Sécuriser les flux de travail des clients dans un monde Web3 : Le PDG de OneSpan

Matt Moynahan, PDG de OneSpan, s'est entretenu avec iSMG sur divers sujets, notamment les défis en matière de sécurité auxquels les entreprises sont confrontées à mesure que l'internet évolue, l'impact du Web3 sur la vérification de l'identité et la transformation qu'il mène chez OneSpan.

Sécurité de l'identité, signature électronique et sécurisation des flux de travail en contact avec les clients dans un monde Web3

Michael Novinson : Bonjour, ici Michael Novinson du groupe Information Security Media. Je suis accompagné aujourd'hui par Matt Moynahan, président-directeur général de OneSpan. Bonjour, Matt. Comment allez-vous ?

Matt Moynahan : Très bien, Michael. Merci de m'avoir invité.

Novinson : Vous avez pris vos fonctions de PDG de OneSpan il y a tout juste un an, en novembre 2021. J'aimerais que vous me donniez une idée des changements les plus importants ou des domaines d'investissement dans lesquels vous avez investi depuis que vous avez rejoint la société.

Moynahan : Le 29 novembre marque le premier anniversaire de l'entreprise, et je suis très heureux d'être ici. C'est probablement l'un des emplois les plus agréables que j'aie jamais occupés. OneSpan, avec VASCO Data Security avant qu'elle ne devienne OneSpan il y a quelques années, a une longue et fière histoire de 30 ans dans le domaine de la vérification d'identité, de l'authentification et de la signature des transactions avec, évidemment, une position de leader dans les services bancaires et financiers mondiaux. Il est intéressant de noter que l'autre partie de la société était essentiellement un fournisseur de signature électronique, une signature électronique de classe entreprise, et nous avons travaillé dur pour fusionner ces deux choses.

Une grande partie de l'investissement a porté sur la création d'une capacité basée sur le cloud qui nous permet de sécuriser l'ensemble du cycle de vie des transactions des clients, ce qui est vraiment l'objectif de l'entreprise, d'être une sorte de société de sécurité Web3 qui nous permet de prendre tous les produits et services que nous avons et de les assembler pour faire ce que, je pense, aucune autre société de sécurité n'a fait à ce jour, c'est-à-dire sécuriser les clients tout au long du cycle de vie du berceau au berceau avec les entreprises en ligne.

Novinson : Quels sont les problèmes auxquels vous avez dû faire face en essayant de réunir ces deux aspects disparates de l'entreprise ?

Moynahan : Excellente question. La sécurité a toujours été liée à des produits ponctuels, pour l'essentiel. Les clients ont été contraints d'assembler les différents types de capacités de sécurité. Et dans le nouveau monde Web3 dans lequel nous vivons, qui est incroyablement dynamique et qui le deviendra encore plus avec l'arrivée du métavers, l'ancien modèle statique qui consiste à assembler ces éléments ne crée pas une bonne expérience pour l'utilisateur.

Je pense que le monde a besoin d'une capacité de sécurité qui soit intégrée de manière transparente à chaque étape du flux de travail, de sorte qu'elle soit cachée mais qu'elle offre en même temps un haut degré de sécurité. Un bon exemple serait celui des personnes qui envoient une authentification multifactorielle (MFA) par étapes. Cela perturbe vraiment l'expérience de l'utilisateur. Vous devez aller chercher votre téléphone. Vous devez faire ce que vous voulez... Il s'agit donc de réunir les capacités de l'entreprise, d'une manière qui n'est pas visible pour l'utilisateur final, mais qui s'inscrit dans le cadre d'une démarche d'entreprise.

Novinson : Comment l'avènement du Web3 et l'arrivée prochaine du métavers ont-ils affecté votre travail à OneSpan ?

Moynahan : C'est une extension. L'identité sera au cœur de tout. Vous avez vu l'explosion du marché de l'identité, qu'il s'agisse de la gestion de l'accès à l'identité ou de la gestion de l'identité et de l'accès du consommateur (CIAM), qui n'a pas vraiment décollé.

