Comment YPA Finance protège les données de ton argent — et comment nous l'avons construit ainsi

La plupart des apps disent que ta sécurité est leur priorité. Voici ce que ça veut vraiment dire en pratique — l'architecture, les partenaires, les standards et les décisions que nous avons prises avant d'écrire la moindre ligne de code produit.

La sécurité fait partie de ces mots qu'on emploie tellement qu'ils finissent par ne plus rien vouloir dire. Chaque app de finance dit qu'elle la prend au sérieux. Presque aucune n'explique ce que ça donne réellement sous le capot.

Alors je vais faire quelque chose de différent. Je vais te raconter exactement comment nous avons construit l'infrastructure de sécurité de YPA Finance — les standards de chiffrement que nous utilisons, les partenaires que nous avons choisis et pourquoi, les choses que nous ne stockons jamais, et où nous en sommes sur notre chemin de conformité. Le concret, pas le discours commercial.

Si tu as déjà lu mon article sur le fait de connecter ton compte bancaire à une app de finance, celui-ci va une couche plus profond.

La sécurité n'a pas été ajoutée plus tard. C'était le point de départ.

J'ai vu ce qui se passe quand des startups bricolent la sécurité après coup. Ça se voit dans leur architecture, leur modèle de données, leur réponse aux incidents. Ça se sent.

Quand nous avons conçu YPA Finance, nous avons pris une décision tôt : nous n'allions stocker rien dont nous n'avions pas absolument besoin. Pas tes identifiants bancaires. Pas ton Social Security Number. Pas tes numéros de cartes de paiement. Si nous n'avons pas la donnée, on ne peut pas nous la voler. Ce n'est pas une déclaration philosophique — c'est une contrainte d'architecture autour de laquelle nous avons construit tout le produit.

Cette seule décision a fini par dicter à peu près tout le reste — avec qui nous nous sommes associés, comment nous avons structuré notre modèle de données, ce que nous nous sommes engagés à ne jamais toucher.

La couche de chiffrement : AES-256 et TLS 1.3

Chaque octet de tes données financières dans YPA Finance est chiffré avec AES-256 au repos. En transit, nous utilisons TLS 1.3 — le même standard que celui utilisé par les grandes institutions financières américaines.

AES-256 signifie que même si quelqu'un parvenait d'une manière ou d'une autre à extraire des données brutes de nos serveurs, il se retrouverait avec un bloc chiffré qui prendrait plus de temps à casser par force brute que l'âge de l'univers. TLS 1.3 signifie que les données qui circulent entre ton téléphone et nos serveurs ne peuvent pas être interceptées sous une forme lisible.

Je veux être précise ici parce que c'est exactement le genre de détail que la plupart des apps laissent dans le flou. Ce ne sont pas des arguments marketing — ce sont des standards qu'on respecte ou pas. Nous, on les respecte.

Les partenaires que nous avons choisis — et pourquoi nous les avons choisis

J'ai déjà écrit séparément sur comment fonctionnent réellement les connexions bancaires, donc je ne vais pas répéter toute l'explication ici. La version courte : nous utilisons Plaid pour les connexions bancaires, Equifax via Array pour les données de crédit, et Stripe pour les paiements. Dans chaque cas, le choix s'est résumé à une chose — nous ne voulions pas manipuler des données que nous n'avions aucune raison de manipuler.

Nous ne voyons jamais ton mot de passe bancaire. Nous ne voyons jamais ton numéro de carte. Nous ne voyons ni ne stockons jamais ton Social Security Number ou ton ITIN. Chacune de ces données passe par un fournisseur régulé, conçu spécifiquement pour les manipuler en toute sécurité.

La décision d'ingénierie derrière ça, ce n'est pas juste « utiliser de bons partenaires ». C'est que notre modèle de données a été délibérément contraint — nous avons construit l'architecture autour de ce que nous ne détiendrions jamais, pas seulement autour de ce que nous détiendrions. Cette contrainte a ensuite déterminé quels partenaires nous pouvions même utiliser. Le modèle OAuth de Plaid, le flux de vérification d'identité d'Array, le traitement des paiements de Stripe — tous sont compatibles avec un système qui refuse d'être dans la boucle pour les identifiants sensibles.

L'infrastructure : Google Cloud, durcie dès le premier jour

YPA Finance tourne sur Google Cloud Platform. Notre infrastructure est gérée avec Terraform — ce qui veut dire que chaque changement sur nos systèmes est versionné, auditable, et revu avant de s'approcher de la production.

Nous utilisons un Web Application Firewall pour protéger nos APIs, avec du rate limiting pour bloquer les tentatives de brute-force et de scan. Le monitoring en temps réel signifie que si quelque chose d'inhabituel se produit, on le sait avant toi.

Chaque requête vers nos systèmes — qu'elle vienne d'un utilisateur ou d'un service interne — doit être authentifiée et autorisée. Rien à l'intérieur du système n'est supposé être de confiance par défaut.

SOC 2 : où nous en sommes et où nous allons

Je veux être honnête là-dessus, parce que j'ai vu d'autres entreprises laisser entendre qu'elles étaient certifiées SOC 2 alors qu'elles ne l'étaient pas.

Nous ne sommes pas encore certifiés SOC 2 Type II. Nous y travaillons. Nos contrôles sont conçus et mis en place selon les standards SOC 2 — contrôles d'accès basés sur les rôles, journalisation d'audit complète, tests d'intrusion réguliers, revues de sécurité par des tiers.

Pourquoi en parler si ce n'est pas fait ? Parce que je pense que tu mérites de savoir où nous en sommes vraiment, pas où nous aimerions que tu penses que nous en sommes. Les contrôles sont réels. Le processus de certification prend du temps. Nous y sommes.

Les cinq choses que nous ne ferons jamais

Ce que tu peux faire maintenant

Si tu utilises déjà YPA Finance : tu peux à tout moment vérifier dans l'app les données que tu as partagées. Tu peux déconnecter ton compte bancaire en deux taps. Tu peux nous écrire à security@ypa.finance pour toute question précise sur tes données, et un humain te répondra.

Si tu envisages YPA Finance : lis notre Security page avant de connecter quoi que ce soit. Applique la même checklist à chaque app de finance que tu utilises. Toute app qui mérite ta confiance devrait pouvoir répondre à chaque question sur cette page.

La confiance en fintech ne se construit pas sur des promesses. Elle se construit sur des décisions qui sont vraies ou non — prises avant que personne ne regarde, parce que l'alternative n'est pas acceptable. C'est ce que nous avons essayé de construire.

---

Svetlana Burninova est cofondatrice et CTO de YPA Finance, avec 15 ans dans les systèmes financiers et 7 ans dans l'infrastructure. Elle détient les certifications AWS, CKA, CKAD et HashiCorp Terraform. Des questions sur nos pratiques de sécurité ? Écris-lui à security@ypa.finance.