Rester en sécurité dans un monde de plus en plus ouvert est un défi vital pour tous les fournisseurs de services financiers, y compris les fintechs. Lorsque la sécurité et la confidentialité des données des consommateurs sont en jeu, une gestion rigoureuse des risques est la norme.
Chez Flinks , nous croyons que gérer une grande quantité de données financières sensibles mérite les meilleures pratiques. Nous investissons continuellement dans la sécurité afin que nos clients puissent garder leur tranquillité d’esprit. Nous avons construit notre stratégie de sécurité autour de cinq piliers — lisez la suite, cela pourrait vous aider à bâtir votre propre stratégie de sécurité.
La sécurité comme actif d’affaires
La confiance des consommateurs envers leurs fournisseurs de services a toujours été la clé d’un système financier sain. La banque ouverte ne fait que renforcer ce fait — au cœur de celle-ci se trouve le concept de confiance et de consentement des utilisateurs. Pour gagner et maintenir leur crédibilité, les fintechs doivent adapter leurs pratiques de sécurité. C’est pourquoi la sécurité n’est pas seulement un exercice de conformité réglementaire pour les banques. C’est une responsabilité partagée entre plusieurs parties prenantes. Ceux qui innovent transformeront la sécurité en un atout d’affaires, ce qui les aidera à être perçus comme dignes de confiance par leurs clients et partenaires commerciaux.
#1 — Ne t’endors pas au volant
Avoir des contrôles en place, c’est bien. S’assurer qu’ils fonctionnent et que personne ne s’endort au volant, c’est mieux. Cela demande un travail constant, à la fois de l’intérieur de Flinks et avec de l’aide externe.
Nous effectuons régulièrement des audits de contrôle interne de nos équipes de travail afin de nous assurer que tout le monde comprend et respecte nos politiques et procédures. Notre système d’alerte et d’escalade permet à notre équipe d’intervention 24/7 de gérer rapidement et de façon appropriée des situations qui pourraient autrement dégénérer.
Les audits externes jouent également un rôle important dans notre stratégie de sécurité. Flinks a un rapport SOC 2 Type I attestant que les contrôles internes et les processus que nous avons mis en place au cours des dernières années sont conçus pour assurer la sécurité des données financières de nos clients.
SOC 2 est la référence en matière de conformité en matière de sécurité pour les entreprises SaaS. Développée par l’American Institute of CPAs (AICPA), la certification est délivrée par un auditeur indépendant — dans notre cas, c’était Deloitte — qui s’assure que nous respectons des exigences strictes et détaillées visant à protéger l’information. Ces exigences incluent la gestion des vulnérabilités de sécurité, le SDLC en tenant compte de la sécurité, l’évaluation proactive des risques, les plans de réponse aux incidents, la formation des employés, ainsi que les évaluations des fournisseurs et des tiers.
Notre rapport SOC 2 Type I n’est qu’une étape de notre parcours. Nous subissons des audits externes périodiques pour évaluer l’efficacité de nos contrôles et processus au fil du temps.
#2 — Soyez prêts à opérer dans les pires circonstances
Un matin, vous arrivez au bureau et vous réalisez que votre base de données est compromise et que des données sensibles ont pu être volées. Quelle est ta première étape?
Indice : il est trop tard pour s’asseoir et rédiger un plan d’intervention d’urgence.
Bien que nous espérions tous que tout se passera toujours bien, nous devons être prêts à agir dans les pires circonstances. De savoir ce qui peut nous frapper à la préparation de notre réponse, voici les étapes que nous suivons pour évaluer et gérer correctement les risques :
- La visibilité nous permet de considérer tous les scénarios possibles : Nous considérons tout ce qui peut avoir un effet négatif sur nos opérations. Les risques peuvent être internes, allant du vol de propriété intellectuelle à la perte d’employés clés, ou externes à Flinks, comme l’échec des fournisseurs de services ou des changements dans les lois et règlements qui pourraient nous forcer à changer notre façon de faire nos affaires.
- Classer les risques nous aide à prioriser : une fois que nous avons une perspective large sur les menaces à la réussite de notre entreprise, il est temps de les classer. Les risques sont généralement classés de « faibles » à « inacceptables » selon des critères tels que leur probabilité et leurs impacts. Cet exercice facilite la priorisation et nous aide à cibler les risques qui comptent le plus.
- Réduire les risques inacceptables est une priorité : notre équipe des risques a pour mission de réduire tout risque classé comme inacceptable à un niveau acceptable. Cela peut se faire en évitant complètement le risque, par exemple en ne saisissant pas certaines opportunités, en coupant les liens avec un fournisseur de services, etc. Cependant, ce n’est pas une option dans la plupart des cas. Cela nous laisse des stratégies d’atténuation des risques conçues pour diminuer les impacts des événements négatifs.
- Entraîner, tester, rincer, répéter : Former notre personnel et tester nos stratégies de sécurité est devenu une seconde nature.
Cette méthode offre une compréhension très approfondie de nos forces et vulnérabilités. À partir de là, nous pouvons mettre en place des contrôles tels que des politiques et des procédures qui nous permettent de surveiller les risques et d’être prêts à répondre à un événement négatif. Au niveau opérationnel, par exemple, nous avons préparé un plan de continuité des activités / reprise après sinistre — ne vous inquiétez pas, nous y reviendrons.
#3 — Choisissez judicieusement vos fournisseurs de services
Ils pourraient être le point faible ou le trou dans votre carte de données.