Toutes les entreprises veulent recruter des clients. Pour croître, elles se lancent dans la vente en ligne de produits numériques de plus en plus complexes. Les consommateurs s'attendent de plus en plus à ce que ces produits soient en ligne. Mais l'intégration d'une entité inconnue dans une entreprise pose de nombreux problèmes de réglementation et de sécurité, qu'il s'agisse d'un pirate informatique, d'une compromission de l'infrastructure ou tout simplement de la réglementation KYC (Know Your Customer) qui existe à l'échelle mondiale. Le métavers n'est donc qu'une extension d'un autre support : physique, numérique et méta, dans lequel l'identité doit être combinée à ces trois supports.

Et puis, évidemment, vous voulez faire des transactions avec ces identités pour générer des revenus et des relations avec les clients. Je suis donc très enthousiaste. Je ne sais pas ce que ce sera. Mais je vois certainement des cas d'utilisation où vous devrez vous assurer que l'identité, l'identité singulière, est fusionnée sur plusieurs supports afin de garantir que les questions de sécurité et de réglementation sont prises en compte.

Novinson : Je pense qu'en septembre, vous avez lancé la salle virtuelle. J'ai une question à vous poser en deux temps. Je me demandais, premièrement, quelle était l'impulsion de ce lancement et, deuxièmement, quelles sont les utilisations les plus intéressantes que vous avez vues de la salle virtuelle depuis son lancement ?

Moynahan : Je suis très optimiste quant à cette capacité. En fait, elle a été lancée avant mon arrivée, et je reconnais donc le mérite de l'équipe. Pour l'essentiel, nous commençons à peine à sécuriser le monde virtuel.

L'autre jour, j'ai participé à une réunion d'investisseurs dans le cadre d'un appel Zoom. Il y avait trois boîtes ici, comme celles que vous voyez avec nous aujourd'hui. Puis une autre boîte est apparue, sans vidéo. J'ai navigué pour voir de qui il s'agissait, car je ne voyais personne. Le nom de la personne était Sean Williams. Une voix s'est fait entendre et a dit : "Ce n'est pas Sean, c'est Mike. C'est Mike." Et j'ai répondu : "Comment diable puis-je le savoir ? En fait, je ne connais aucun d'entre vous."

Si vous regardez ce qui se passe, même avec Twitter, Elon Musk a dit : "Vous allez devoir payer pour avoir un compte vérifié", puis il a fait marche arrière. Il a fait marche arrière récemment, parce qu'il craignait que les marques, les entreprises et les personnes ne se fassent usurper leur identité. Personne ne sait qui est qui. Je veux dire, je vous ai déjà rencontré. Nous nous sommes rencontrés physiquement. Mais si je ne vous avais pas rencontré, vous ne le sauriez pas.

Et les conséquences sont lourdes. Le Web3 est une affaire de fausses informations, de faux contenus et de faux artefacts. Et si vous regardez ce que fait la communauté des hackers dans les organisations criminelles, ils usurpent des identités, qu'il s'agisse d'infrastructures web ou de personnes. Je pense donc que nous n'en sommes qu'au début. Et Virtual Room était censé être un environnement sécurisé pour mener des affaires. Ce n'est pas le cas de Zoom. Je pense que notre objectif était de fusionner l'infrastructure requise pour que les entreprises puissent s'engager avec leurs clients et des fonctions telles que la co-navigation, la signature de documents et autres, tout en offrant une expérience sécurisée qui, évidemment, peut tenir la route devant un tribunal si, pour une raison ou une autre, quelque chose arrive.

Novinson : Du point de vue du personnel, je sais que OneSpan a procédé à de nombreuses embauches depuis votre arrivée en tant que PDG. Que recherchiez-vous lorsque vous avez intégré de nouvelles personnes à l'équipe de direction, et qu'est-ce qui a permis à certaines d'entre elles de se démarquer ?

Moynahan : Pour moi, la culture est primordiale. Je ne veux pas travailler dans une entreprise où je n'ai pas envie de travailler. La première chose à faire est donc de mettre en place une culture d'entreprise qui me motive personnellement et qui motive tous les employés. OneSpan n'est pas une très grande entreprise. À l'heure actuelle, nous sommes un millier de professionnels. Je dirais donc que nous sommes une entreprise de taille intermédiaire. Notre objectif est de passer de 200 à 500 millions de dollars, puis à 1 milliard de dollars. Pour ce faire, nous avons besoin de personnes qui ont vraiment l'esprit d'un propriétaire-exploitant, qui ont vu suffisamment de choses pour savoir ce que signifie atteindre 500 millions de dollars, mais qui ne sont pas des employés de grandes entreprises au point de se contenter de gérer les gens et de ne pas faire de choses concrètes.

