Salut Ega ! Quel est votre rôle et qu'est-ce qui distingue Faspay dans la FinTech ?
Bonjour l'équipe Aikido ! En tant que responsable du développement chez Faspay, je dirige nos équipes d'ingénieurs pour construire des systèmes évolutifs et fiables qui soutiennent la croissance de l'entreprise et l'évolution de ses besoins.
Ce qui distingue Faspay, c'est sa forte présence dans les secteurs numériques et traditionnels. Nous facilitons l'adoption des systèmes de paiement numériques par les commerçants (en particulier ceux qui abandonnent les méthodes de paiement traditionnelles) grâce à des solutions stables, sécurisées et faciles à intégrer. Faspay est l'une des passerelles de paiement les plus anciennes et les mieux établies en Indonésie. Nos solutions sont sûres, stables et facilement intégrables, et reposent sur des années d'expérience éprouvée et de confiance du marché.
Quel est l'objectif de la sécurité dans les FinTech ?
Si la sécurité spécifique aux FinTech doit soutenir l'innovation et l'inclusion financière numérique, je dirais que c'est aussi une nécessité :
- Protéger les données des utilisateurs: Les plateformes FinTech gèrent des informations personnelles et financières sensibles. Une sécurité solide garantit que ces données ne sont pas divulguées, volées ou utilisées à mauvais escient.
- Protéger les transactions: Chaque transaction doit être protégée contre la fraude, la manipulation ou l'accès non autorisé afin de maintenir l'intégrité du système.
- Instaurer la confiance: Les utilisateurs ne recourront aux services financiers numériques que s'ils sont convaincus que leur argent et leurs informations sont en sécurité. La confiance mène à l'adoption et à la croissance.
- Assurer la conformité: Le secteur FinTech indonésien est réglementé par des autorités telles que l'OJK et la Bank Indonesia. Une bonne sécurité aide les entreprises à se conformer aux lois sur la protection des données et la cybersécurité, en évitant les pénalités.
- Prévenir les pertes: Les cyberattaques peuvent entraîner le vol de fonds et nuire à la réputation. La sécurité agit comme une ligne de défense pour réduire ces risques.
- Maintenir la disponibilité des services: Les temps d'arrêt ou les pannes de système dus à des attaques peuvent interrompre les activités de l'entreprise. La sécurité garantit que la plateforme reste fiable et toujours accessible.
Comment Aikido aide-t-il à répondre aux exigences croissantes en matière de réglementation et de protection des données ?
Aikido joue un rôle essentiel en nous aidant à sécuriser les données des clients. Il identifie les risques dès le début du cycle de développement, lorsqu'il est plus facile (et moins coûteux) de les corriger. Aikido analyse des milliers de bibliothèques open-source et nous alerte instantanément lorsqu'une dépendance contient une vulnérabilité connue susceptible de mettre en péril les données des utilisateurs. Il surveille également en permanence le code déployé et signale les changements lorsque des composants auparavant sûrs deviennent vulnérables en raison de l'évolution des renseignements sur les menaces.
Y a-t-il eu un moment particulier qui a déclenché une approche plus stratégique de la sécurité ?
Au cours des trois ou quatre dernières années, le secteur financier indonésien est devenu la cible de pirates informatiques et d'exploits de toutes sortes. Depuis lors, nous avons adopté une approche beaucoup plus stratégique et proactive en matière de sécurité, en investissant dans de meilleurs processus, en sensibilisant le personnel et en adoptant des outils tels qu'Aikido pour nous aider à identifier les vulnérabilités à un stade précoce et à prévenir les incidents.
Avant d'adopter Aikido, quelles étaient vos principales préoccupations en matière de sécurité ? Y avait-il des risques ou des lacunes spécifiques que vous cherchiez à combler ?
Compte tenu des risques accrus sur le marché, notre priorité immédiate était de combler les lacunes en matière de sécurité au niveau de l'infrastructure. Nos principales préoccupations concernaient les systèmes non corrigés, les vulnérabilités connues et le durcissement général de l'environnement. Nous nous sommes attachés à appliquer régulièrement les correctifs logiciels, à remédier aux problèmes connus et à effectuer des tests de pénétration et des évaluations de vulnérabilité de routine afin de garantir la sécurité et la résilience de notre infrastructure face à de futures attaques.
Quelles difficultés avez-vous rencontrées pour maintenir la sécurité et la conformité au fur et à mesure de l'évolution de votre plateforme ?
Au fur et à mesure que nous nous sommes développés, deux défis majeurs sont apparus :
- Des menaces imprévisibles : Nous ne pouvions pas toujours anticiper les nouveaux types d'attaques ou leur degré de sophistication.
- Évolution des exigences de conformité : Les attentes en matière de réglementation évoluent rapidement et nos systèmes devaient suivre le rythme sans créer de goulots d'étranglement.
Le plus grand exercice d'équilibre a été de maintenir une sécurité forte sans ralentir notre vitesse de développement.
"La sécurité fait désormais partie intégrante de notre culture de développement, et n'est plus une réflexion après coup.
Utilisiez-vous d'autres outils ou services de sécurité avant de mettre en place Aikido ?
