Blog HiPay · Découvrez l'actualité du monde du paiement

Good at Change - Interview de Julien Soudee - Sécurité des SI

Rédigé par HiPay Team | 26 janv. 2023 12:54:00

Fort d’une expérience partagée entre les secteurs de la monétique et de la sécurité, Julien Soudée mobilise désormais toute son expertise chez HiPay. Responsable de la Sécurité des SI et Head of IT Compliance, il doit assurer la sécurité de toutes les ressources connectées de l’entreprise. Évoluant au sein d’un écosystème complexe, il assure une mission aussi stratégique que vitale pour toute société FinTech et nous parle aujourd’hui des défis qu’il rencontre au quotidien.

 

Comment es-tu arrivé chez HiPay et quel poste occupes-tu ?

Mon parcours se divise globalement en deux phases. J’ai passé la première moitié de ma vie professionnelle dans les moyens de paiement, où j’ai fait beaucoup de conseil en monétique pour des établissements bancaires pendant à peu près 7 ans. Puis, assez naturellement, j’ai effectué une transition vers des aspects plus techniques et sur la sécurité ; ainsi, depuis 7 ans, je travaille exclusivement dans la sécurité.

 

Chez HiPay, c’est un petit peu la réunion des deux mondes ; en plus de mes compétences en sécurité, je dois aussi mobiliser mes connaissances en monétique. Je pense que cela me permet d’être efficace et pertinent dans les approches que je peux apporter à mes collègues.

 

 

Comment cette évolution des paiements vers la sécurité s’est-elle déroulée ?

Cela s’est fait très simplement, en fait ! Les établissements bancaires ont toujours eu une forte culture de la sécurité ; et cette sécurité a été renforcée, il y a quelques années, par la mise en place d’un standard dicté par des établissements comme Visa ou Mastercard : PCI DSS. C’est d’ailleurs une contrainte de conformité qui s’applique aussi aux opérations de HiPay.

 

Je travaillais donc dans les moyens de paiement et je cherchais un poste plus technique, ce qui m’a poussé à travailler sur ce standard PCI DSS. Cette expérience m’a ensuite permis de faire de la sécurité au sens plus large, et de toucher à des sujets comme le RGPD, etc.

 

Peux-tu nous en dire plus sur ton poste ? 

 

Le titre complet de mon poste est (attention, c’est long) Responsable de la Sécurité des Systèmes d’Information & Head of IT Compliance. Mon rôle est d’améliorer la sécurité au sens fort car en tant qu’établissement financier, nous avons différentes réglementations à respecter comme PCI DSS, par exemple, que je citais avant.

 

Nous sommes également soumis à la réglementation de l’ACPR, l’organe national de contrôle des établissements comme le nôtre ; et, comme nous somme côtés en bourse, nous sommes également audités chaque année par des commissaires aux comptes qui ne regardent pas seulement les résultats financiers, mais aussi l’IT et la sécurité de l’IT. Sans même évoquer le RGPD… 

 

Je dois donc m’assurer que le système d’information que HiPay opère et développe respecte les exigences de conformité imposées sur la partie IT – l’aspect sécurité et l’aspect conformité IT marchent ensemble, il est donc logique qu’ils soient placés sous la houlette d’une même personne.

 

Quelles sont les équipes avec lesquelles tu travailles ?

 

C’est un métier extrêmement polyvalent. Je suis amené à travailler avec tous les collaborateurs de façon plus ou moins fréquente. Chez HiPay, il y a des échanges très naturels entre les personnes qui opèrent les systèmes d’information. Je travaille également beaucoup avec les équipes de développement et produit, parce que nous sommes éditeurs de notre solution technologique. De fait, nous devons proposer une application sécurisée à tous les niveaux.

 

On a besoin que tout le monde soit acteur de la sécurité, c’est pourquoi nous faisons beaucoup de sensibilisation et de communication auprès de 250 collaborateurs du groupe, aussi bien en France que dans nos filiales à l’étranger. Nous essayons de les sensibiliser sur les bonnes pratiques, ou les informer sur des incidents récents pour développer les bons réflexes.

Je peux aussi travailler avec les équipes juridiques sur des clauses de sécurité, par exemple, afin qu’une prestation soit faite de manière sécurisée – même à l’externe. C’est donc assez vaste ; je peux travailler avec à peu près tout le monde.

 

Quels sont les défis associés à cette position ?

 

Le défi du poste en lui-même, et ce qui le rend excitant, c’est qu’il faut posséder une bonne maîtrise technique ; mais, en même temps, savoir prendre de la hauteur pour juger le bon niveau de sécurité à mettre en place. Il faut non seulement être au bon niveau, mais aussi savoir le traduire auprès de la direction. 

 

Au sens large, chez HiPay, il y a un premier défi opérationnel en matière d’attaques informatiques comme les rançongiciels, qui sont aujourd’hui monnaie courante. Il y a aussi des risques de détournements de fonds, comme l’arnaque au président, qui sont des problèmes rencontrés par toutes les entreprises ; HiPay peut-être un peu plus que la moyenne, vu notre secteur d’activité.

 

Il y a également une partie « conformité » très contraignante chez HiPay, le secteur des moyens de paiement étant soumis à des réglementations très strictes et des contrôles fréquents. Le standard PCI DSS est une certification qu’on ne peut pas se permettre de perdre, car elle est nécessaire pour pouvoir assurer les opérations par carte bancaire ; soit 60 % de notre CA. 

 

Quelles sont les compétences et les qualités à avoir pour être RSSI ?

 

Les profils qui font ce métier viennent en général d’écoles d’ingénieur en IT, ou des milieux de la qualité et du juridique. Il faut avoir un bagage technique complet, et des compétences solides en informatique. C’est nécessaire car il est difficile de discuter avec des admins si on ne sait pas parler le même langage qu’eux. Il faut être pris au sérieux.

 

À côté, il faut être ouvert d’esprit pour pouvoir travailler avec tous les collaborateurs – que ce soit avec les développeurs, les admins’, les chefs de produit ou la direction générale. Il faut savoir prendre de la hauteur pour simplifier et rendre accessibles certaines informations. Il faut aussi être curieux, et ne pas hésiter à aller chercher plus loin, poser des questions.

 

Comment a évolué la sécurité au sein de HiPay ?

 

Historiquement, le poste de RSSI était porté par une personne de l’équipe Admin Système. Je dirais qu’il y avait une vision assez technique de la sécurité. Je suis arrivé dans un contexte où la direction a souhaité prendre un profil qui pouvait faire des ponts entre les métiers, là où les admins système étaient les seuls à avoir des échanges avec la sécurité. 

 

Désormais, il y a beaucoup plus d’échanges avec les équipes et de nouveaux ponts entre Nantes et Paris. Je travaille régulièrement avec les équipes métier – l’équipe Risque, par exemple – dans une vision plus complète de la sécurité. Par exemple, il y a beaucoup plus de sensibilisation aujourd’hui.

 

Sur le plan technique, nous avons aussi dû repenser certaines mesures de sécurité historiques après le passage de HiPay sur le Cloud. Nous sommes passés d’une sécurité périmétrique à une sécurité chirurgicale – une approche Zero Trust – où les systèmes doivent s’assurer que chaque personne demandant un accès soit légitime pour accéder aux données.