Nous sommes en quelque sorte une grande startup. C'est la mentalité que nous essayons d'avoir ici. Il s'agit de trouver un équilibre entre les personnes qui ont l'expérience des grandes entreprises et celles qui ont la mentalité d'une startup et qui sont prêtes à travailler dur pour obtenir des résultats. Ce qui est un peu différent de certaines grandes organisations qui ont d'autres types de structures et qui ont besoin de responsables hiérarchiques plus professionnels, si vous voulez. Nous essayons d'être à la fois des faiseurs et des gestionnaires.

Novinson : Quel est le secteur d'activité de OneSpan qui a connu la plus forte croissance en 2022 ? Et quels ont été les moteurs de cette croissance ?

Moynahan : Heureusement, nous avons en quelque sorte deux côtés de la maison qui sont en train de se fondre l'un dans l'autre. L'aspect sécurité, qui a été incroyablement stable malgré le ralentissement macroéconomique. En effet, la plupart de nos activités sont liées à la vérification et à l'authentification de l'identité, dans le cadre des services bancaires en ligne. Elle est donc restée stable malgré le conflit entre la Russie et l'Ukraine qui a introduit une certaine incertitude en plus de la fluctuation des taux de change. Cela a été stable, ce qui est très bien, et c'est la partie la plus importante de notre activité.

La croissance la plus rapide est celle de notre activité de signature électronique. Nous sommes la seule alternative de classe entreprise à DocuSign, nous sommes plus sûrs que DocuSign et nous avons un meilleur rapport qualité-prix que DocuSign. DocuSign n'a pas eu beaucoup de concurrence sur le marché de l'e-signature, et je pense que nous en sommes encore aux premiers jours du marché de la signature.

Le marché s'éveille à nous. Notre marque n'est pas aussi connue. Nous sommes probablement la plateforme de signature électronique la plus utilisée en dehors de DocuSign, mais nous mettons tout sous label privé, de sorte que vous ne le sauriez jamais. Mais notre marque est de plus en plus connue, ce qui nous permet de conclure des contrats beaucoup plus importants, et c'est ce qui a stimulé nos taux de croissance dans le domaine de la signature électronique, plus que pour toute autre ligne de produits au sein de la société à l'heure actuelle.

Novinson : Voyez-vous le même type de clients utiliser les signatures électroniques ? Qui utilise vos solutions de sécurité ? Ou s'agit-il de deux profils de clients assez différents ?

Moynahan : C'est une excellente question. Aujourd'hui, ils sont différents, mais ils se rejoignent. Historiquement, la signature électronique a été achetée pour automatiser un processus physique sur papier. Et cela a été largement piloté par le responsable de la transformation numérique ou le responsable des produits numériques au sein de l'entreprise. Nos produits de sécurité étaient davantage destinés au propriétaire de la banque en ligne ou peut-être même à un professionnel de la sécurité de haut niveau.

Mais de plus en plus, les gens se rendent compte, en particulier pour les contrats et d'autres types d'utilisation de la signature électronique qui sont axés sur l'extérieur ou sur les revenus, que vous devez vous assurer de l'identité du signataire.

La vérification de l'identité, l'authentification et la signature électronique deviennent donc extrêmement importantes. En fait, Gartner a déclaré que la signature électronique devenait une fonctionnalité, et je suis tout à fait d'accord. Ce que vous faites réellement, c'est fournir un flux de travail basé sur le nuage, dont certaines transactions doivent être associées à un morceau de papier, mais il est essentiel que vous obteniez le client correctement. Vous voyez donc ces deux choses se rejoindre en tant qu'offre conjointe, et c'est vraiment ce qu'il faut faire. Si vous faites affaire avec un pirate informatique, ce n'est pas valable. Vous devez donc vous assurer de bien faire les choses, à la fois pour des raisons de réglementation et de sécurité.

Novinson : Je voudrais parler un peu du paysage du marché. Je sais que vous avez parlé de la signature électronique, mais j'aimerais en savoir un peu plus sur la vérification et l'authentification de l'identité, si vous êtes dans une situation d'appel d'offres, qui rencontrez-vous le plus souvent et qu'est-ce qui différencie OneSpan ?

