Florent Gilain (iBanFirst) : « la conformité DORA sera notre grand sujet de 2024 »

Pouvez-vous nous présenter iBanFirst ?

iBanFirst est une FinTech fondée il y a une dizaine d’années par Pierre-Antoine Dusoulier, l’ancien président de Saxo Banque. Nous avons développé une solution en propre pour des paiements (virements…) internationaux multi-devises. Nous sommes en très forte croissance (+60 %/an), avec aujourd’hui environ 350 salariés dans une dizaine de pays. Notre siège est à Bruxelles, ce qui fait que notre autorité de contrôle est belge, et notre principal bureau est à Paris, le développement étant principalement basé à Dijon. Nous venons de créer iBanFirst UK à Londres à partir d’un rachat. Nous avons aujourd’hui environ 7000 clients de tous types pour un volume annuel de transactions d’environ dix milliards d’euros.

Une de nos forces est une transparence totale sur les frais, les taux de change, etc. Nous avons aussi mis en place, il y a deux ans et demi, une exploitation d’une donnée présente dans les journaux Swift qui permet de savoir où en est une opération, ce que ne font pas les autres acteurs. Nous appelons cette fonction le Payment Tracker.

Quelle est l’architecture générale de votre SI ?

En réalité, nous avons deux SI gérés par deux équipes largement différentes. D’un côté, nous avons le « Corporate IT », c’est à dire nos outils internes. De l’autre, nous avons la plate-forme destinée aux clients et à notre activité.

La plate-forme est sur base Linux Ubuntu tandis que le corporate est sur Linux Red Hat avec du Windows pour les postes de travail. Le corporate repose sur beaucoup de SaaS : Atlassian, Salesforce, Bamboo HR, Microsoft Office 365 avec Azure… A l’inverse, la plate-forme est du développement propre en PHP, Go, Node.js, etc. Les liaisons avec les tiers repose sur un certain nombre d’API et la connexion Swift sur du transfert de fichiers par SFTP.

Quelles sont vos obligations réglementaires en cybersécurité liées à votre activité ?

Nous devons répondre à l’audit annuel Swift Customer Security Controls Framework (CSCF) qui est impératif pour notre activité. Evidemment, nous avons à respecter la régulation de la Banque Nationale de Belgique (très proche de celle de l’ACPR en France). Inversement, nous ne sommes pas concernés par PCI DSS puisque nous ne gérons pas de cartes bancaires.

La réglementation européenne DORA (Digital Operational Resilience Act) va constituer un enjeu de conformité important. Pour l’essentiel, cette réglementation est similaire à ISO 27001. Les différences  majeures concernent des exigences fortes sur le PRA avec des obligations de tests et de communication sur les incidents.

En 2025, pour assoir notre conformité DORA, nous allons sans doute nous lancer dans la certification ISO 27001 de notre plate-forme. Nous respectons déjà globalement les prescriptions mais obtenir une certification est positif en matière de communication vis-à-vis de nos clients et de nos partenaires.

Quels sont vos principaux chantiers en matière de cybersécurité ?

Depuis deux ans et demi, nous avons mené un très gros travail sur la sécurisation du SI corporate. Nous avons ainsi adopté le MFA/SSO évolué d’Okta, renforcé nos politiques de mots de passe, de gestion des patchs et mises à jour, de contrôle des versions minimales d’OS qui se connectent à nos systèmes… Nous avons également mis en œuvre via notre NAC (Network Access Control), un workflow automatique de traitement des incidents associé à une segmentation des réseaux, en particulier une isolation sur un sous-réseau spécifique d’une machine connaissant un potentiel problème. Pour accroître notre filtrage, notre suivi des flux et améliorer notre reporting, nous avons déployé  des firewalls Palo Alto Networks au lieu des WatchGuard (corporate) et de Pfsense (plate-forme). Après avoir testé les solutions de Beyond Trust (que nous avons trouvé peu opérationnelles) et CyberArk (trop complexe pour notre taille d’entreprise), nous avons choisi le bastion de Wallix. Avec le développement du télétravail, en 2021, nous avons déployé le proxy web ZIA de Zscaler.

Nous utilisons également plusieurs produits pour surveiller notre périmètre public (web, deep/dark-web) et contrôler nos vulnérabilités : Rapid7, Serenety (surveillance des vols et fuites de données, atteinte à l’image et usurpation d’identité, fraude, planification d’attaques, Découverte de périmètres) et Yuno (veille de vulnérabilités sur les technologies que nous utilisons) de XMCO. Avec iDecsi, nous contrôlons aussi les actions suspectes car inhabituelles et les mauvais paramétrages potentiels sur Office 365. Nous avons aussi remplacé VadeSecure par Proofpoint pour pouvoir personnaliser finement nos règles et simuler une fois par mois des attaques de phishing auprès de nos collaborateurs. J’en profite pour signaler que nous réalisons une formation en cybersécurité annuelle auprès de chacun de nos collaborateurs en complément des communications par e-mails, affichage sur écrans de TV ou via notre blog interne dédié à la cybersécurité.

Nous avons  également mis en place un SOC externalisé avec i-Tracing depuis mai dernier.

Quels sont vos projets en cours ?

Nous achevons en ce moment le déploiement du NAC (Network Access Control) de Forescout afin d’analyser et d’autoriser (ou non) les connexions à nos systèmes et de vérifier la conformité des terminaux à nos pré-requis (présence et exécution de nos outils de sécurité, versions…). Par exemple, si un équipement non-conforme ou suspect se connecte, il sera automatiquement mis en quarantaine dans un VLAN isolé et non-routé spécifique dédié.

Nous continuons aussi le déploiement de notre nouvelle génération de firewalls (Palo Alto Networks), et de notre Bastion Wallix sur le périmètre plate-forme.

Quels seront vos défis à partir de 2024 ?

Bien sûr, en 2024 et 2025, la préparation de la certification ISO 27001 et DORA seront nos deux gros sujets.

Nous devons aussi continuellement faire évoluer notre SOC avec les équipe d’i-Tracing afin de nous adapter à l’évolution de la menace et des techniques utilisées par les attaquants. Nous utilisons Crowdstrike comme Managed EDR, XSOAR de chez Palo Alto Networks comme SOAR et le SIEM Google Chronicle. Ce dernier est, selon moi, plus complexe à utiliser que Splunk au quotidien mais son modèle économique au nombre d’employé est plus adapté à une société en forte croissance, sans historique de SOC et qui pouvait difficilement évaluer les volumes de logs à analyser et les évènements par seconde que cela représenterait.

Citons également l’adoption formelle du DevSecOps et, enfin, notre déménagement fin 2023 qui sera associé à une migration de nos infrastructures liées au corporate IT dans des datacenters externes.