Introduction sur Bound & Sécurité dans la FinTech
Salut Dan ! Peux-tu nous en dire un peu plus sur toi et Bound ?
Bonjour, je suis Dan Kindler et je suis le CTO et co-fondateur de Bound. Nous nous concentrons sur la conversion de devises et la couverture de change pour les rendre abordables, équitables et, surtout, faciles. Nos plateformes aident des centaines d'entreprises à se protéger du risque de change partout dans le monde. Actuellement, environ la moitié de notre équipe est composée d'ingénieurs.
Comment Bound se positionne-t-il dans le secteur de la FinTech, et par rapport à la concurrence ?
Avant de plonger dans la FinTech elle-même, permettez-moi d'abord d'expliquer comment nous nous positionnons par rapport aux institutions financières traditionnelles. Les banques ou courtiers traditionnels s'adressent généralement à des clients disposant de grandes équipes de trésorerie qui privilégient les transactions par téléphone et par e-mail. Leurs plateformes d'échange en ligne n'offrent généralement que des transactions au comptant. Notre objectif étant de rendre la couverture facile et sans tracas, nous proposons des outils de couverture au comptant et de change pour gérer et protéger vos flux de trésorerie internationaux. En décembre 2022, nous avons reçu notre autorisation de la FCA, une autorité de régulation financière britannique, nous permettant de fournir des produits de couverture réglementés.
En matière de FinTech, on peut dire que nous repoussons les limites (Bound-aries, oui) en introduisant des conversions de devises en libre-service en ligne. Des entreprises comme Wise et Revolut ont fait un travail formidable pour faciliter les conversions de devises en ligne – mais elles se concentrent uniquement sur les conversions « spot » (ou instantanées). Avec Bound, nous nous concentrons sur les flux de trésorerie futurs, ce sur quoi ils ne se concentrent pas autant.
Quel rôle la sécurité devrait-elle jouer dans la FinTech ?
La sécurité joue un rôle primordial dans notre secteur. En fin de compte, nous traitons des transactions financières qui pourraient valoir des centaines de milliers de livres/dollars/euros, voire plus. Chez Bound, notre volume de transactions a déjà dépassé des centaines de millions de dollars. Si un risque de sécurité s'infiltre dans notre produit – ou dans tout autre produit FinTech d'ailleurs – il est clair que les conséquences seraient désastreuses. Et pas seulement. Outre les conséquences juridiques, les hackers pourraient voler l'épargne d'autrui, détruisant des entreprises et des vies.
Faciliter la conformité réglementaire de la FinTech
Dans le secteur de la FinTech, on peut imaginer que les instances réglementaires ou les organismes de réglementation gouvernementaux exercent un contrôle accru sur les entreprises qui traitent les données clients. Comment Aikido vous aide-t-il à gérer cela ?
La pression pour rester conforme est énorme. Au Royaume-Uni, nous naviguons constamment entre des réglementations strictes comme le GDPR et les directives de la FCA sur la protection et la sécurité des données. Les régulateurs attendent de nous que nous soyons proactifs dans la gestion des vulnérabilités, d'autant plus que nous traitons des données clients sensibles.
Aikido a changé la donne pour nous. La plateforme 9-en-1 nous permet de couvrir de manière exhaustive chaque aspect de la sécurité de nos logiciels. Cette approche facilite la satisfaction des exigences réglementaires sans assembler plusieurs outils. Un grand avantage a été la réduction des faux positifs. Dans un paysage réglementaire, nous n'avons pas le luxe de perdre du temps à traquer des vulnérabilités inexistantes. La précision d'Aikido signifie que lorsqu'une alerte est déclenchée, nous pouvons être sûrs qu'elle nécessite une action, ce qui est inestimable lors des audits ou des examens de conformité. De plus, l'UX claire permet à notre équipe d'agir rapidement, évitant la complexité qui accompagne habituellement les outils de sécurité. Cela garantit que nous restons en avance sur tout problème de conformité potentiel sans perturber notre flux de développement.
Dans un paysage réglementaire, nous n'avons pas le luxe de perdre du temps à traquer des vulnérabilités inexistantes.
Quelle future réglementation voyez-vous se profiler pour les autres responsables d'ingénierie et VP à surveiller ?
Les futures réglementations FinTech au Royaume-Uni devraient se concentrer sur l'expansion de l'Open Banking et le renforcement de la surveillance des actifs numériques. Avec des innovations comme les Variable Recurring Payments et un bac à sable réglementaire numérique, les équipes d'ingénierie devraient se préparer à des normes de sécurité plus strictes et à de nouvelles intégrations d'API.
Présentation d'Aikido
Avant Aikido, qu'est-ce qui vous préoccupait le plus en matière de sécurité ? Comment abordiez-vous la sécurité ?
Honnêtement, c'était un vrai casse-tête de gérer différents outils pour chaque type de contrôle de sécurité. Nous craignions constamment de passer à côté de quelque chose, et le nombre de faux positifs aggravait la situation. Aikido a tout centralisé, de sorte que nous détectons désormais les problèmes réels sans le bruit ambiant, et cela nous a grandement simplifié la vie.
Aikido a tout centralisé, de sorte que nous détectons désormais les problèmes réels sans le bruit ambiant
Nous avons constaté que Bound est l'un de nos rares clients à avoir pratiquement résolu tous les problèmes ouverts signalés. Aikido vous a-t-il aidé à cet égard ?
Absolument ! Nous mettons un point d'honneur à prendre la sécurité très au sérieux (comme la plupart des entreprises — espérons-le — le font). Pour nous, Aikido a eu un impact considérable sur notre approche de la gestion des vulnérabilités et de leur remédiation. Nous le considérons comme notre source unique de vérité, et les fonctionnalités de déduplication et de pré-filtrage des faux positifs de la plateforme nous aident vraiment à y voir plus clair. Dès qu'une vulnérabilité réelle apparaît, un déclencheur apparaît dans notre outil de suivi des problèmes (Linear) pour nous assurer de la corriger dès que possible. Le processus est très bien conçu et parfaitement intégré à notre cycle de développement, et nous nous y fions beaucoup.
Quelle est votre expérience de collaboration avec l'équipe Aikido ?
L'équipe a été extrêmement réactive et d'un grand soutien dès le premier jour. Nous pouvons partager des retours en temps réel, faire des demandes et recevoir des mises à jour produit pertinentes via notre canal Slack commun. À un moment donné, j'ai demandé à l'équipe Aikido s'ils savaient dans quoi ils s'étaient embarqués. Nous n'avons pas laissé leur équipe produit dormir une fois que nous avons réalisé que nous pouvions tout demander !
Quelle est votre fonctionnalité préférée ?
Outre la réduction des faux positifs, le bouton « Import from GitHub » est très pratique. J'apprécie vraiment que tous les dépôts soient automatiquement attribués à une équipe. Nous pouvons conserver GitHub comme source de vérité, tandis qu'Aikido cartographie tout de manière transparente en conséquence.
Quelques mots pour conclure ?
Nous avons eu notre premier test d'intrusion et audit de sécurité Amazon AWS plus tôt cette année, et cela s'est très bien passé. Nous n'avons rien eu au-dessus d'un niveau « moyen » (et la plupart des « moyens », je n'étais de toute façon pas entièrement d'accord avec eux...). Ils auraient probablement trouvé beaucoup plus de choses intéressantes si Aikido ne nous avait pas constamment alertés, alors merci pour cela !
