Approche de sécurité de Flipster Exchange : questions-réponses sur les certifications de sécurité, les programmes de primes aux bogues et la protection des utilisateurs

Dans un marché des cryptomonnaies volatil et en constante évolution, les plateformes d'échange de cryptomonnaies font face à un adversaire de taille : la volonté de compromettre les données et les fonds des utilisateurs. Cette semaine, nous avons rencontré Justin Hong, responsable de la sécurité des systèmes d'information (RSSI) de Flipster, pour une interview exclusive. Il nous a expliqué comment la plateforme de trading de cryptomonnaies renforce sa sécurité grâce aux certifications, à l'innovation produit et à une réponse aux menaces en temps réel.

Selon Hong, Flipster a déployé plus de 15 mises à jour de sécurité au niveau de ses produits rien que cette année. Ces mises à jour, associées à sa certification ISO/IEC 27001 et à sa notation « AA » de CER.live, garantissent aux utilisateurs un environnement de trading sûr et sécurisé.

Travailler chez Flipster

Q : Bonjour Justin, pourriez-vous commencer par nous parler un peu de vous, de votre rôle en tant que responsable de la sécurité des systèmes d'information et de l'importance de ce rôle pour les entreprises Web3 ?. 

A : J'ai passé les 16 dernières années dans le domaine de la cybersécurité, avec une expérience couvrant les secteurs bancaire, fintech et blockchain. Chaque domaine présente ses propres défis, et ensemble, ils ont façonné mon approche de la sécurité, notamment dans le Web3, où les enjeux sont particulièrement élevés. Le niveau d'exposition y est sans précédent dans la finance traditionnelle. Il y a plus de contrôle pour l'utilisateur, plus d'innovation et, malheureusement, une plus grande attention de la part des cybercriminels.

Chez Flipster, je dirige la fonction de sécurité globale, qui englobe tout, de la gestion des risques et la conformité à la réponse auxdent et à l'intégration de référentiels internationaux comme l'ISO/IEC 27001 dans nos opérations. Le monde des cryptomonnaies évolue rapidement, et les menaces aussi. Nous concevons nos solutions en tenant compte de cette évolution : anticiper, et non se contenter de réagir.

Q : À quoi ressemble le travail chez Flipster dans le monde trépidant et à haut risque des plateformes de trading de cryptomonnaies ?

A : Les enjeux sont considérables, et c'est précisément ce qui rend ce travail si gratifiant. La sécurité dans ce domaine n'est pas une activité passive. On se retrouve face à des adversaires parmi les plus créatifs et les plus déterminés du secteur technologique. Cela nous oblige à rester vigilants et à évoluer constamment.

Ce qui frappe chez Flipster, c'est l'harmonie qui règne au sein de l'équipe. Notre mission est claire : créer une plateforme de trading sécurisée et fiable sur laquelle chacun peut compter. Cet engagement se reflète dans notre façon de travailler : collaboration étroite, retours d'information rapides et tests continus. 

Q : Comment defi-vous la confiance chez Flipster, et comment votre équipe s'y prend-elle pour la construire et la maintenir ?

A : La confiance se construit avec le temps grâce à la constance : transparence, clarté et responsabilité. Nous communiquons sur la manière dont nous gérons les risques, protégeons les fonds des utilisateurs et réagissons auxdent. En cas de problème, les utilisateurs ont le droit de savoir ce qui s’est passé et comment le problème est résolu.

En interne, nous appliquons un modèle de confiance zéro. Chaque système et chaque utilisateur, interne ou externe, est soumis au même niveau de vigilance. Cette approche nous permet d'anticiper les menaces de phishing et autres risques internes. Cependant, la sécurité ne doit pas se faire au détriment de l'expérience utilisateur. Nous améliorons constamment nos fonctionnalités pour les rendre à la fois plus sûres et plus intuitives. Lorsque ces deux aspects sont parfaitement combinés, les utilisateurs n'ont pas à choisir entre sécurité et facilité d'utilisation.

Certifications ISO/IEC 27001 et CER.live de Flipster

Q : Les plateformes de cryptomonnaies deviennent un véritable nid àdentde sécurité, qui entraînent le plus souvent des pertes financières considérables. Chez Flipster, avez-vous déjà été confronté à une telle tentative ? Si oui, comment l’avez-vous gérée ?

A : Nous avons constaté notre lot d'dent— attaques DDoS, campagnes d'hameçonnage et tentatives d'usurpation d'identité, pour n'en citer que quelques-uns. Ces menaces sont réelles et constantes.

Prenons l'exemple des attaques DDoS. Des attaquants ont tenté de perturber notre plateforme et ont même essayé des techniques de rançon. Cependant, nous avons intégré des mécanismes de détection et d'atténuation à tous les niveaux, et nos équipes d'intervention sont formées pour réagir rapidement. Dans les scénarios d'hameçonnage, des individus malveillants se sont fait passer pour des candidats à l'emploi ou des partenaires afin d'inciter notre équipe à ouvrir des fichiers malveillants. Nos systèmes sont conçus pour détecter rapidement ces menaces, et nous effectuons une analyse approfondie après chaquedent afin de renforcer encore davantage nos défenses.