Moynahan : C'est une excellente question. L'espace de l'identité est tellement vaste. Aujourd'hui, tout semble relever de l'identité. Nous opérons dans une partie assez, je dirais stratégique, mais plus petite de l'espace de l'identité. Nous faisons de la vérification d'identité, de la preuve d'identité et de l'authentification pour les processus d'entreprise, faute d'un meilleur terme, et pour les services bancaires en ligne, les hypothèques, des choses de cette nature. Nous sommes donc typiquement en concurrence, du côté externe, avec Gemalto Thales qui a des capacités similaires dans le domaine des jetons. RSA de temps en temps. De temps en temps, nous pourrions voir Transmit Security et la sécurité sans mot de passe. Pour nous, il s'agit d'une fonctionnalité que nous proposons. Mais si un client cherche à mettre en place une infrastructure de gestion de l'identité et de l'accès, de temps en temps nous sommes en concurrence avec eux et de temps en temps avec Yubico et son produit YubiKey sur le plan de la sécurité.

Novinson : Qu'est-ce qui, selon vous, différencie l'approche de OneSpan de celle de Gemalto Thales et de certaines de ces petites entreprises ?

Moynahan : Écoutez, ce sont toutes de bonnes entreprises. Nos produits fonctionnent et fonctionnent bien, n'est-ce pas ? Je veux dire que si nous baissons, les banques baissent. Et c'est notre héritage. Je pense donc que c'est la nature même de l'entreprise qui est en cause. Nous sommes en mesure de soutenir des entreprises internationales dans le monde entier. Nous sommes présents dans plus d'une centaine de pays et nous sommes issus du secteur bancaire. Ce n'est pas pour les âmes sensibles. Il en a toujours été ainsi depuis que nous étions une petite startup à l'époque de VASCO, et nous avons grandi en gardant cela à l'esprit. Donc, si vous voulez un produit qui fonctionne, qui est résilient et hautement disponible, vous utilisez nos produits. Et je pense que cela nous différencie de beaucoup de startups. Il s'agit simplement de 30 ans d'histoire et de confiance que nous avons construits dans des environnements à fort volume et à fortes transactions comme les banques.

Novinson : Je vois. Je voulais également parler un peu de la macroéconomie, et j'ai une question en deux parties à vous poser. Premièrement, avec la hausse des taux d'intérêt, l'inflation, les problèmes de chaîne d'approvisionnement, etc., comment cela a-t-il affecté le comportement d'achat des clients au cours des derniers mois ? Deuxièmement, quels changements ou ajustements avez-vous apportés en interne chez OneSpan en réponse à l'évolution de la dynamique du marché ?

Moynahan : C'est un environnement compliqué, et je ne connais aucun PDG qui en soit satisfait. Et je m'inclus dans le lot. Mais je dirais que les choses se sont déroulées en deux temps.

D'une part, nous avons la chance, grâce à notre présence dans la communauté bancaire en ligne au niveau mondial, que celle-ci ne disparaisse pas. C'est donc une bonne chose pour nous. En ce qui concerne la sécurité, parce que nous fabriquons des jetons physiques, nous avons eu quelques problèmes avec la chaîne d'approvisionnement et j'en ai parlé ad nauseam. Rappelez-vous les défis de la Chine, la politique de non-COVID, tout cela. Apple, évidemment, modifie ses capacités de production à cause de cela. Nous avons un produit physique qui a été affecté avec certaines de nos UGS de ce côté de la maison.

En ce qui concerne la signature électronique, c'est vraiment intéressant. Nous sommes intégrés dans les processus des gens. Nous avons en fait une visibilité en aval lorsqu'une banque ou une plateforme hypothécaire nous utilise pour le refinancement. Il est donc évident que les taux d'intérêt ont vraiment changé la nature des volumes de transactions et de la verticale BFSI. Je dirais donc qu'il y a eu un ralentissement. Dans le passé, vous aviez des gens qui achetaient des niveaux de volumes de transactions et qui les parcouraient à l'époque où les taux d'intérêt étaient bas. Aujourd'hui, c'est l'inverse qui se produit. L'autre chose que nous avons constatée de temps en temps, c'est que la liste des 10 premiers projets informatiques se réduit parfois aux cinq ou trois premiers. La place de la signature électronique dans cette catégorie dépend vraiment de chaque entreprise. La sécurité figure toujours dans le top 5, mais la signature électronique est un peu différente. Je ne dis pas que c'est discrétionnaire, mais vous verrez des projets être poussés de temps en temps, en fonction de la santé financière de l'entreprise, si vous voulez.

