Comment construire une entreprise secure by design ?
Pourquoi met-on son argent à la banque plutôt que sous son matelas ? Parce que nous avons confiance dans les institutions financières, et que nos économies sont plus en sécurité chez elles que dans un endroit aléatoire chez nous. Bien sûr, nous sommes loin du temps où il fallait déposer ses pièces – ou ses lingots d’or, pour les plus chanceux – au comptoir de la banque. Avec la digitalisation de l’industrie, la confiance s’est étendue au monde numérique.
Cette relation de confiance est centrale pour tous les acteurs des services financiers, notamment les fintech. C’est grâce à elle que les individus acceptent de partager leurs données bancaires et personnelles. Quelle est la contrepartie attendue ? Des produits et des services avec un niveau de sécurité maximal, afin d’empêcher un hold-up de ces données.
Chez Algoan, nous nous efforçons d’être à l’état de l’art sur ce sujet. Nous développons depuis le premier jour une approche secure by design. Quelles sont les implications ? Comment développons-nous nos produits en conséquence ? Nous avons échangé avec Fabrice Ongenae, notre CTO, pour vous expliquer les choix techniques qui garantissent la sécurité de nos produits.
Sécurité et conformité : les enjeux pour Algoan
Quels sont les enjeux de sécurité et de conformité auxquels fait face Algoan ? Pour délivrer nos produits, nous avons besoin que nos clients – et, par extension, les clients de nos clients – partagent leurs données bancaires ainsi que leurs données personnelles avec nous.
“Les données bancaires sont très sensibles. Une brèche de sécurité peut avoir un impact fort dans la vie des utilisateurs. Ils nous donnent leur confiance, à nous de l’honorer par un niveau d’exigences élevé, en délivrant des produits les plus sécurisés possible.” – Fabrice Ongenae, CTO, Algoan
Quant aux données personnelles, vous avez sûrement en tête les nombreux scandales liés aux failles de sécurité les concernant (Facebook – Cambridge Analytica pour n’en citer qu’un exemple). Nous avons donc un fort enjeu de sécurisation de ces données, ainsi que de conformité dans leur collecte et leur utilisation. C’est-à-dire savoir comment les stocker, sous quelle forme, pour quelle durée, etc. Le règlement général sur la protection des données (RGPD) est venu apporter un cadre juridique depuis 2018 sur ce sujet. Chez Algoan, nous avions déjà adopté une approche conservatrice, pour n’utiliser et conserver que les données nécessaires à la construction de nos produits, pas plus.
La protection de ces données est la base de la relation de confiance qui nous unit à nos clients. Les grandes banques avec lesquelles nous collaborons ont un niveau d’exigences très élevé – et c’est bien normal.
“Nous sommes une jeune entreprise, qui intervient sur un marché sensible. Nous n’avons pas de droit à l’erreur quant à la sécurité des données transmises : si nous connaissions une faille majeure, nous n’aurions pas de seconde chance. À mesure que l’entreprise gagne en visibilité, les menaces évoluent également. Nous devons maintenir et pousser notre niveau d’exigences en permanence pour nous en prémunir. Concrètement, cela se traduit par des choix techniques qui placent la sécurité au cœur de toutes nos actions.”
Secure by design : notre approche de la sécurité chez Algoan
La volonté d’être fer de lance sur les questions de sécurité fait partie intégrante de l’ADN d’Algoan – l’avantage d’avoir deux co-fondateurs ingénieurs probablement ! Tous nos choix techniques se fondent sur l’approche DevSecOps, qui comprend le Shift Left. Expliquons-les rapidement :
- DevSecOps : peut-être avez-vous entendu parler de DevOps. Cette approche unifie le développement logiciel et l’administration des infrastructures informatiques. Dans quel but ? Intégrer les contraintes de déploiement dès la phase de programmation, plutôt qu’après-coup. Par extension, le DevSecOps ramène la sécurité au plus proche de la programmation. Les schémas de sécurité sont créés simultanément aux fonctionnalités. Cela permet d’identifier les points de vigilance dès la genèse du produit et d’ajouter des tests de sécurité à toutes ses étapes de développement.
- Shift Left : cette approche a aussi pour but de casser les silos existants. Littéralement “vers la gauche”, elle permet que des tests – et dans notre cas, des tests de sécurité – soient effectués au plus tôt dans le cycle de développement des produits, plutôt que de les effectuer au moment de la mise en production. Son avantage clé ? Éviter d’envoyer des failles en production. D’un point de vue sécuritaire, cela est très intéressant, mais cela l’est également d’un point de vue économique. Selon un adage répandu dans la communauté tech, un bug X qui a pour origine une faille de sécurité, coûte 10 au moment du développement, 100 à l’étape QA et 1 000 une fois en production.
“Chez Algoan, nous avons pleinement adopté un des Leitmotivs du DevSecOps : expect the best, prepare for the worst. L’idée est, dès la création des produits et fonctionnalités, de réfléchir aux failles possibles et y apporter une réponse par anticipation.”
Afin d’apporter des preuves des efforts techniques déployés, nous demandons la certification de certains labels officiels. Notamment la norme ISO 27001 en début d’année 2022, qui validera nos actions et rassurera nos clients actuels et futurs.
Collaborer avec des experts reconnus dans leur domaine
“Les valeurs de notre équipe tech sont : être à l’état de l’art, être agile et contribuer à la communauté tech – via l’open source notamment.”
