5 Min. Read

L’approche d’AppsFlyer concernant la sécurité et la confidentialité – un échange avec Guy Flechter, CISO & DPO

Minnie Katzen Mayer Minnie Katzen Mayer Nov 21, 2018

On pose souvent à AppsFlyer des questions relatives à la confidentialité et la sécurité des données. Nos clients et nos partenaires veulent savoir quelles sont les mesures que nous avons mises en place pour garantir l’intégrité de leurs données, et ils sont parfaitement fondés à poser ces questions.

En tant qu’entreprise qui traite plus de 1 billion (vous avez bien lu) de points de données par an, pour des milliers de clients, il est naturel que vous vouliez savoir ce que nous faisons pour vous garantir que vos données sont sécurisées et confidentielles. Pour répondre à toutes ces questions et aller plus loin, nous avons pensé que le mieux était d’obtenir toutes les réponses directement du CISO (Chief Information Security Officer) et DPO (Data Protection Officer) d’AppsFlyer, Guy Flechter.

Fin 2017, nous avons accueilli Guy Flechter à bord de la fusée AppsFlyer, en tant que CISO et DPO. Guy nous apporte 17 ans d’une riche expérience professionnelle dans la sécurité et confidentialité.

 

Quelle est l’approche générale d’AppsFlyer en ce qui concerne la confidentialité et la sécurité ? Quelle est la force qui vous inspire en tant que chef de file de cette démarche ?

Je considère la confidentialité comme un droit humain fondamental. Je sais que cela semble un peu théâtral, mais je le crois vraiment. Je travaille dans ce secteur depuis plus de 15 ans, pour protéger et améliorer les mesures disponibles à cet égard. Chez AppsFlyer, nous atteignons (et même dépassons) les exigences nécessaires pour être officiellement certifiés par des organismes internationalement reconnus en termes de sécurité et de confidentialité.

Nous sommes toujours sur le qui-vive. Toujours. Nous vérifions et revérifions nos activités et cherchons la technologie la plus avancée du moment pour protéger nos systèmes. Nous ne nous contentons pas de cocher quelques cases, nous réfléchissons en permanence à la manière de nous développer et d’aller encore plus loin.

 

Qu’est-ce qui rend AppsFlyer si différent en termes de sécurité et de confidentialité ?

L’équipe Confidentialité et Sécurité n’est pas un service isolé et cloisonné ; nous travaillons en partenariat avec les services Solutions, IT, DevOps et Développement d’AppsFlyer. Nous nous considérons comme un prolongement des autres équipes.

Sur le plan du développement, la sécurité fait partie intégrante du produit, plutôt qu’un élément rajouté à la dernière minute. Mon équipe est impliquée dès le début du développement de nouvelles fonctionnalités et de nouveaux produits pour s’assurer que la sécurité et la confidentialité fassent partie de la structure du produit, et non intégrées a posteriori. Le résultat est une culture privilégiant avant tout la sécurité au sein du département R&D, ce qui est, à mon sens, la manière dont devraient fonctionner toutes les entreprises.

Mais ça ne s’arrête pas là. Toutes les équipes d’AppsFlyer sont impliquées dans nos efforts d’une manière ou d’une autre, quotidiennement. Et nous sommes bien sûr soutenus à 100 % par notre direction pour tous les besoins et les questions que nous pourrions avoir sur la confidentialité ou la sécurité.

 

Où diriez-vous qu’AppsFlyer s’intègre au sein du secteur ?

Je ne dirais pas vraiment que nous nous « intégrons », mais plutôt que nous ouvrons la voie. Nous ne voyons aucune limite quant à ce que nous pouvons développer et améliorer ; nous nous efforçons constamment d’aller plus loin.
Nous avons été les fers de lance d’initiatives novatrices dans le domaine de la confidentialité et de la sécurité, qui sont sans égales dans notre espace concurrentiel. Un exemple de ces initiatives est OpenGDPR, un cadre universel, sécurisé et commun pour la conformité avec les droits des personnes concernées imposés par le RGPD. Mis au point avec une poignée de nos partenaires, le cadre OpenGDPR présente une spécification API publique ainsi qu’un ensemble recommandé des meilleures pratiques pour l’implémentation et la maintenance d’un pack connecté et conforme.