Nous avions essayé plusieurs outils avant l'Aïkido, notamment Checkmarx et Snyk. Chacun d'entre eux présentait des inconvénients. Certains étaient lents, d'autres manquaient d'informations exploitables, et d'autres encore avaient un prix élevé qui ne reflétait pas leur valeur. Nous avons donc cherché un outil plus convivial et plus efficace pour les développeurs, ce qui nous a conduit à Aikido.
"Nous avons essayé Checkmarx et Snyk, mais Aikido était plus rapide, plus exploitable et plus facile à utiliser.
Qu'est-ce qui est ressorti de l'Aïkido lors de l'évaluation ?
Lors de notre évaluation, Aikido s'est distingué par l'importance qu'il accorde à l'expérience des développeurs. La fonctionnalité AutoFix a été une grande victoire, permettant à notre équipe de résoudre rapidement les problèmes sans effort manuel. Aikido fournit également des rapports clairs et exploitables, ce qui facilite la hiérarchisation et la résolution des vulnérabilités. De plus, son intégration transparente avec les outils que nous utilisons déjà (comme Jenkins, Slack et divers éditeurs de code) a facilité son adoption. De plus, la vitesse d'analyse était remarquablement rapide, ce qui a permis de maintenir notre vitesse de développement sans compromettre la sécurité.
"Certains problèmes sont résolus automatiquement, sans intervention humaine. Nous nous contentons d'examiner et de fusionner le code."
Comment s'est déroulée votre expérience au sein de l'équipe d'Aïkido ?
Travailler avec l'équipe d'Aïkido a été une expérience exceptionnelle. Ils ne se contentent pas d'être réactifs, ils sont proactifs, nous soutiennent et s'investissent réellement dans notre réussite. Chaque interaction reflète leur profonde expertise en matière de sécurité et un véritable engagement à nous aider à nous développer en toute confiance. Il est rare de trouver un partenaire aussi fiable et aligné sur nos valeurs.
L'intégration d'Aikido dans vos flux de travail et processus de développement existants a-t-elle été facile ou difficile ?
Très simple. La documentation est claire, et le processus d'installation s'est déroulé sans problème, même pour les développeurs qui ne connaissaient pas l'outil. Aikido s'est branché directement sur nos pipelines sans perturber nos processus. C'était important. Nous avions besoin d'une meilleure sécurité, mais pas au détriment de la productivité.
Quelle est votre fonction ou capacité préférée ?
À mon avis, il y en a trois. Sans aucun doute, la fonction d'analyse de l'API. Elle est inestimable car la plupart de nos services sont basés sur des API. Elle nous aide à nous assurer que toutes les nouvelles API que nous publions sont sécurisées dès le départ. Deuxièmement, la fonction AutoFix nous fait vraiment gagner du temps. Elle nous a permis de gagner un temps considérable en résolvant automatiquement de nombreuses vulnérabilités courantes, ce qui permet à notre équipe de se concentrer davantage sur la livraison de code en toute tranquillité. Dans les cas les plus rapides, les corrections sont effectuées instantanément, il nous suffit de revoir le changement et de le fusionner.
"Avec le plugin IDE, nous pouvons repérer le mauvais code avant même qu'il ne soit poussé sur GitHub.
De plus, le plugin IDE nous aide à repérer le mauvais code avant même qu'il ne soit poussé sur GitHub. Nous n'avons plus à vérifier manuellement chaque ligne, ce qui a eu un impact important sur l'efficacité des développeurs.
Comment Aikido a-t-il changé la façon dont Faspay aborde la sécurité et la gestion des vulnérabilités ?
Aikido a considérablement amélioré notre approche de la sécurité et de la gestion des vulnérabilités chez Faspay. Nous sommes plus conscients de la nécessité de sécuriser notre base de code, en particulier lorsqu'il s'agit d'identifier et d'éliminer les données sensibles codées en dur. Nous sommes également plus proactifs dans la maintenance de nos dépendances et nous nous assurons qu'elles sont à jour et sûres. Grâce à Aikido, la sécurité fait désormais partie de notre culture de développement, et n'est plus une réflexion après coup.
Avez-vous constaté des résultats mesurables ?
Aikido nous a aidés à découvrir de nombreuses vulnérabilités dans notre ancien code qui n'avaient pas été détectées. Rien que pour cela, le changement valait la peine d'être fait. Nous n'avons pas encore de mesures exactes, mais nous avons certainement gagné du temps.
Avez-vous constaté des améliorations en termes de rapidité ou de réduction des coûts ?
Pas encore en termes de vélocité de développement, nous nous concentrons toujours sur le nettoyage du code existant. Et bien que nous n'ayons pas quantifié les économies réalisées, nous pouvons déjà affirmer qu'Aikido réduit les frais généraux liés à la gestion manuelle de la sécurité.
Si vous deviez décrire l'impact de l'Aïkido en une seule phrase, quelle serait-elle ?
Aikido a intégré de manière transparente la sécurité dans notre processus de développement, nous aidant à détecter rapidement les vulnérabilités tout en permettant à notre équipe de coder de manière plus sûre et plus efficace.
.webp){kind=logo}
.png)