Univers

« Nous devons maintenir une expérience client aussi simple que possible tout en garantissant le maximum de sécurité. »

Le 10 février 2021 par Emma Gaubert
Cybersécurité chez Qonto : l'interview de Maxime Laot

Il y a quelques années seulement, les mots « cyber-risque » et « cybersécurité » semblaient encore relever de la science-fiction dans l’imaginaire collectif. En tout cas, il était commun de penser qu’ils ne concernaient qu’un nombre très restreint de structures et d’individus sur la planète. Or aujourd’hui, tout le monde est touché, de près ou de loin, par les enjeux de sécurité en ligne. En témoigne la récente cyberattaque qui a visé la mairie d’Angers ; et celle-ci intervient après de nombreux piratages dans d’autres collectivités.

Dernièrement, et parce qu’il y a une prise de conscience à grande échelle, nous avons constaté une évolution des réglementations en matière de sécurité informatique (PSD2, GDPR). Ces nombreux développements obligent les entreprises à investir sérieusement dans la cybersécurité et la protection des données. Logiquement, les pratiques internes se transforment et des départements entiers sont à présent consacrés à la gestion du risque et à la veille réglementaire en la matière.

Chez Qonto, parce que nous savons à quel point la sécurité de nos clients, de leurs comptes et de nos équipes est primordiale, nous investissons beaucoup de temps et d’énergie dans le Risk Management et la Compliance (la gestion des risques et la conformité). Notre équipe dédiée compte pas moins de 15 personnes (pour un peu plus de 300 collaborateurs en tout). Elle est dirigée par Maxime Laot, notre Vice Président Risk and Compliance, qui a pris le temps de répondre à quelques-unes de nos questions.

1. Peux-tu nous parler de ton rôle chez Qonto : qu’implique-t-il ?

Je suis VP of Risk and Compliance. Concrètement, je suis chargé d’identifier, d’analyser, de mesurer et de surveiller tous les risques (financiers, opérationnels, réputationnels, réglementaires, d’interruption de notre activité,...) auxquels Qonto est confronté au quotidien. En d’autres termes, le but de mon équipe (et le mien) est de permettre à l’entreprise et aux Qontoers de travailler en toute sécurité, dans le respect des règles et de la législation en vigueur. Et en définitive, notre objectif est de protéger nos clients, les fonds qu’ils nous ont confiés ainsi que leurs données personnelles. 

2. Que signifie la sécurité sur Internet et pourquoi est-ce un enjeu vital pour une néobanque comme Qonto ?

Internet est un espace où l’information est souvent stockée, accessible et partagée de manière peu (voire pas) sécurisée. Aujourd’hui, la majorité des entreprises hébergent leurs systèmes et applications sur le « cloud » (des serveurs à distance) ou plus localement sur leurs propres serveurs. La sécurité du réseau est donc un enjeu prépondérant. Garantir cette sécurité implique de déployer des règles et des mesures de protection contre les menaces externes (malwares, attaques DDoS…).     

En tant que néobanque, Qonto fonctionne uniquement sur le cloud. Nous déployons beaucoup d’efforts pour maintenir une sécurité optimale de nos systèmes. C’est d’autant plus important que nous ne protégeons pas seulement nos propres applications, mais également l’argent de nos clients. 

3. Comment garantissez-vous la sécurité des clients Qonto ?

Notre objectif est de maintenir une expérience client aussi simple et agréable que possible tout en garantissant le maximum de sécurité. La réussite dépend évidemment de nous en premier lieu, mais également de nos clients eux-mêmes : nous devons les aider à prendre grand soin de leurs informations confidentielles (numéros de comptes et moyens de paiement notamment, mots de passe, codes reçus par SMS,…). 

Il y a deux aspects essentiels pour nous. Le premier est de garder la « maison propre » : nous assurer qu’en interne nous appliquons toutes les mesures de sécurité les plus innovantes. Le second est externe : nous devons sécuriser les paiements de nos clients. Par exemple, pour toutes les opérations incluant un partage d’informations sensibles, (les paiements, les transactions, les changements d’identifiants, ou encore l’ajout d’un nouveau bénéficiaire), nous avons récemment introduit les mots de passe à usage unique (one time password, OTP). C’est un moyen de plus de nous assurer que les clients sont bien à l’origine des actions qu’ils sont en train de mener sur l’application Qonto.  

Actuellement, la confirmation d’une transaction se fait par SMS. Nous allons prochainement consolider encore la sécurité avec le déploiement d’une méthode d’authentification renforcée. Nos clients seront invités à synchroniser leurs comptes avec leurs appareils. Et bien sûr, nous gardons un œil constant sur les transactions, afin d’anticiper toute tentative de fraude ou activité suspecte en temps réel.

4. Avez-vous constaté une évolution dans les régulations de sécurité ces dernières années ?

Deux évolutions importantes sont intervenues ces dernières années. 

  • D’un côté, la Directive dite PSD2 (Revised Payment Service Directive) a été mise en place dans l’Union Européenne en 2019 et traduite dans le droit de chaque État-membre. L’objectif affiché de la PSD2 était la sécurité des paiements en ligne. Celle-ci est au cœur de la mission de Qonto. 
    Cela nous oblige à introduire une authentification client plus forte (appareillage d’un compte avec le smartphone/ordinateur de son utilisateur) afin de garantir la protection des données de paiement du client. 
  • D’un autre côté, nous avons le Règlement Général de Protection des Données (RGPD, GDPR en anglais), entré en vigueur en 2018. Il impose des mesures plus strictes en matière de protection des données sensibles des clients, leur stockage et utilisation par les entreprises qui les collectent. Combiné à PSD2, ce règlement européen contribue à bâtir un cadre solide pour la FinTech.

5. Dans ce contexte, comment se protéger lors de paiements en ligne ?

Pour faire simple, partons sur trois conseils accessibles au plus grand nombre.

  • Optez pour un mot de passe fort et unique pour chacun de vos comptes en ligne (comptes bancaires personnels ou professionnels, comptes de réseaux sociaux privés,…). Les meilleurs mots de passe sont des phrases, plutôt longues ; les mots de passe Qonto doivent comporter au minimum neuf caractères.
  • Installez un gestionnaire de mots de passe qui permet d’accéder en toute sécurité à vos comptes sensibles. Je vous recommande également de vérifier les adresses URL afin d’éviter les tentatives d’hameçonnage. En jargon informatique, le hameçonnage se réfère à une méthode d’intrusion. La victime est invitée à se connecter sur une page web factice, dont la seule fonction est d’obtenir ses codes. 
  • Ne révélez jamais à personne le code de sécurité reçu par SMS pour valider une transaction. Si vous recevez un code par SMS pour une transaction dont vous n’êtes pas à l’origine, changez votre mot de passe et contactez notre service client. Ils sauront vous guider et sécuriser votre compte. 

D'autres articles pourraient vous intéresser