DIGITAL SOLUTIONS

RDLS 2019 : Comment LUXHUB a intégré la sécurité au cœur de son développement

Le 6 juin dernier, les professionnels de la cybersécurité étaient à nouveau rassemblés à Mondorf-les-Bains, à l’invitation d’Excellium. Chaque année, ces Rencontres de la Sécurité Informatique constituent une belle opportunité de se tenir informé des dernières tendances, de découvrir de nouvelles solutions et les meilleures pratiques pour faire face à la menace et appréhender les risques.

June 19, 2019

C’est devenu un rendez-vous traditionnel. Début juin, à l’invitation d’Excellium, les professionnels de la sécurité informatique convergent vers la cité thermale de Mondorf, non pas pour décompresser, mais pour se tenir informés des évolutions, menaces et opportunités qui agitent le monde cyber. Chaque année, Excellium et ses nombreux partenaires leur concoctent un programme riche en contenu, n’éludant aucun sujet. Pour cette nouvelle édition, ils étaient 350 à avoir fait le déplacement pour assister à une ou plusieurs des nombreuses sessions proposées. Les Rencontres de la Sécurité Informatique abordent tous les sujets, les plus généraux et les plus techniques. La journée débutait donc par une session autour du thème « comment initier et gouverner un programme Cyber Sécurité » pour se clôturer sur une session sur la cyberassurance, outil ultime pour faire face aux risques que l’on ne peut pas éliminer. Entre les deux approches, de nombreux workshops ont pris place, en lien avec les enjeux de conformité, l’évolution de la menace, les solutions de protection, la gestion des API et des applications dans des environnements agiles, la sécurité dans le cloud ou encore au sein des environnements IoT. De quoi satisfaire les plus grands appétits.

LUXHUB : la plateforme qui interconnecte les institutions financières

Parmi les moments forts de l’après-midi, LUXHUB, la plateforme open-banking créée par plusieurs grands acteurs bancaires luxembourgeois, était invitée à témoigner de la manière avec laquelle elle a appréhendé les enjeux de sécurité au cours de son développement. « Notre plateforme a vu le jour dans le contexte de la Réglementation PSD2, explique Yannick Antoine, CISO de LUXHUB. Celle-ci oblige notamment les banques à ouvrir leur système d’information envers des acteurs tiers, afin de leur permettre d’accéder aux informations de compte des clients qui les y ont autorisés. Ces acteurs tiers que sont les Account Information Service Provider et les Payment Initiation Service Provider doivent pouvoir accéder à ces données grâce à des API, suivant des standards émis. » LUXHUB s’est positionnée en solution unique, agrémentée d’un ensemble de services. Le but était de permettre à toutes les banques de répondre aux nouvelles exigences émises, en garantissant notamment l’authentification des acteurs en présence et la sécurité des communications. « Aujourd’hui, pas moins de 33 banques européennes ont recours à la plateforme. Elles représentent plus que 1,2 million de comptes de paiement. LUXHUB se positionne comme hub central permettant d’interconnecter tous les acteurs du secteur bancaire et financier  et les   fintechs », poursuit Yannick Antoine.

 

Gérer les risques en suivant une approche agile

Une telle plateforme, qui a pour objectif d’interconnecter ensemble de très nombreux acteurs, implique une gestion poussée des risques. Dans le cas présent, ils sont de plusieurs natures. « Il y a évidemment un risque de concentration, de très nombreuses données devant transiter par une interface unique, un risque de sécurité informatique, lié aux technologies mises en œuvre, et un risque de réglementation, avec l’obligation de répondre aux exigences émises par le régulateur », précise Yannick Antoine. Bref, cela n’a rien d’une mince affaire.

6 mois pour développer une plateforme sécurisée

Au-delà du respect de l’ensemble des exigences et standards émis dans le cadre de PSD2, LUXHUB devait composer avec une autre contrainte : le respect des délais de développement extrêmement serrés. Yannick Antoine a rejoint LUXHUB en juillet 2018. « Le premier sprint a débuté en septembre. Le 21 février, la plateforme devait être prête, afin d’être soumise à des tests de pénétration. Pour relever ce défi, nous avons donc eu besoin de recourir à une méthodologie qui permettait d’inclure la sécurité au cœur des sprints de développement », explique le CISO.

Appréhender les risques au départ des cas d’abus

À cette fin, LUXHUB a choisi de se faire accompagner par Excellium. « L’enjeu était de mettre en œuvre une approche agile de la sécurité, d’intégrer ces enjeux au cœur des divers cycles de développement de la plateforme, explique Dominique Righetto, application security consultant au sein d’Excellium Services. La méthodologie que nous avons établie s’appuie sur les cas d’abus pouvant découler des développements envisagés. L’idée est de pouvoir définir la liste la plus exhaustive des cas d’abus en lien avec les composants développés, de pouvoir les décrire pour mieux envisager les contremesures permettant d’y remédier. » Dans cette optique, Excellium s’est positionné en support aux équipes de LUXHUB, avec la volonté de les rendre autonomes au terme de l’exercice, de leur permettre de maîtriser la méthodologie. « Notre rôle a été de guider LUXHUB, pour lui permettre de grandir en gérant en toute indépendance les enjeux de sécurité au-delà de la mise en production », poursuit l’expert en cybersécurité.

Mieux envisager l’avenir

Pour le coup, la démarche s’est avérée particulièrement efficiente. LUXHUB est parvenu à livrer une plateforme sécurisée dans le temps. Et celle-ci a particulièrement bien résisté aux tests de pénétration menés par un organisme indépendant. « Aujourd’hui, cette méthodologie, qui intègre la sécurité au cœur des développements, nous permet de mieux envisager l’avenir, afin de faire de LUXHUB une marketplace facilitant la mise en relation entre les institutions financieres et les solutions fintechs qui émergent sur le marché, en profitant d’un time-to-market réduit, explique Yannick Antoine. L’approche agile nous permet, suivant une démarche très pragmatique, d’inscrire l’ensemble de nos développements dans un mode Security and Privacy by Design. »

Watch video

In the same category