Salut Ega ! Quel est votre rôle, et qu'est-ce qui distingue Faspay dans le secteur de la FinTech ?
Bonjour l'équipe Aikido ! En tant que responsable du développement chez Faspay, je dirige nos équipes d'ingénierie pour construire des systèmes évolutifs et fiables qui soutiennent la croissance de l'entreprise et l'évolution de ses besoins commerciaux.
Ce qui distingue Faspay, c'est notre forte présence dans les secteurs numérique et traditionnel. Nous facilitons l'adoption des systèmes de paiement numérique par les commerçants (en particulier ceux qui passent des méthodes de paiement traditionnelles) grâce à des solutions stables, sécurisées et faciles à intégrer. Faspay est l'une des passerelles de paiement les plus anciennes et les plus établies en Indonésie. Nos solutions sont sécurisées, stables et facilement intégrables, bâties sur des années d'expérience éprouvée et de confiance du marché.
Quel rôle la sécurité devrait-elle jouer dans la FinTech ?
Alors que la sécurité spécifique à la FinTech devrait soutenir l'innovation et l'inclusion financière numérique, j'affirmerai que c'est également un impératif :
- Protégez les données des utilisateurs : Les plateformes FinTech gèrent des informations personnelles et financières sensibles. Une sécurité robuste garantit que ces données ne sont pas divulguées, volées ou utilisées à mauvais escient.
- Protéger les transactions : Chaque transaction doit être à l'abri de la fraude, de la manipulation ou de l'accès non autorisé pour maintenir l'intégrité du système.
- Instaurer la confiance : Les utilisateurs n'utiliseront les services financiers numériques que s'ils sont convaincus que leur argent et leurs informations sont sécurisés. La confiance mène à l'adoption et à la croissance.
- Assurer la conformité : Le secteur FinTech indonésien est réglementé par des autorités telles que l'OJK et la Banque d'Indonésie. Une bonne sécurité aide les entreprises à se conformer aux lois sur la protection des données et la cybersécurité, évitant ainsi les pénalités.
- Prévenir les pertes : Les cyberattaques peuvent entraîner des fonds volés et une réputation endommagée. La sécurité agit comme une ligne de défense pour réduire ces risques.
- Maintenir la disponibilité du service : Les temps d'arrêt ou les pannes système dus à des attaques peuvent interrompre les opérations commerciales. La sécurité garantit que la plateforme reste fiable et toujours accessible.
Comment Aikido aide-t-il face aux exigences croissantes en matière de réglementation et de protection des données ?
Aikido joue un rôle essentiel en nous aidant à sécuriser les données de nos clients. Il identifie les risques tôt dans le cycle de vie du développement, lorsqu'ils sont plus faciles (et moins chers) à corriger. Aikido scanne des milliers de bibliothèques open source, nous alertant instantanément lorsqu'une dépendance contient une vulnérabilité connue susceptible de mettre en danger les données des utilisateurs. Il surveille également en permanence le code déployé et signale les changements lorsque des composants auparavant sûrs deviennent nouvellement vulnérables en raison de l'évolution du renseignement sur les menaces.
Y a-t-il eu un moment particulier qui a déclenché une approche plus stratégique de la sécurité ?
Au cours des 3-4 dernières années, l'industrie financière indonésienne est devenue la cible de hackers et d'exploits de diverses manières. Depuis lors, nous avons adopté une approche beaucoup plus stratégique et proactive en matière de sécurité, en investissant dans de meilleurs processus, en sensibilisant en interne et en adoptant des outils comme Aikido pour nous aider à identifier les vulnérabilités tôt et à prévenir les incidents.
Avant d'adopter Aikido, quelles étaient vos principales préoccupations en matière de sécurité ? Y avait-il des risques ou des lacunes spécifiques que vous cherchiez à combler ?
Compte tenu du risque accru sur le marché, notre priorité immédiate était de combler les lacunes de sécurité au niveau de l'infrastructure. Nos principales préoccupations comprenaient les systèmes non patchés, les vulnérabilités connues et le durcissement global de l'environnement. Nous nous sommes concentrés sur l'application régulière de correctifs logiciels, la correction des problèmes connus, et la réalisation de tests d'intrusion et d'évaluations de vulnérabilité de routine pour garantir que notre infrastructure était sécurisée et résiliente face aux futures attaques.
Quels défis rencontriez-vous pour maintenir la sécurité et la conformité à mesure que votre plateforme évoluait ?
À mesure que nous avons pris de l'ampleur, deux défis majeurs sont apparus :
- Menaces imprévisibles : Nous ne pouvions pas toujours anticiper de nouveaux types d'attaques ni leur degré de sophistication.
- Évolution des exigences de conformité : Les attentes réglementaires évoluent rapidement, et nos systèmes devaient suivre le rythme sans introduire de goulots d'étranglement pour les développeurs.
Le plus grand défi d'équilibre a été de maintenir une sécurité robuste sans ralentir notre vélocité de développement.