 


« AppsFlyer, mParticle, Braze et Amplitude se sont regroupés pour former la version professionnelle de la Ligue des justiciers. Baptisé OpenGDPR, le consortium vise à simplifier le processus pour les marketeurs, en veillant à ce que leurs pratiques liées aux données soient au niveau. »


 

 

Pouvez-vous nous donner des informations sur les certifications qu’AppsFlyer a concernant la sécurité et la confidentialité ?

En ce qui concerne la sécurité, AppsFlyer est certifié SSAE16 SOC2 depuis 2016. Cette certification est attribuée aux entreprises qui répondent à un ensemble de contrôles très stricts pour la sécurité, l’intégrité du traitement, la confidentialité et la confidentialité des systèmes (en savoir plusici). Seule une autre entreprise d’attribution mobile est certifiée SOC2 et nous comprenons parfaitement l’importance de répondre à ses exigences.

AppsFlyer a certifié son adhésion aux principes du cadre du bouclier de confidentialité UE-États-Unis, tel que défini par le département du Commerce américain concernant la collecte, l’utilisation et la conservation des renseignements personnels transférés de l’Union européenne vers les États-Unis (en savoir plusici).

En outre, AppsFlyer répond à toutes les exigences de confidentialité établies par TRUSTe et/ou des organismes de réglementation habilités, grâce à un ensemble de méthodologies techniques et manuelles et d’auto-attestations de l’entreprise. Notre certification permanente TRUSTe démontre notre total engagement envers la transparence. Nous travaillons avec TRUSTe pour vérifier nos politiques et nos pratiques relatives à la confidentialité des données. TRUSTe étudie notre site et ses sous-domaines, nos kit de développement logiciel (SDK) et nos API (en savoir plus ici).

Ce n’est pas tout ; nous avons plusieurs autres certifications en cours, notamment ISO27001 et ePrivacy, pour n’en citer que quelques-unes.

 

Quels sont les plus grands défis et les plus grandes préoccupations sur le marché de l’AdTech et dans l’écosystème mobile ?

La technologie mobile est l’un des marchés à la croissance la plus rapide au monde. Sans surprise, les risques et les technologies de violation de la sécurité mobile évoluent également à un rythme incroyablement rapide. Garder une longueur d’avance sur ces risques est l’objectif le plus important qu’un CISO peut se fixer, mais c’est encore plus le cas pour entreprise évoluant dans la technologie mobile.

La protection des données de nos clients est notre priorité absolue. Relever les défis de la protection des données de nos clients comme de leurs utilisateurs finaux est un effort permanent, sans interruption.

La devise de l’équipe est de ne jamais supposer que le travail est fait, ou que nous savons tout. Nous apprenons, croissons et nous améliorons en permanence. Il impératif dans ce domaine de garder l’esprit ouvert et de ne dormir que d’un œil.

 

De nombreuses entreprises travaillent avec un service externe ou un conseiller externe en ce qui concerne la confidentialité. Pourquoi est-il important d’avoir un DPO en interne ?

Un DPO interne a un avantage inhérent : il est. Il fait partie de l’équipe, connaissant bien les activités quotidiennes, il connaît tout le monde et sait tout ce qui se passe. Les mesures de protection prises font partie du développement du produit, ce ne sont pas des ajouts après coup. Un prestataire externe ne peut pas être aussi impliqué, et est plus susceptible de manquer des détails cruciaux en route.

 

Quelle est la vision de l’équipe, où se dirige-t-elle ?

Notre équipe continue de grandir, reflétant la croissance de l’entreprise. Nous continuons à travailler sans relâche afin de toujours garder une longueur d’avance sur la concurrence pour comprendre l’évolution des risques et les changement d’environnement. Notre travail n’est jamais terminé.

 

Tout cela semble extrêmement stressant. Comment arrivez-vous à dormir la nuit ?

Généralement couché sur le ventre, mais parfois aussi sur le côté.