Novinson : Qu'est-ce que cela signifie pour vous à OneSpan ? Avez-vous procédé à des réductions d'effectifs ? Avez-vous procédé à une réorganisation en réponse à l'évolution de la dynamique du marché ?

Moynahan : Non, en fait, nous ne l'avons pas fait. Tout compte fait, nous nous en sortons plutôt bien. Nous avons procédé à un réalignement juste après mon arrivée, selon le vieil adage qui veut que si vous changez de stratégie, vous ne déplacez pas les personnes ou les fonds qui n'ont pas été alignés sur cette stratégie. Nous avons donc fait un exercice il y a environ six mois pour aligner notre entreprise sur notre stratégie Web3, mais en dehors de cela, nous avons eu de la chance. Nous nous efforçons de construire une entreprise vraiment importante. Du fait de notre ancrage dans le secteur de la banque en ligne, nous avons peut-être été un peu plus protégés que d'autres entreprises, compte tenu de la nature de notre gamme de produits.

Novinson : Alors que vous vous projetez dans l'avenir, quels sont les plus grands paris que vous espérez faire pour saisir cette opportunité autour du Web3 ?

Moynahan : Je crois vraiment au fond de moi - je suis un professionnel de la sécurité depuis 25 ans - que nous devons passer d'un monde de produits à un monde de résolution de problèmes.

Le problème aujourd'hui est que personne ne sait avec qui il interagit en ligne. Et les transactions qu'ils effectuent sont lourdes de conséquences.

Si vous regardez l'évolution de l'internet, de 1.0 à 2.0, puis à 3.0 et même à 4.0, dont les gens ont déjà commencé à parler, en symbiose avec les machines, les données et tout le reste, les menaces pour la sécurité n'ont cessé de s'aggraver et de se multiplier. Les menaces à la sécurité n'ont cessé de s'aggraver. Il n'y a jamais eu autant de prises de contrôle de comptes. Il n'y a jamais eu autant de pertes de crédit, de fraudes, d'ingénierie sociale. Aujourd'hui, nous nous trouvons dans une situation où nous avons clairement vu une guerre économique, une guerre d'entreprise se dérouler. C'est un véritable gâchis.

Nous avons toujours eu cette juxtaposition où l'internet devient de plus en plus puissant. Les entreprises de sécurité réagissent à cette évolution et créent des produits pour résoudre les problèmes ponctuels que nous rencontrons. Nous devons vraiment penser de manière holistique. Comment intégrer la sécurité dans le processus commercial du début à la fin ?

Vous pouvez y parvenir tout en offrant une excellente expérience à l'utilisateur. Ainsi, personne ne souffrira d'une mauvaise expérience utilisateur et c'est là le fléau de la sécurité : la sécurité se met en travers du chemin. [La sécurité est le département du non, vous verrouillez les choses, la confiance zéro. La confiance zéro ne fonctionne pas sur Internet. Peut-être pour protéger votre entreprise, mais maintenant vous vous engagez avec un consommateur. [Vous ne pouvez pas offrir une mauvaise expérience à l'utilisateur ou avoir trop d'authentification multifactorielle (MFA) ou trop de clics pour passer à la caisse. Tout le monde veut passer à la caisse en un seul clic. Nous sommes conditionnés à cela en tant que consommateurs.

Je pense que l'espace de sécurité informatique doit passer de l'informatique au monde de l'entreprise qui s'engage dans une transaction B2B2C. Cela nécessite une façon de penser complètement différente. Il ne s'agit pas de fournir un produit pour protéger une charge utile ou l'infrastructure du réseau. Il s'agit de savoir comment fournir une capacité qui s'intègre de manière transparente à travers plusieurs étapes, tout en garantissant une excellente expérience pour l'utilisateur.

Cela n'a pas encore été fait par les entreprises de sécurité. C'est donc sur ce point que nous travaillons d'arrache-pied.

eBook

Apporter un lien humain aux services bancaires, d'assurance et financiers à distance

Téléchargez cet ebook pour découvrir comment la solution OneSpan Virtual Room peut recréer le pouvoir de la réunion en face à face dans vos processus numériques de bout en bout

Télécharger