Q : Flipster a récemment obtenu la certification AA de CER.live. En quoi consiste cette certification et qu'est-ce que cela signifie pour les utilisateurs ?

A: Depuis 2018, CER.live a évalué des centaines de plateformes d'échange grâce à une méthodologie rigoureuse basée sur plus de 18 indicateurs de sécurité. C'est l'un des référentiels indépendants les plus fiablesdent secteur.

Pour les utilisateurs, ce type de certification est un gage de qualité. Elle atteste qu'un organisme tiers a examiné notre plateforme et validé la qualité de notre sécurité. Associée à notre certification ISO/IEC 27001, elle reflète l'importance que nous accordons à la confiance, tant dans nos paroles que dans nos actes.

Q : Outre la certification CER.live, quelles sont les principales pratiques ou protocoles de sécurité récemment mis en œuvre par Flipster et dont les utilisateurs devraient être informés ?

A : Nous avons déployé plus de 15 fonctionnalités de sécurité au niveau du produit cette année. Parmi les principales améliorations, citons la prise en charge des mots de passe, le verrouillage des retraits et la liste blanche d'adresses. Chacune de ces fonctionnalités offre aux utilisateurs un meilleur contrôle et renforce la protection.

Je recommande systématiquement d'activer à la fois les codes d'accès et le carnet d'adresses pour les retraits. Ces simples étapes font toute la différence. Nous développons également de nouveaux outils de gestion des appareils qui permettront aux utilisateurs tracet de gérer les appareils accédant à leurs comptes ; une autre façon de les aider à garder le contrôle.

Q : Certaines plateformes ont obtenu la note AAA de CER.live. Est-ce un objectif pour Flipster ? Quelles mesures de sécurité mettez-vous en place pour y parvenir ?

A : Nous suivons la situation de près et nous progressons régulièrement. Nous nous concentrons actuellement sur le renforcement de la protection des serveurs, le déploiement d'outils anti-hameçonnage et l'amélioration du contrôle offert aux utilisateurs grâce à des fonctionnalités de gestion des appareils optimisées.

Au final, ce qui nous importe, ce n'est pas d'obtenir des badges, mais d'améliorer concrètement la plateforme pour nos utilisateurs. Si une fonctionnalité apporte une réelle valeur ajoutée et renforce notre sécurité, nous la développons. La certification AAA est une étape importante, pas une finalité.

Programme de primes aux bogues et fonctionnalités de sécurité supplémentaires

Q : Comment Flipster s'assure-t-il que les hackers éthiques soient incités d'une manière qui corresponde aux objectifs de confiance et de transparence à long terme de la plateforme ?

A: Nous collaborons avec Hackenproof sur un programme public de primes aux bogues, offrant aux chercheurs un moyen clair et fiable de partager leurs découvertes avec nous. Leur équipe évalue l'impact et la qualité des soumissions, et nous offrons des récompenses équitables en fonction de la gravité des bogues.

Au-delà de la simple détection des failles, il s'agit d'impliquer la communauté mondiale de la sécurité dans notre mission. Lorsque les chercheurs savent que leurs travaux sont valorisés et pris en compte, ils sont plus enclins à contribuer autronde l'écosystème. C'est une situation gagnant-gagnant.

Q : En tant que RSSI et leader d'opinion dans ce domaine, quels conseils donneriez-vous aux autres entreprises qui s'efforcent d'améliorer leurs normes de sécurité ?

A : Commencez par maîtriser les fondamentaux. La plupart des failles de sécurité sont dues à des négligences élémentaires : correctifs manquants, permissions trop larges, contrôle d’accès insuffisant. En corrigeant ces points, vous réduirez considérablement vos risques.

Par ailleurs, investissez dans vos équipes et vos processus. Vous pouvez disposer de tous les outils du monde, mais si vos équipes ne sont pas formées ou si vos procédures d'dent ne sont pas testées, vous êtes vulnérable. Instaurez une culture où la sécurité est l'affaire de tous, et pas seulement celle du RSSI. Ce changement de mentalité peut prendre du temps, mais il en vaut la peine.

Q : Enfin, les attaques d’ingénierie sociale sont également très répandues dans ce secteur. Quelles mesures avez-vous mises en place pour garantir la protection des utilisateurs, ou plutôt les informer des tentatives de compromission de leurs comptes ?

A : Nous classons l'ingénierie sociale en deux catégories : le piratage de comptes et les transferts frauduleux. Nous avons d'abord mis en place des protectionstrontelles que des mots de passe, l'authentification à deux facteurs, des alertes de connexion en temps réel et une liste blanche d'adresses. La gestion des appareils sera bientôt disponible.

La sensibilisation des utilisateurs joue un rôle essentiel dans la prévention de la fraude. Nous diffusons régulièrement des mises à jour de sécurité et développons des outils permettant de signaler les adresses suspectes ou frauduleuses connues. Notre objectif est de fournir aux utilisateurs les connaissances et les outils nécessaires pour se protéger. Un utilisateur bien informé constitue l'une des meilleures défenses.