Sandra Tobler (Futurae Technologies) : “L’authentification auprès de services financiers doit pouvoir se faire sans friction”

A partir de quel constat s’est construit Futurae Technologies ?

La plupart des produits de sécurité ne correspondent pas à ce que les nouveaux outils numériques tentent d’instaurer en termes d’usage. Nombre d’entre eux impliquent des règles de mise en place complexes, proposent peu de moyens de personnalisation, et lorsque ces produits sont utilisés pour sécuriser des services financiers, il faut y ajouter la couche réglementaire à laquelle l’industrie doit se conformer. Nous nous spécialisons donc dans la fourniture de systèmes d’authentification hautement sécurisés (“bank grade security”) qui rendent le parcours utilisateur beaucoup plus lisse, qui en enlève les frictions.

Quels sont les produits que vous proposez ?

Nous développons une API RESTful (une architecture spécifique qui s’assure que chaque requête entre le client et le serveur contient la totalité des informations nécessaires à son traitement, pour éviter que ce dernier soit mis à mal en cas d’évènement en provenance du serveur, NDLR) qui, par son design, offre une vraie flexibilité en termes de mise en place de l’authentification du client. C’est un outil qui peut à la fois être utilisé pour s’authentifier sur le web, sur mobile ou via un assistant intelligent.

Les trois canaux sont à peu près autant utilisés, mais pas de la même façon : certaines entreprises se concentrent sur un seul usage, tandis que d’autres profitent des trois couches différentes. C’est par exemple le cas d’une banque de détail qui offre à la fois une interface d’e-banking, une application mobile pour ses clients, ainsi que la possibilité de demander à Alexa ou à un autre assistant quelles ont été les dernières transactions réalisées sur une carte. Les trois services sont accessibles depuis notre API, qui sécurise l’accès aux données bancaires dans tous les cas.

Nous proposons aussi des services de signature de transactions. Et nous y ajoutons des produits qui servent à remplacer les mots de passe : selon les cas d’usage, on peut construire des procédés de double authentification sans mot de passe, ou même simplement des processus d’authentification back-end. La tarification repose sur un modèle d’abonnement qui varie en fonction du nombre de fonctionnalités et d’utilisateurs actifs.

L’implémentation d’outils cohérents avec la DSP2 va nous mobiliser

Sandra Tobler

Cofondatrice et CEO de Futurae Technologies

Nous avons développé de solides processus de travail afin d’embarquer les nouveaux utilisateurs sans friction, faciliter la migration des outils de façon sécurisée et simple, etc. En cas de problème, nous avons des solutions de repli automatisées afin de ne jamais priver l’utilisateur de l’accès à ses services. Et pour nos clients, non seulement notre API RESTful permet de paramétrer beaucoup d’éléments utiles aux grandes entreprises, mais nous avons aussi développé un “web widget” pour les fintech et insurtech, qui leur permet d’intégrer nos outils avec très peu de lignes de code. Dans tous les cas, notre interface administrateur offre aux clients les moyens de paramétrer et analyser les données dont ils ont besoin en fonction de leur modèle de risque.

Combien de clients comptez-vous ?

Nous travaillons avec 21 clients qui ont des installations en production dans 18 pays différents. Du côté des grandes entreprises, nous avons par exemple le Swiss Stock Exchange (SIX), dont nous sécurisons les interfaces externes. Nous comptons aussi pas mal de scale-up, comme Scalable Capital, un robo-advisor européen. C’est le cas typique d’une entreprise portée sur des produits totalement numériques, mobiles, pensés pour le secteur très réglementé des services financiers.

Nous nous concentrons actuellement sur des clients européens, que nous cherchons à multiplier et pour lesquels nous continuons de développer des systèmes d’authentification forte. D’ailleurs, l’implémentation d’outils cohérents avec la réglementation DSP2 va nous mobiliser : beaucoup d’entreprises cherchent actuellement à modifier leurs systèmes d’authentification par SMS, assez peu sécurisés, avec des technologies plus modernes.

Qui sont vos concurrents ?

Certaines organisations de cybersécurité qui offrent des produits d’authentification forte en font partie, mais la concurrence la plus vive provient des projets menés en interne par les grandes institutions financières. C’est aussi un enjeu pour le segment de marché de la cybersécurité dans le secteur financier en général, aussi bien d’un point de vue commercial que de sûreté en général : comme les institutions financières sont plutôt avancées en termes d’infrastructures techniques, elles ont tendance à penser qu’elles peuvent construire leurs propres infrastructures de sécurité. Sauf qu’elles sous-estiment très souvent la complexité de ces tâches.

Plus grande est l’organisation et plus étoffée est son équipe interne d’ingénieurs, plus elle est susceptible de décider de développer ses systèmes de sécurité en interne. Sauf que ces décisions sont bien plus souvent prises pour des raison politiques que sur de vrais raisonnements techniques. Résultat : il arrive fréquemment qu’une petite équipe soit mandatée pour construire l’infrastructure, sauf que personne ne connaît les bonnes pratiques de cybersécurité, constamment en évolution, et personne ne sait comment les actualiser correctement. Cela  rend le système compliqué à remplacer et crée fréquemment des vulnérabilités.