Intervenants :
Renaud Gerson – CTO (Chef Technical Officer) chez Paygreen
Benoît Tunick – Devops Tech Lead chez Paygreen
Paygreen – Quelques chiffres clés ?
- Sur le marché depuis 2016
- 28 collaborateurs
- 1 600 marchands
- 320M de flux annuel
Pouvez-vous nous présenter Paygreen ?
Renaud : Paygreen offre une solution de paiement à impact positif, ce qui en fait le premier Prestataire de Services de Paiement (PSP) à impact positif en Europe. Nous opérons sur deux marchés d’impact :
Le premier marché concerne la solidarité, avec notre option appelée « Charity Kit ». Nous proposons aux commerçants d’arrondir le montant total à l’euro supérieur et de choisir une association à soutenir. Ils peuvent nouer des partenariats avec une à trois associations qu’ils mettront en avant sur leur page de paiement. Lors du paiement, nous proposons au consommateur d’arrondir le montant à l’euro supérieur et de choisir librement le montant qu’il souhaite donner. Nous nous engageons à reverser intégralement chaque euro donné à l’association choisie, sans prélever aucune commission.
Le deuxième marché est celui du climat, avec notre outil appelé « Climate Kit ». Cet outil est capable de calculer l’émission de CO2 liée à une commande en ligne. Nous nous appuyons sur des bases de données publiques pour estimer le coût en CO2 de la production de l’article, en incluant également le transport et l’impact numérique (Internet représente 6% des émissions mondiales de CO2). L’objectif est de sensibiliser le consommateur et, parfois même, de l’aider à faire un choix plus respectueux de l’environnement.
2 éléments importants à retenir :
- Le projet avec NBS System a été initié en partie grâce à la norme de sécurité de l’industrie des cartes de paiement, connue sous le nom de PCI DSS Level 1. Cette norme est directement liée à la sécurité des transactions bancaires. Le PCI DSS propose 4 niveaux, les trois premiers étant basés principalement sur le chiffre d’affaires, tandis que le niveau le plus élevé (Level 1) nous permet de traiter et de stocker les numéros de carte bancaire de nos clients sur nos serveurs. Sans cet agrément, cette pratique serait interdite. Le niveau 1 représente le plus haut niveau de sécurité et est reconnu internationalement comme une norme. Nous avons obtenu cette certification en mai 2022.
- Nous avons récemment obtenu notre agrément en tant qu’établissement de paiement. Pour obtenir cette certification, nous avons effectué une demande auprès de l’ACPR (Autorité de contrôle prudentiel et de résolution), l’organisme chargé de la surveillance dans les domaines de l’assurance, de la banque, de la gestion des fraudes et de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT). Grâce à cet agrément, nous sommes autorisés à réaliser des opérations d’encaissement pour le compte de tiers. Il s’agit d’une certification délivrée par l’ACPR et soumise à un audit de la Banque de France. Nous sommes le seul prestataire de services de paiement (PSP) à s’être diversifié dans ces domaines spécifiques, à savoir l’impact et le paiement.
Notre objectif est de devenir la référence en matière d’établissements de paiement pour les marques engagées désireuses de s’impliquer.
Quelle importance accordez-vous à la sécurité dans votre stratégie ?
Renaud – La sécurité occupe une place centrale dans notre stratégie. En raison de notre adhésion au PCI DSS, nous n’avons pas le choix.
Benoît – Chez Paygreen, tout est construit en mettant la sécurité en priorité. Les audits de sécurité nous permettent de challenger notre niveau de sécurité et celui-ci nous permet de définir un cadre pour l’ensemble de nos équipes. La sécurité est une préoccupation constante pour nous.
Comment avez-vous découvert NBS System et pourquoi les avez-vous choisis ?
Renaud – Nous avons commencé à travailler sur la conformité PCI DSS en 2019, et notre audit a eu lieu en mai 2022. Il nous a fallu près de 3 ans pour nous conformer au standard PCI DSS. Dans le cadre de sa mise en place, nous avons des obligations en termes de tests.
Benoît – J’ai effectué une sélection d’acteurs sur le marché via Linkedin, et nous avons eu une bonne impression avec NBS System. Dès le début, nous avons été présentés à leur équipe, ce qui a créé un bon lien assez rapidement. De plus, leurs tarifs attractifs ont également joué un rôle dans notre choix.
Renaud – En effet, étant une petite structure, nous devons faire attention à nos infrastructures, à nos dépenses, notamment en ce qui concerne les tests. Les équipes de NBS System ont été très réceptives à notre histoire, à notre projet, et ils ont fait de gros efforts, ce qui nous a beaucoup plu.
Quel a été l’élément déclencheur à l’origine de la création du projet ?
Renaud – Le PCI DSS.
Nous avions de réels besoins qui provenaient des demandes des clients, tels que la redirection des clients vers une page Paygreen pour effectuer le paiement. Cela était source de désagrément pour de nombreux clients, donc nous avons commencé à mettre en place des solutions temporaires pour intégrer une page de paiement chez eux. Cependant, cela n’était pas optimal, et notre problématique était de pouvoir disposer de notre propre formulaire pour recueillir les numéros de carte bancaire. Nous n’avions pas le choix, cela impliquait de se conformer au PCI DSS.