« La sécurité est devenue une partie intégrante de notre culture de développement, et non une réflexion après coup. »
Utilisiez-vous d'autres outils ou services de sécurité avant de mettre en œuvre Aikido ?
Nous avions essayé plusieurs outils avant Aikido, notamment Checkmarx et Snyk. Chacun avait ses inconvénients. Certains étaient lents, d'autres manquaient d'informations exploitables, et certains avaient un prix élevé qui ne reflétait pas leur valeur. Cela nous a conduits à rechercher quelque chose de plus convivial pour les développeurs et plus efficace, ce qui nous a finalement amenés à Aikido.
« Nous avons essayé Checkmarx et Snyk, mais Aikido était plus rapide, plus exploitable et plus facile à utiliser. »
Qu'est-ce qui a distingué Aikido lors de l'évaluation ?
Ce qui a distingué Aikido lors de notre évaluation, c'était son fort accent sur l'expérience développeur. La fonctionnalité AutoFix a été un atout majeur, permettant à notre équipe de résoudre rapidement les problèmes sans effort manuel. Aikido fournit également des rapports clairs et exploitables, facilitant la priorisation et la résolution des vulnérabilités. De plus, son intégration transparente avec les outils que nous utilisons déjà (comme Jenkins, Slack et divers éditeurs de code) a rendu l'adoption simple. En outre, la vitesse de scan était remarquablement rapide, ce qui a permis de maintenir notre vitesse de développement sans compromettre la sécurité.
« Certains problèmes sont corrigés automatiquement, sans intervention humaine. Nous nous contentons de revoir et de merger le code. »
Comment s'est déroulée votre expérience de collaboration avec l'équipe Aikido ?
Travailler avec l'équipe Aikido a été une expérience exceptionnelle. Ils ne sont pas seulement réactifs, ils sont proactifs, solidaires et véritablement investis dans notre succès. Chaque interaction reflète leur profonde expertise en sécurité et un engagement sincère à nous aider à grandir en toute confiance. Il est rare de trouver un partenaire aussi fiable et en phase avec nos valeurs.
Dans quelle mesure a-t-il été facile ou difficile d'intégrer Aikido à vos flux de travail et processus de développement existants ?
Très facile. La documentation est claire et le processus de configuration a été fluide, même pour les développeurs novices de l'outil. Aikido s'est intégré directement à nos pipelines sans perturber nos processus. C'était important. Nous avions besoin d'une meilleure sécurité, mais pas au détriment de la productivité.
Quelle est votre fonctionnalité ou capacité préférée ?
Il y en a trois, à mon avis. Certainement la fonctionnalité d'analyse d'API. Elle est inestimable car la plupart de nos services sont basés sur des API. Elle nous aide à garantir que toutes les nouvelles API que nous publions sont sécurisées dès le départ. Deuxièmement, la capacité AutoFix est un véritable gain de temps. Elle nous a fait gagner un temps considérable en résolvant automatiquement de nombreuses vulnérabilités courantes, permettant à notre équipe de se concentrer davantage sur la livraison de code sans soucis. Dans les cas les plus rapides, les corrections sont effectuées instantanément, nous nous contentons de revoir le changement et de le merger.
« Avec le plugin IDE, nous pouvons détecter le mauvais code avant même qu'il ne soit poussé sur GitHub. »
Et le plugin IDE nous aide à détecter le mauvais code avant même qu'il ne soit poussé sur GitHub. Nous n'avons plus à vérifier manuellement chaque ligne, ce qui a eu un impact majeur sur l'efficacité des développeurs.
Comment Aikido a-t-il changé l'approche de Faspay en matière de sécurité et de gestion des vulnérabilités ?
Aikido a considérablement amélioré notre approche de la sécurité et de la gestion des vulnérabilités chez Faspay. Nous sommes plus conscients de la nécessité de sécuriser notre base de code, en particulier lorsqu'il s'agit d'identifier et d'éliminer les données sensibles codées en dur. Cela nous a également rendus plus proactifs dans la maintenance de nos dépendances et la garantie qu'elles sont à jour et sûres. Grâce à Aikido, la sécurité fait désormais partie de notre culture de développement, et non une réflexion après coup.
Avez-vous constaté des résultats mesurables ?
Aikido nous a aidés à découvrir de nombreuses vulnérabilités dans notre base de code héritée qui étaient passées inaperçues. Cela seul valait le changement. Nous n'avons pas encore de métriques exactes, mais nous avons certainement gagné du temps.
Avez-vous constaté des améliorations en termes de vélocité ou des économies de coûts ?
Pas encore en termes de vélocité de développement, nous nous concentrons toujours sur le nettoyage du code legacy. Et bien que nous n'ayons pas quantifié les économies de coûts, nous pouvons déjà affirmer qu'Aikido réduit la charge de travail liée à la gestion manuelle de la sécurité.
Si vous deviez décrire l'impact d'Aikido en une seule phrase, quelle serait-elle ?
Aikido a intégré la sécurité de manière transparente dans notre processus de développement, nous aidant à détecter les vulnérabilités précocement tout en permettant à notre équipe de coder de manière plus sécurisée et efficace.
