actifs numériques. Avec des innovations telles que les paiements récurrents variables et un bac à sable réglementaire numérique, les équipes d'ingénieurs doivent se préparer à des normes de sécurité plus strictes et à de nouvelles intégrations d'API.
Avant l'Aïkido, qu'est-ce qui vous empêchait de dormir en termes de sécurité ? Comment abordiez-vous la question de la sécurité ?
Honnêtement, la gestion de différents outils pour chaque type de contrôle de sécurité était un véritable gâchis. Nous étions constamment inquiets de rater quelque chose, et le nombre de faux positifs rendait la situation encore plus difficile. Aikido a tout regroupé en un seul endroit, ce qui nous permet maintenant de détecter les vrais problèmes sans tout ce bruit, et nous facilite grandement la vie.
Nous avons vu que Bound est l'un de nos rares clients qui a pratiquement résolu tous les problèmes signalés. Aikido vous a-t-il aidé à résoudre ce problème ?
Absolument ! Nous sommes fiers de prendre la sécurité très au sérieux (comme la plupart des entreprises - espérons-le - le font). Pour nous, Aikido a eu un impact considérable sur notre approche de la gestion des vulnérabilités et de la remédiation. Nous le considérons comme notre seule source de vérité, et les fonctions de déduplication et de pré-filtrage des faux positifs de la plateforme nous aident vraiment à voir la forêt à travers les arbres. Dès qu'une vulnérabilité réelle apparaît, nous faisons en sorte qu'un déclencheur apparaisse dans notre outil de suivi des problèmes (Linear) afin de nous assurer que nous la corrigeons dès que possible. Ce processus est très bien conçu et bien intégré dans notre cycle de développement, et nous nous y fions beaucoup.
Quelle est votre expérience de la collaboration avec l'équipe d'Aïkido ?
L'équipe a été très réactive et nous a soutenus dès le premier jour. Nous sommes en mesure de partager des commentaires en temps réel, de faire des demandes et de recevoir des mises à jour de produits pertinentes par le biais de notre canal Slack commun. À un moment donné, j'ai demandé à l'équipe d'Aikido si elle savait dans quoi elle s'était embarquée. Nous n'avons pas laissé dormir leur équipe produit une fois que nous avons réalisé que nous pouvions demander tout ce que nous voulions !
Quelle est votre caractéristique préférée ?
La réduction des faux positifs mise à part, le bouton "Importer de GitHub" est très sympa. J'aime beaucoup le fait que tous les dépôts soient automatiquement assignés à une équipe. Nous pouvons garder GitHub comme source de vérité, tandis qu'Aikido organise tout de manière transparente en conséquence.
Des remarques finales ?
Nous avons effectué notre premier test de pénétration et notre premier audit de sécurité Amazon AWS au début de l'année, qui se sont très bien déroulés. Nous n'avons obtenu qu'une note moyenne (et je n'étais pas entièrement d'accord avec la plupart des notes moyennes, de toute façon...). Ils auraient probablement trouvé beaucoup plus de choses intéressantes si nous n'avions pas eu Aikido qui nous criait dessus en permanence, alors merci pour ça !
.svg)
.jpg)
.jpg)
.jpg)
.jpg)
