Créée en 2013, PayPlug a développé une solution de paiement en ligne par carte bancaire qui se différencie des solutions des banques par son intégration en un clic et sa simplicité d'utilisation. Elle permet à de petits acteurs qui vendent en ligne tels que les e-commerçants, TPE, PME, indépendants ou associations, de proposer un paiement pratique sur leur site, contribuant à enrichir l'expérience client et à augmenter les ventes.
En 2016, Payplug a décroché la certification de l'ACPR grâce à laquelle la startup devient une institution financière habilitée à tenir des comptes bancaires. Forte de ce nouveau statut et de son positionnement innovant, PayPlug entend se développer en Europe, en particulier en Italie et en Espagne.
A l'origine, PayPlug a mis au point un prototype de sa solution de paiement qui était hébergé chez un prestataire externe. La startup a ensuite cherché à internaliser sa solution avant son lancement. PayPlug avait besoin d'une infrastructure évolutive et capable d'accompagner le développement de son activité. Antoine Grimaud, cofondateur de PayPlug, relate : "Nous recherchions une solution évolutive, nous permettant de maîtriser les coûts d'infrastructure avec de petits volumes au lancement, puis au fur et à mesure que l'activité allait se développer. Nous avons tout de suite choisi de nous orienter vers une infrastructure dans le cloud".
Autre défi majeur et continu dans l'activité de PayPlug : la sécurité, incontournable pour protéger les données de cartes bancaires qui transitent par son service. Dans ce domaine, les entreprises doivent se conformer à des contraintes réglementaires très strictes et s'appuyer sur une infrastructure conforme à la norme internationale PCI-DSS pour la sécurité des données des cartes de paiement. Naoufel Salem, responsable de l'architecture de PayPlug, détaille : "Nos instances traitent des données de cartes de paiement qui ne doivent pas être accessibles. Il est indispensable de gérer les accès, de protéger les données des cartes de paiement et d'assurer également une protection face à des attaques de type DDOS. Le tout exige une gestion fine de tous les paramètres de sécurité". Les enjeux de sécurité ont par ailleurs résidé au cœur de l'audit effectué par l'ACPR pour octroyer sa certification à PayPlug.
Alors qu'elle cherchait l'environnement cloud dans lequel héberger son infrastructure, l'équipe de PayPlug a apprécié l'agilité offerte par AWS. "La solution d'AWS offre une évolutivité qui nous permet de lancer de nouvelles machines rapidement et reste abordable aux différentes étapes de développement de l'activité" précise Antoine Grimaud.
Aujourd'hui, PayPlug utilise des instances Amazon Elastic Compute Cloud (Amazon EC2) sécurisées à l’aide de groupes de sécurité, et dispose d'un espace privatisé dans le Cloud d'AWS grâce à Amazon Virtual Private Cloud (Amazon VPC). Amazon Elastic Load Balancing (Amazon ELB) distribue automatiquement le trafic applicatif entrant sur les instances Amazon EC2 et Amazon CloudFront est activé comme réseau de diffusion de contenu. Payplug utilise également Amazon Relational Database Service (Amazon RDS) comme gestionnaire de bases de données relationnelles MySQL avec option de multizone de disponibilité et Amazon Simple Notification Service (Amazon SNS), un service de messagerie professionnelle et mobile.
En termes de sécurité s'ajoute le service de supervision Amazon CloudWatch permettant une surveillance renforcée des ressources utilisées dans le Cloud d'AWS, ainsi que Amazon Key Management Service (Amazon KMS) pour la création et le contrôle de clés de chiffrement des données. Pour Naoufel Salem, "La plateforme d'AWS nous permet d'être conforme à la norme PCI DSS, un critère décisif pour nous. De plus, elle simplifie la gestion granulaire de tous les paramètres de sécurité. En particulier les instances Amazon EC2 avec leurs groupes de sécurité, l'équilibrage de charge et Amazon VPC assurent une sécurité fine et efficace".
En s’appuyant sur le Cloud AWS, PayPlug dispose d'une infrastructure évolutive et sécurisée qui accompagne sa croissance. La montée en force de l'activité s'est effectuée en toute facilité grâce au lancement simple et rapide de nouvelles instances Amazon EC2 au fur et à mesure des besoins. A présent, Payplug utilise près de 40 instances Amazon EC2 et peut en ouvrir de nouvelles à la demande, avec une réplication aisée du service frontal, pour absorber le trafic des périodes de pointe propres au e-commerce. "Grâce à AWS, nous avons toujours pu être réactifs pour assurer nos services auprès de plusieurs milliers de marchands inscrits en deux ans avec un flux de transactions qui ne descend jamais en dessous d'une transaction toutes les 30 secondes" note Antoine Grimaud.
En 2016, PayPlug entérine sa certification ACPR incontournable pour devenir une institution financière habilitée à tenir des comptes bancaires. Les niveaux de sécurité proposés par la plateforme d'AWS ont contribué à ce que PayPlug passe avec succès l'audit préalable à la certification de l'ACPR. Antoine Grimaux explique : "La conformité à la norme PCI DSS, que l'utilisation d'AWS permet de respecter, et les accords de niveaux de services d'AWS, entre autres en termes de reprise d'activité, nous ont aidé à décrocher la certification de l'ACPR. Cette certification renforce notre crédibilité auprès des grandes entreprises plus exigeantes sur la sécurité des paiements par carte, d'où de nouvelles opportunités d'affaires favorisées par l'utilisation du Cloud AWS".
La plateforme d'AWS dote aussi l'infrastructure de PayPlug de fortes capacités de protection face aux attaques. Ainsi, PayPlug a fait face à la menace d'une attaque DDOS mais a pu l'éviter grâce à la robustesse des services d'AWS et le support des équipes business et techniques d’AWS. L'équipe d'AWS a guidé PayPlug pour renforcer la sécurité de son infrastructure, entre autres grâce à une migration vers VPC afin de protéger les instances par pare-feu et en activant Amazon CloudFront, un service capable de bloquer les adresses IP selon leur localisation. "Le jour où l'attaque DDOS était attendue, les équipe d'AWS étaient monopolisées et prêtes à intervenir, quoique la menace a été bloquée. Si nous avions du gérer nous-mêmes l'infrastructure face à cette menace DDOS, nous n'aurions jamais été prêts" analyse Naoufel Salem.
Autre avantage à utiliser les services AWS : une fiabilité à la hauteur de la qualité de service requise par PayPlug. "Grâce aux services AWS, nous assurons 99.95% de disponibilité, objectif interne à PayPlug que nous réalisons en continu depuis plusieurs mois" précise Naoufel Salem. De plus, l'infrastructure hébergée chez AWS s'avère parfaitement gérable par une équipe de 3 personnes, sans complexité et sans recours à des ressources ou connaissances supplémentaires.
PayPlug inaugure un nouveau moteur de prédiction de fraude. Pour le moment en version beta, la solution promet de traiter plusieurs centaines de millions de transactions par an. L'équipe de PayPlug aborde ce nouveau challenge sereinement puisqu’elle compte s’appuyer sur AWS pour gérer le grand nombre de données récoltées et utiliser le service AWS Machine Learning pour réduire la complexité et anticiper les nouveaux types de fraude.