Bien sûr, tout le monde a besoin de prestataires de services. Il est logique d’éviter de tout construire à partir de zéro et de se concentrer sur notre activité principale. Le concept de carte de données nous rappelle à quel point il est important d’avoir une compréhension complète de la façon dont les données circulent au sein de notre organisation, vers et depuis des tiers.
Nous ne voulons pas que des données sensibles soient accessibles par l’intermédiaire d’un tiers vulnérable.
Cela signifie que nous devons nous fier à la meilleure technologie disponible lors du choix des fournisseurs de services, ce qui inclut des contrôles de sécurité et des pratiques de gestion des données de premier ordre. Il existe des normes, cadres et rapports bien connus sur les contrôles, tels que l’ISO 27001, le NIST et le SOC 2, qui nous aident à faire ces choix.
Il y a un point plus important à souligner ici, qui va au-delà du simple contrôle de qualité : pour prévenir les accès non autorisés, nous gérons activement qui est dedans et qui est dehors. Nous contrôlons soigneusement et surveillons de près qui peut accéder à la fois à nos emplacements physiques et à nos systèmes, infrastructures et données — cela vaut autant pour les fournisseurs de services que pour les clients et les employés.
- Les contrôles d’accès physiques protègent des emplacements spécifiques où se trouvent nos actifs : Ils commencent par des portes solides qui se verrouillent automatiquement, des caméras de sécurité et un comptoir pour enregistrer les invités. Mais, comme on dit, le diable est dans les détails : conserver en toute sécurité des documents confidentiels, verrouiller les écrans d’ordinateur et, en général, garder nos bureaux propres, aident aussi.
- Les contrôles d’accès logiques protègent notre infrastructure TI et nos données : Bien sûr, pour pouvoir fonctionner sans heurts, il faut trouver un équilibre entre restriction et accès. Par exemple, l’accès accordé à un entrepreneur expire automatiquement à la fin de l’entente.
D’autres exemples sont l’utilisation de mots de passe forts et l’authentification multifactorielle, ainsi que la limitation des tentatives de connexion. En règle générale, nous rendons chaque accès personnel — et s’ils doivent absolument être partagés, nous le faisons en toute sécurité.
(Non, un texto ne suffit pas.)
#4 — Les procédures et politiques sont plus amusantes quand on peut pirater quelque chose
Comme toutes les entreprises qui prennent la sécurité au sérieux lorsqu’elles traitent des données sensibles, nous avons un plan de continuité des activités / de reprise après sinistre. Elle est basée sur notre évaluation des risques, basée sur les meilleures pratiques de l’industrie et testée régulièrement. Ce plan garantit que les employés et les parties prenantes savent quelles actions entreprendre en cas d’événement perturbateur afin de maintenir Flinks en activité ou de reprendre ses opérations critiques. Il contient des instructions étape par étape pour minimiser les effets négatifs, présente les rôles de chaque équipe et fournit une estimation du temps de récupération basée sur nos simulations.
Les politiques et procédures fournissent des principes de haut niveau et des instructions concrètes pour prévenir ou atténuer les menaces. Mais s’ils ne sont pas ancrés dans les valeurs et le comportement quotidien de nos employés, ils risquent de devenir des documents de référence stagnants qui ne sont ressortis que lorsque des problèmes surviennent. Nous concevons et appliquons nos politiques et procédures en tenant compte de la culture du risque de notre entreprise — à la fois comme point de départ et comme élément à cultiver.
- Nos politiques de gestion des risques sont conçues à partir de et pour notre environnement de travail spécifique : Ils doivent refléter la réalité de nos employés. Par exemple, une politique stricte contre l’utilisation d’applications tierces dans une startup technologique n’est pas réaliste. Nous devons tenir compte des besoins et des tendances naturelles de nos employés et fournir des conseils sur la façon d’utiliser ou d’autres alternatives plus sécuritaires.
- Pas besoin de faire le Big Brother avec nos employés : Pour faire respecter nos politiques, nous favorisons une culture saine du risque grâce à la gamification. Voici un exemple : de temps à autre, nous mettons nos employés au défi de repérer les vulnérabilités dans nos différents environnements. C’est ça, on prend du temps pour se pirater.
Cette compétition ludique nous permet non seulement d’identifier les risques potentiels, mais elle sensibilise aussi et stimule la prise en charge des risques.
#5 — Embrasser le changement (gestion)
Écoute, on a compris.
Nous voulons tous lancer de nouvelles fonctionnalités dès qu’elles seront prêtes. Nous aimons ravir nos clients. Mais nous devons résister à cette tentation. Parce que sans le savoir, un changement au code peut introduire des vulnérabilités cachées.
C’est pourquoi les pratiques de gestion du changement averses au risque font partie intégrante de notre infrastructure de production : un changement n’est jamais mis en place sans une revue de code appropriée par un deuxième (et un troisième!) développeur; Nous testons tout dans un environnement de développement; Nous veillons à ce qu’aucun individu ne puisse briser notre système en suivant le principe du moindre privilège et en imposant la ségrégation des devoirs.
Nous vous laissons avec ceci : le risque fait partie intégrante des affaires et ne peut pas être traité autrement. À mesure que les menaces évoluent, nos pratiques de sécurité devraient également évoluer. L’innovation est la seule voie à suivre.
Bien sûr, parfois cela signifie devoir accepter le changement plus vite qu’on ne le souhaite — après tout, nous ne sommes que des humains. C’est pourquoi nous croyons qu’il est important de rester ouvert pour apprendre et expérimenter, en faisant de la base de notre stratégie de sécurité quatre parties de gestion rigoureuse des risques, et une partie de plaisir créatif.
