Comment la start-up PayPlug a pu concurrencer les banques grâce à AWS

PayPlug propose aux e-commerçants une alternative à la page de paiement que les banques glissent sur leurs sites. Il fallait une infrastructure hautement disponible et certifiée par les organismes financiers que la start-up aurait été incapable de fournir sans AWS.

Un outillage d’administration ultra simple, une conformité aux normes les plus rigoureuses et une qualité hors pair du support client. Telles sont en substance les qualités que la start-up française Payplug reconnaît à AWS, le Cloud public d’Amazon qui lui a permis de concrétiser son activité. « Quand on lance une start-up, on n’a aucune idée de l’infrastructure IT qui sera nécessaire. Avec AWS, c’est facile, nous activons des serveurs quand nous en avons besoin et il nous suffit d’une personne à mi-temps pour gérer notre parc de VM. AWS nous coûte 2% environ de notre chiffre d’affaires. Et encore, nous pourrions optimiser ce coût car nous laissons certainement tourner des VM quand elles ne sont pas utilisées », déclare ainsi Camille Tyan, le PDG de PayPlug, que LeMagIT a rencontré lors du salon AWS Summit qui se tenait à Paris le 31 mai.

PayPlug apporte aux PME et TPE des solutions pour accepter les paiements en ligne sur leurs sites. Il s’agit d’une brique qui s’intègre soit automatiquement dans les sites d’e-commerce basés sur les frameworks classiques (Magento, Prestashop...), soit via une API pour les sites développés sur mesure. « Non seulement notre solution permet de déployer une facilité de paiement en deux heures et demi sur un site, contre une semaine pour intégrer la page d’une banque, mais en plus elle est totalement personnalisable, avec une mise en page et des icônes qui s’adaptent à l’affichage d’un mobile, quand la page d’une banque sera illisible sur un petit écran ou qu’elle fera apparaître un clavier sans chiffre pour saisir un numéro de carte de crédit », indique Camille Tyan.

Le vrai avantage technique d’AWS : être certifié PCI-DSS

Techniquement, l’API comme la page de paiement customisée fonctionnent sur les serveurs d’AWS, sur lesquels reposent toutes les exigences de rapidité d’accès et de sécurité. Incidents majeurs mis à part (en novembre dernier, tout l’Internet irlandais a ralenti durant 5 heures, impactant tous les hébergeurs qui y ont logés leurs datacenters, dont AWS), les clients de PayPlug sont satisfaits de la fiabilité du service. Les ingénieurs de la startup se félicitent d’avoir des outils comme le Security Group qui leur évite d’avoir à re-paramétrer les niveaux de droits d’accès à chaque nouvelle VM.

Camille Tyan avoue ne pas avoir comparé la rapidité et les outils d’AWS à ceux de ses concurrents. En revanche, s’il a choisi AWS, c’est d’abord parce qu’il était le seul, en 2013, à être certifié PCI-DSS. « Cette certification est obligatoire dès lors que l’on motorise une page de paiement. Avoir la certification PCI-DSS est critique pour nous, car notre valeur est justement d’offrir une alternative aux pages de paiements que les banques proposent aux e-commerçants. Lorsque nous nous sommes lancés, un prestataire nous a dit que nous étions trop petits, que ce serait trop compliqué pour nous d’obtenir ce sésame. Mais il a changé d’avis quand nous lui avons dit que nos serveurs seraient hébergés chez AWS », raconte le PDG de PayPlug.

Il a surtout apprécié qu’AWS l’accompagne dans la démarche. Lorsque PayPlug se fait audité par Mastercard, l’hébergeur de Cloud fournit dans les 24 heures un livre blanc sur la façon dont AWS gère la sécurité bien au-delà des exigences de PCI-DSS et des copies de ses propres rapports d’audit. « AWS parlait le même langage que l’auditeur, ce qui nous a enlevé une énorme épine du pied et ce qui nous a permis à nous, toute petite start-up naissante, de concurrencer les établissements bancaires sur un sujet aussi sensible que la sécurité », se félicite Camille Tyan. 

Un support client particulièrement prévenant

Cette question de certification est au cœur de la fidélité de PayPlug envers AWS. « Nous sommes régulièrement démarchés par d’autres fournisseurs de Cloud. Certains sont prêts à nous faire des dizaines de milliers d’euros de ristournes pour que nous quittions AWS. Mais c’est à chaque fois sur cette question de PCI-DSS que les commerciaux échouent : ils nous répondent qu’ils vont se renseigner et qu’ils reviendront vers nous. Cela n’a rien à voir avec le service dont nous bénéficions chez AWS, où nous avons un Account Manager dédié qui nous assiste régulièrement », ajoute le PDG.

Il raconte ainsi avoir récemment amélioré son infrastructure pour prémunir les services de PayPlug contre les attaques de type DDOS. « Ce n’est pas un sujet qui concerne AWS puisqu’il s’agit de la manière dont nous gérons notre infrastructure. Mais, par acquis de conscience, nous avons tout de même appelé notre account manager pour avoir un avis. Il a mis notre CTO en relation avec un expert qui s’est entretenu une heure au téléphone avec lui. L’expert a revu tous nos choix, nous a fait des remarques et nous a proposé d’utiliser certains outils. Deux semaines plus tard, il nous rappelait pour savoir si tout ce passait bien. Il avait même pris l’initiative de vérifier notre déploiement », applaudit Camille Tyan.

Il apprécie aussi que son account manager l’appelle un mois et demi à l’avance pour le prévenir d’une opération de maintenance sur le datacenter d’AWS et lui indique la procédure à suivre pour ne pas subir d’interruption de services.

Mais trop d’outils

Il y a cependant un reproche que Camille Tyan fait à AWS : l’hébergeur publie trop de nouveaux outils trop souvent, au point que l’offre en devient illisible. « Par exemple, nous allons lancer en juin un nouveau module de Machine Learning qui permet aux e-commerçants de détecter une fraude. Nous avons tout développé nous-mêmes, nous n’avons pas utilisé le module de Machine Learning d’AWS car personne ne nous avait dit qu’il pouvait faire ce que nous voulions. Avec trois nouveaux outils par semaine, nous n’avons tout simplement pas le temps de lire toutes les documentations à chaque fois », lance le PDG de PayPlug. 

Fonctionnant sur l’analyse comportementale  - notamment en détectant des bizarreries comme un client qui effectue des achats depuis soi-disant un iPhone alors que son système affiche les polices de Windows, ou encore une saisie de No de carte bancaire trop rapide - ce nouveau système d’intelligence artificielle mis au point par PayPlug contribuera surtout à discerner le gros des clients non-suspects afin de leur éviter la contrainte de passer par le système d’authentification par code SMS 3DS. « Le problème de 3DS est qu’il réduit de 20% les ventes, parce que les clients n’ont pas leur smartphone à côté pour lire le SMS, ou alors parce qu’ils trouvent cela compliqué, etc. Du coup, les e-commerçants se retrouvent à devoir arbitrer entre être victime de fraude ou perdre un cinquième de leur CA. Avec notre système, le 3DS ne se déclenche qu’en cas de suspicion de fraude, ce qui fera chuter le taux d’achats non aboutis à 2 ou 3% », détaille Camille Tyan.

Cela dit, Camille Tyan pense tenir avec son nouveau moteur de Machine Learning un vrai patrimoine valorisable. « Le but est de rendre un meilleur service à nos clients, pas de revendre notre technologie. Néanmoins, je me dis que nous avons finalement plus la main sur cette propriété intellectuelle que si nous étions passés par les fonctions clés en main d’AWS », conclut-il.

 

Pour approfondir sur IaaS