Comment s’est déroulé l’audit ? (3 tests : Externe, Applicatif et Segmentation interne)
Renaud – Notre environnement étant full cloud (nous sommes l’une des rares entreprises de paiement en ligne à l’être en totalité en Europe) cela apporte une complexité à la réalisation de la mission pour le prestataire.
Benoît – Étant les premiers prestataires de paiement à ce faire certifier PCI DSS en full Cloud, nous avons dû analyser les solutions possibles pour effectuer les tests habituels dans une situation totalement différente de la normale. Il est important de noter que Google avait déjà mis en place des solutions en amont des nôtres pour rendre les tests plus complexes et, par conséquent, les problèmes de pénétration à l’intérieur des environnements CDE (Common Data Environment) PSI DSS. Ce que j’ai apprécié, c’est que les équipes de NBS System m’ont rapidement contacté en prenant conscience de ces problématiques. Nous avons eu une discussion précoce à ce sujet, ce qui s’est avéré pratique. Dans l’ensemble, les tests externes se sont bien déroulés, mais les tests internes ont été ralentis car ils ont rencontré de nombreux obstacles liés au périmètre.
Renaud – Les équipes ont été très réactives. Nous avions besoin d’un partenaire pentest qui nous accompagne dans l’atteinte de la certification PCI DSS et ce dans un délai imparti. Au cours de l’audit, nous avons rencontré certaines difficultés qui nécessitaient une résolution rapide, car il n’était plus envisageable de reporter l’audit. Le Responsable Commercial, Simon FABRE, a su orchestrer les équipes et nous a débloqué la situation rapidement.
Comment les équipes ont-elles collaboré ?
Renaud – La collaboration s’est vraiment bien passée, nous avons su nous comprendre très rapidement, nous n’avons pas perdu de temps.
Avez-vous eu un contre audit ? Si oui, qu’avez-vous pensé du contre-audit ?
Benoit – Cette année, nous n’avons pas eu de contre-audit, mais l’année précédente, nous en avons eu un à la suite de la détection de vulnérabilités. Ce contre-audit a été réalisé en utilisant les mêmes tests d’origine, ce qui nous a permis de vérifier si les vulnérabilités identifiées avaient bien été corrigées mais aussi de vérifier que nous n’avions pas entrainé de nouvelles failles lors de l’implémentation des correctifs. Pour nous, cela a été l’occasion de confirmer l’efficacité de nos méthodes de correction et de s’assurer qu’elles répondaient aux problématiques soulevées par l’équipe de NBS System. Dans l’ensemble, le contre-audit s’est très bien déroulé.
Aviez-vous des craintes avant le projet ?
Renaud – Oui, nous avions des craintes avant le projet PCI DSS. Nous l’avons travaillé pendant 3 ans, mais l’audit en lui-même a duré 18 mois, car nous l’avons réalisé en 2 phases. Malheureusement, la première phase n’a pas été satisfaisante, et nous avons rencontré des difficultés. Nous avions la crainte de ne pas réussir à passer l’audit, car nous étions également en phase d’apprentissage. De plus, nous avions des inquiétudes concernant NBS System, qui n’était pas une société particulièrement reconnue dans le domaine du PCI DSS. Cependant, ces craintes ont été apaisées finalement, car tout s’est bien déroulé, et nous avons même renouvelé l’audit cette année.
La plus-value de NBS System ?
Benoit – La valeur ajoutée de NBS System réside dans la collaboration, la qualité des échanges et l’expertise de leurs équipes professionnelles. Travailler avec eux nous a permis d’enrichir nos connaissances, car les tests sont également une source d’apprentissage. Nos tests de vulnérabilité externes ou internes nous permettent d’apprendre et d’améliorer nos compétences en utilisant les mêmes outils employés, afin d’en tirer des enseignements précieux.
Les objectifs ont-ils été remplis ?
Benoît – Les objectifs ont été atteints, mais le PCI DSS doit être renouvelé chaque année à la même période.
Renaud – Cela a été une véritable réussite en interne. Il est important de souligner que nous sommes une petite équipe et l’auditeur nous a confirmé que nous étions une des plus petites entreprises à passer le PCI DSS. Ce n’était pas une tâche facile, car de nombreuses exigences sont généralement destinées aux grandes entreprises. En tant que petite structure, nous avons dû nous adapter et également faire en sorte que l’auditeur s’adapte à notre réalité. Donc oui, les objectifs ont été pleinement atteints. Nous sommes extrêmement fiers d’avoir réussi, malgré les 18 mois difficiles que cela a impliqué
Certification obtenue ?
Renaud – Oui, nous l’avons obtenu le 4 mai 2022 et renouvelé cette année encore.
De futures collaborations de prévu ?
Benoît – Nous prévoyons de continuer avec des audits et éventuellement d’envisager un accompagnement ultérieur si nécessaire.