La cybersécurité chez Qonto, rencontre avec Maxime Laot (VP Risk and Compliance)

4 min

Par Emma Gaubert, June 23,2022

Petites et grandes entreprises, particuliers, associations, organismes publics… la cybersécurité touche aujourd’hui tout le monde. En témoigne la récente cyberattaque qui a visé la mairie d’Angers, qui intervient après une série de piratages au sein d’autres collectivités.

Le cadre légal a évolué et de nouvelles réglementations, comme le RGPD (Règlement Général sur la Protection des Données) et la DSP2 (Directive sur les Services de Paiement) ont été mises en place pour lutter contre ces nouveaux risques.

Ces nouvelles normes obligent les entreprises à investir sérieusement dans la cybersécurité et la protection des données. Les pratiques internes se transforment et des départements entiers sont à présent consacrés à la gestion du risque et à la veille réglementaire.

Chez Qonto, la sécurité des données de nos clients est notre priorité. C’est pour cette raison que nous investissons beaucoup de temps et d’énergie dans le Risk Management et la Compliance (la gestion des risques et la conformité).

Notre équipe dédiée compte pas moins de 15 personnes (pour un peu plus de 300 collaborateurs en tout). Elle est dirigée par Maxime Laot, notre Vice-Président Risk and Compliance, qui a pris le temps de répondre à quelques-unes de nos questions.

Cette interview a été réalisée en février 2021. 

Peux-tu nous parler de ton rôle chez Qonto ?

Je suis VP of Risk and Compliance. Concrètement, je suis chargé d’identifier, d’analyser, de mesurer et de surveiller tous les risques (financiers, opérationnels, réputationnels, réglementaires, d’interruption de notre activité...) auxquels Qonto est confronté au quotidien.

 
En d’autres termes, le but de mon équipe (et le mien) est de permettre à l’entreprise et aux Qontoers de travailler en toute sécurité, dans le respect des règles et de la législation en vigueur. En définitive, notre objectif est de protéger nos clients, les fonds qu’ils nous ont confiés ainsi que leurs données personnelles.

Qu’est-ce que la sécurité sur Internet ? Et pourquoi est-ce un enjeu crucial pour une solution de gestion financière comme Qonto ?

Internet est un espace où l’information est souvent stockée, accessible et partagée de manière peu (voire pas) sécurisée. Aujourd’hui, la majorité des entreprises hébergent leurs systèmes et applications sur le « Cloud » (des serveurs à distance) ou plus localement sur leurs propres serveurs. La sécurité du réseau est donc un enjeu prépondérant. Garantir cette sécurité implique de déployer des règles et des mesures de protection contre les menaces externes, comme les malwares (les logiciels malveillants) et les attaques DDoS (attaques qui visent à perturber le fonctionnement d’un service.)

En tant que solution de gestion financière pour les TPE-PME, Qonto fonctionne uniquement sur le Cloud. Nous déployons beaucoup d’efforts pour maintenir une sécurité optimale de nos systèmes. C’est d’autant plus important que nous ne protégeons pas seulement nos propres applications, mais également l’argent de nos clients.

Comment garantissez-vous la sécurité des clients Qonto ?

Notre objectif est de maintenir une expérience client aussi simple et agréable que possible tout en garantissant le maximum de sécurité. La réussite dépend évidemment de nous en premier lieu, mais également de nos clients eux-mêmes : nous devons les aider à prendre grand soin de leurs informations confidentielles (numéros de compte et moyens de paiement notamment, mots de passe, codes reçus par SMS,…).

Il y a deux aspects essentiels pour nous. Le premier est de garder la « maison propre » : nous assurer qu’en interne nous appliquons toutes les mesures de sécurité nécessaires. Le second est externe : nous devons sécuriser les paiements de nos clients. Par exemple, pour toutes les opérations incluant un partage d’informations sensibles (les paiements, les transactions, les changements d’identifiants, ou encore l’ajout d’un nouveau bénéficiaire), nous avons récemment introduit l’utilisation de mots de passe à usage unique (one time password, OTP). C’est un moyen très efficace pour nous assurer que les clients sont bien à l’origine des actions qu’ils sont en train de mener sur l’application Qonto.

Actuellement, la confirmation d’une transaction se fait par SMS. Nous allons prochainement consolider encore la sécurité avec le déploiement d’une méthode d’authentification renforcée. Nos clients seront invités à synchroniser leurs comptes avec leurs appareils mobiles. Et bien sûr, nous gardons un œil constant sur les transactions, afin d’anticiper toute tentative de fraude ou activité suspecte en temps réel.

Avez-vous constaté une évolution dans la réglementation liée à la cybersécurité ces dernières années ?

Deux évolutions importantes sont intervenues ces dernières années.

  • D’un côté, la Directive dite PSD2 (Revised Payment Service Directive) a été mise en place dans l’Union européenne en 2019 puis traduite dans le droit de chaque État membre. L’objectif affiché de la PSD2 était la sécurité des paiements en ligne. Celle-ci est au cœur de la mission de Qonto. Cela nous oblige à introduire une authentification client plus forte (appareillage d’un compte avec le smartphone ou l’ordinateur de son utilisateur) afin de garantir la protection des données de paiement du client.

  • D’un autre côté, nous avons le Règlement Général sur la Protection des Données (RGPD, GDPR en anglais), entré en vigueur en 2018. Il impose des mesures plus strictes en matière de protection des données personnelles des clients, leur stockage et leur utilisation par les entreprises qui les collectent. Combiné à PSD2, ce règlement européen contribue à bâtir un cadre solide pour la FinTech.

Comment se protéger lors de paiements en ligne ?

Pour faire simple, partons sur trois conseils accessibles au plus grand nombre.

  • Optez pour un mot de passe fort et unique pour chacun de vos comptes en ligne (comptes bancaires personnels ou professionnels, comptes de réseaux sociaux privés…). Les meilleurs mots de passe sont des phrases plutôt longues. Les mots de passe Qonto doivent comporter au minimum neuf caractères.

  • Installez un gestionnaire de mots de passe qui permet d’accéder en toute sécurité à vos comptes sensibles. Je vous recommande également de vérifier les adresses URL afin d’éviter les tentatives d’hameçonnage. En jargon informatique, l’hameçonnage se réfère à une méthode d’intrusion. La victime est invitée à se connecter sur une page web factice, dont la seule fonction est d’obtenir ses codes.

  • Ne révélez jamais à personne le code de sécurité reçu par SMS pour valider une transaction. Si vous recevez un code par SMS pour une transaction dont vous n’êtes pas à l’origine, changez votre mot de passe et contactez notre service client. Ils sauront vous guider et sécuriser votre compte.

AUTEUR OU AUTEURE
Emma Gaubert
Prêt ? Partez.
Que ce soit pour vous aider à faire le point sur vos besoins ou vous présenter les avantages et fonctionnalités de Qonto, nous sommes là.
Ouvrir un compte Contacter l'équipe commerciale