Belvo obtient la certification ISO 27001 et se développe rapidement grâce aux services de sécurité AWS

2022

Opérant dans le secteur hautement réglementé des services financiers, la start-up de technologie financière (fintech) Belvo avait besoin d'une certification ISO 27001 pour prouver sa conformité et ouvrir ses portes à de nouveaux clients plus importants. En utilisant Amazon Web Services (AWS) pour automatiser les processus de sécurité et de conformité, Belvo a pu certifier l'ensemble de l'entreprise en 6 mois. L'obtention de cette certification a permis à l'entreprise de multiplier par cinq sa clientèle et d'augmenter son volume d'appels d'API d'un facteur 10.

kr_quotemark

« La capacité de mise à l'échelle des services AWS signifie que nous ne nous sommes jamais retrouvés dans une situation où nous ne pouvions pas nous développer à volonté. »

Giuseppe Ciotta
Vice-président de l'ingénierie, Belvo

Des options fintech innovantes pour les consommateurs latino-américains

Les entreprises de services financiers se sont toujours appuyées sur des informations obtenues à l'aide de processus manuels susceptibles de rencontrer des erreurs humaines et des fraudes. Les fondateurs de Belvo y ont vu l'opportunité de remplacer les processus manuels et d'améliorer la précision. Fondée en 2019 et disposant de bureaux au Mexique, au Brésil et en Espagne, Belvo propose une plateforme d'API de financement ouvert pour l'Amérique latine. Elle fournit des services d'infrastructure et de traitement des données aux entreprises de la fintech et aux établissements financiers, y compris l'accès aux données financières des banques, des autorités fiscales et des entreprises de l'économie du partage, ainsi que des solutions d'enrichissement des données.
 
L'entreprise a débuté sa vie avec Y Combinator, un accélérateur de start-up et un programme de financement d'amorçage. L'un des avantages de ce programme a été l'accès à AWS Activate, qui offre aux start-ups de nombreux bénéfices, notamment des crédits AWS, des crédits de programme AWS Support et des conseils sur l'architecture. « Belvo a pu se déployer dès le début et atteindre une taille importante grâce à AWS », explique Giuseppe Ciotta, vice-président de l'ingénierie chez Belvo. Au fur et à mesure de sa croissance, l'entreprise s'est tournée vers l'automatisation à l'aide de services tels qu' AWS Control Tower, qui constitue le moyen le plus simple de configurer et de gérer un environnement AWS sécurisé et multi-comptes. Dans le même temps, Belvo a commencé à utiliser AWS Trusted Advisor, qui évalue les comptes clients et identifie les moyens d'optimiser l'infrastructure AWS des clients, d'améliorer la sécurité et les performances, de réduire les coûts et de surveiller les quotas de service. Grâce à ces deux solutions, l'entreprise est en mesure de suivre les bonnes pratiques d'AWS en matière d'architecture, de sécurité, de performances, d'optimisation des coûts et de gouvernance du cloud. 
 
Début 2021, Belvo a commencé à se concentrer sur les grands clients et les entités financières réglementées, qui exigent normalement le strict respect des bonnes pratiques en matière de sécurité des informations et des programmes de conformité. « Lorsque nous avons commencé à discuter avec des clients plus importants, il est devenu évident que nous devions présenter des informations d'identification certifiées par un tiers de confiance », détaille Ciotta. « Nous sommes bien plus attractifs en tant que fournisseur si nous sommes en mesure de respecter ces normes de sécurité. »

Ajouter l'automatisation à la sécurité et à la conformité

La certification ISO/CEI 27001:2013 est reconnue au niveau international comme la référence en matière de bonnes pratiques de gestion de la sécurité de l'information et de contrôles de sécurité complets. Grâce aux services de sécurité AWS, Belvo a entamé le processus de certification en mars 2021 et l'a conclu en septembre 2021. Cette certification a élargi le portefeuille de ventes de Belvo ; elle lui a donné accès à de plus grandes organisations, à des institutions financières réglementées et à de nouveaux marchés ; et elle a rendu la sélection des fournisseurs plus efficace pour ses clients, permettant ainsi à toutes les personnes impliquées de gagner du temps et de l'argent. L'entreprise utilise des services AWS certifiés, ce qui lui permet de montrer à ses clients potentiels que son fournisseur de solutions facilite la mise en conformité. De plus, elle peut facilement se développer sur de nouveaux marchés grâce à AWS.

Il est également important de maintenir la conformité à mesure que l'entreprise se développe. « Vous voulez être en conformité tous les jours, et pas seulement une fois par an lorsqu'un auditeur examine un instantané de l'entreprise », souligne Ciotta. « Nous avons intégré l'automatisation afin que le système effectue tous les contrôles de sécurité nécessaires pour se conformer à la norme ISO 27001 au quotidien. »

AWS propose une grande variété d'outils et de ressources liés à la sécurité, et Belvo utilise bon nombre d'entre eux pour maintenir sa posture de conformité et de sécurité. Pour gérer ces outils, Belvo utilise AWS Config, qui permet aux entreprises d'évaluer et d'auditer les configurations de leurs ressources AWS et d'évaluer automatiquement les configurations enregistrées par rapport aux configurations souhaitées. L'entreprise l'associe à Amazon Inspector, un service de gestion automatique des vulnérabilités qui analyse en permanence les charges de travail AWS pour détecter les vulnérabilités logicielles et les expositions réseau involontaires, afin de mieux comprendre sa posture de sécurité.