L’open source est au cœur de notre culture technique chez Algoan. Collaboratifs par nature, nous sommes allés chercher l’expertise d’organismes de place. Algoan reste encore une petite entreprise, et la collaboration avec ces leaders du marché permet de bénéficier de leur expérience et de gagner du temps dans nos développements :
- Quand nous avons construit notre modèle data, des questions se posaient sur leur stockage, leur forme, etc. Nous avons fait appel au cabinet Digital & Ethics pour bénéficier des bonnes pratiques.
- Google cloud, notre hébergeur, a un impact considérable sur l’open source, avec différents outils comme Kubernetes ou encore Tensorflow sur la data science. Nous avons profité d’un accompagnement direct de leurs équipes sur les questions d’architecture grâce au Startup Program en 2017 et 2020.
- Nous sommes très orientés open source, par conséquent nous avons également besoin d’outils pour nous protéger des failles de sécurité potentielles. C’est pour cela que nous utilisons Snyk, qui détecte automatiquement les failles dans les dépendances open source avant que nous les utilisions en interne. Cela répond également à un objectif de conformité, pour s’assurer que nous n’utilisons pas de dépendance qui aurait une licence propriétaire.
“Snyk joue un rôle clé dans notre organisation technique. Ils partagent la même vision de l’open source que nous. Ils s’inscrivent parfaitement dans nos approches DevSecOps et Shift Left, pour aider les développeurs dans la conception de nos produits.”
S’entourer de ces outils nous permet de détecter les failles et de les corriger plus rapidement que si nous restions isolés dans nos développements. Nous gardons toujours en tête la logique de Pay it forward, à la base de l’open source. Nous contribuons à notre tour à la communauté : le partage sur Github de dépendances open source sur lesquelles nous avons travaillé par exemple. En parallèle, nous nous appuyons sur une équipe extrêmement qualifiée et passionnée.
Construire une équipe experte et passionnée
Aucun de nos objectifs de sécurité ne serait atteint sans l’équipe que nous avons réussi à assembler. Fabrice est le CTO et responsable de la sécurité. Paul, co-fondateur d’Algoan, gère les aspects conformité des données. Nous avons un département DevOps qui s’assure de se poser les bonnes questions, dès la création de l’infrastructure, pour s’assurer qu’il n’y ait pas de failles (Shift Left, toujours). Nos autres tech sont répartis en équipes, avec un Tribe leader et deux Lead developers à leur tête.
A chaque étape du développement, l’objectif est d’ajouter un aspect sécurité : la conceptualisation inclut nativement cette partie. Nous réalisons des tests automatiques de sécurité en amont, en production, des outils effectuent un monitoring de notre infrastructure et s’assurent qu’il n’y a pas d’intrusions, etc. Nous effectuons également des tests d’intrusion sur notre propre système afin d’identifier les failles éventuelles, avec des rapports internes. Cela crée une piste écrite, que nous pourrons fournir aux auditeurs lors de la certification … et que nous pouvons transmettre à nos clients si nous détectons des failles chez eux !
Dans notre équipe, un recrutement a été clé : celui d’Achraf, notre DevSecOps et pentester. Il détient plusieurs certifications et a reçu des récompenses multiples à des concours de pentest.
“Souvent, le pentester est externalisé ou son embauche intervient à un stade de développement plus avancé de l’entreprise. Embaucher Achraf dès la création d’Algoan fut un choix stratégique. Avoir une personne dédiée aux sujets sécurité dès la genèse de l’entreprise apporte une forte plus-value. Chaque fois que des décisions sont prises au sein de l’équipe technique, Achraf apporte son expertise pour que la sécurité en soit partie intégrante.”
Le recrutement de l’équipe n’est que la première étape pour construire une culture forte de la sécurité en interne. Il faut ensuite l’entretenir. Comment ? Tous les deux mois environ, Achraf et Fabrice effectuent des présentations devant toute l’équipe qui intervient sur la production. Souvent, ils choisissent des événements d’actualité et analysent comment ils auraient pu être anticipés. C’est également l’occasion de présenter les nouveautés en sécurité.
Au-delà de ces sessions, des formations sont fortement recommandées. Notamment deux MOOCs sur OpenClassrooms, sur la cybersécurité et sur la conduite de pentests.
“Nous réalisons aussi des Game days. Il faut y penser comme des entraînements de pompiers : nous simulons des brèches de sécurité qui pourraient se produire et l’équipe doit trouver la solution. Cela permet de s’assurer que l’équipe est organisée, soudée et qu’elle saurait réagir à l’unisson en cas de situation difficile chez Algoan.”
Un collectif déjà mis à contribution en temps normal : dès qu’un incident en production apparaît, la sonnette d’alarme est tirée – à l’instar de l’Andon Cord chez Toyota. Tout le monde arrête ses tâches en cours et s’organise pour identifier le problème et le résoudre le plus rapidement possible.
Sécuriser les données transmises par nos clients et nous prémunir des menaces extérieures est central pour une entreprise comme Algoan. Nous nous efforçons d’être à l’état de l’art sur ce sujet grâce à des choix techniques stratégiques, des collaborations avec des organismes de place et une équipe qualifiée et passionnée. Fabrice et Achraf continuent à travailler sur une roadmap toujours plus ambitieuse, pour poursuivre les investissements initiés sur le DevSecOps et le Shift Left. Encore plus d’automatisations et d’innovations sont à attendre pour tendre au maximum vers l’infaillibilité.
Ça peut aussi vous intéresser
Un projet ? Une question ?
Vous souhaitez changer votre manière de prendre vos décisions de crédit ? Discutons-en !