Dans le cadre de sa suite de services de sécurité, Belvo s'appuie également sur Amazon GuardDuty, un service de détection des menaces qui surveille en permanence les comptes et les charges de travail AWS des clients pour détecter toute activité malveillante. Pour contrôler l'accès aux applications, il utilise AWS Key Management Service (AWS KMS), qui permet aux clients de facilement créer et gérer des clés cryptographiques et de contrôler leur utilisation. De plus, pour garantir la sécurité des clés et des informations d'identification, Belvo utilise AWS Secrets Manager, qui permet de protéger les secrets nécessaires pour accéder aux applications, aux services et aux ressources informatiques.

« Nous avons commencé à utiliser AWS Config, AWS KMS, Amazon Inspector et tous ces services, qui nous ont essentiellement permis de surveiller en permanence notre position en matière de conformité et de sécurité », explique Ciotta. « C'est de cette manière que nous avons relevé notre principal défi, et nous y sommes parvenus en moins de six mois ; nous avons certifié l'ensemble de l'entreprise. »

L'accent mis sur l'automatisation permet non seulement à Belvo de maintenir la sécurité, mais aussi de libérer du temps pour que les ingénieurs de Belvo puissent se concentrer sur des tâches à plus forte valeur ajoutée. C'est également la raison pour laquelle l'entreprise donne la priorité aux services gérés. Par exemple, Belvo utilise Amazon Relational Database Service (Amazon RDS) qui permet d'installer, de gérer et de mettre à l'échelle facilement une base de données relationnelle dans le cloud. « Grâce aux services gérés, nous pouvons nous concentrer sur notre valeur différentielle, à savoir l'innovation financière, les processus métier et la logique des applications, et non sur la gestion d'une base de données », indique Ciotta.

Atteindre une croissance exponentielle

Depuis sa création en 2019, Belvo a multiplié sa base de clients par cinq et, rien qu'au cours des 6 derniers mois, l'entreprise a enregistré une augmentation du volume d'appels d'API d'un facteur 10. L'entreprise est également passée de 20 à 110 employés, et elle prévoit de maintenir cette croissance.

À l'avenir, l'entreprise prévoit d'obtenir des certifications supplémentaires et de développer encore son service. L'équipe de Belvo étudie le Centre d'architecture AWS, qui fournit des diagrammes d'architecture de référence, des solutions d'architecture approuvées, etc. « La capacité de mise à l'échelle des services AWS nous permet de ne jamais nous retrouver dans une situation où nous ne pouvons pas nous développer à volonté. L'élasticité est un facteur majeur pour une entreprise comme la nôtre qui connaît une croissance très rapide. »

À propos de Belvo

Belvo est l'une des principales plateformes d'API de financement ouvert en Amérique latine, qui aide les fintechs et les établissements financiers innovants à accéder aux données financières de leurs utilisateurs et à les interpréter afin de créer des produits plus modernes, accessibles et inclusifs.

Avantages d'AWS

  • Obtention de la certification ISO 27001 en seulement 6 mois
  • Multiplication de sa base de clients par cinq
  • Volume d'appels d'API été multiplié par un facteur de 10
  • Nombre d'employés passé de 20 à 110
  • Libération du personnel pour qu'il se concentre sur l'innovation
  • Sécurité renforcée

 

Services AWS utilisés

AWS Config

AWS Config est un service qui vous permet de déterminer, de contrôler et d'évaluer les configurations de vos ressources AWS. Config surveille et enregistre en permanence les configurations de vos ressources AWS et vous permet d'automatiser l'évaluation des configurations enregistrées par rapport aux configurations souhaitées.

En savoir plus »

AWS Trusted Advisor

AWS Trusted Advisor propose des recommandations qui vous permettent de suivre les bonnes pratiques AWS. Trusted Advisor évalue votre compte à l'aide de vérifications. Ces contrôles vous aident à identifier des moyens d'optimiser votre infrastructure AWS, d'améliorer la sécurité et les performances, de réduire les coûts totaux et de surveiller les limites de service (Service Quotas).

En savoir plus »

AWS Key Management Service (AWS KMS)

AWS Key Management Service (KMS) vous facilite la création et la gestion des clés de chiffrement ainsi que le contrôle de leur utilisation pour une vaste gamme de services AWS, de même que dans vos applications. AWS KMS est un service sécurisé et résilient qui utilise les modules de sécurité matériels validés selon la norme FIPS 140-2, ou en attente de validation, pour protéger vos clés.

En savoir plus »

Amazon Inspector

Amazon Inspector est un service de gestion automatisée des vulnérabilités qui recherche en permanence les vulnérabilités logicielles et les expositions réseau involontaires dans les charges de travail AWS.

En savoir plus »

Démarrer

Les organisations de toutes tailles et de tous secteurs transforment leur activité et exécutent leurs missions au quotidien à l'aide d'AWS. Contactez nos experts et démarrez votre transition vers AWS dès aujourd'hui.

Contacter le service commercial