News

The Insiders – David Biczok Interview

1. Bonjour David, pouvez-vous nous parler de vous et de votre rôle en tant que Head of Risk chez Payconiq Luxembourg ?

J’ai rejoint Payconiq en tant que responsable des risques au début de l’année 2024, après avoir passé plus de 16 ans dans l’industrie des paiements en ligne. Tout au long de ma carrière, j’ai acquis une vaste expérience dans divers domaines, notamment la gestion des risques, la protection des données, la finance, les paiements, l’externalisation, la continuité des activités et la gestion de projet. J’ai eu l’occasion de travailler dans des environnements réglementés et non réglementés, ce qui m’a permis de mieux comprendre le secteur. J’ai commencé ma carrière à Budapest, en travaillant pour un fournisseur de services de paiement en ligne, avant d’arriver au Luxembourg il y a plus de dix ans. Là, j’ai travaillé pour un commerçant en ligne coté à la bourse française et j’ai ensuite rejoint un établissement de monnaie électronique réglementé. Dans cet établissement, j’avais une double casquette, celle de responsable des risques et celle de délégué à la protection des données. Toutes ces expériences m’ont naturellement conduit à mon poste actuel chez Payconiq. Chez Payconiq, je supervise l’ensemble de la fonction risque, en veillant à ce que le risque soit un élément clé dans les décisions stratégiques de l’entreprise. En outre, je gère les audits de Payconiq, la conformité réglementaire, les politiques et les procédures, ainsi que l’externalisation et la gestion des fournisseurs tiers. Je suis également très impliqué dans les initiatives de continuité des activités et de sécurité de l’information. C’est un rôle qui réunit tous les aspects de la gestion des risques et des opérations qui m’ont passionné tout au long de ma carrière.

2. Comment votre équipe collabore-t-elle avec les services de cybersécurité pour se protéger contre les violations de données et la fraude aux paiements ? 

Chez Payconiq, la conformité et la sécurité sont des priorités absolues. Nous nous alignons sur toutes les réglementations applicables et mettons en œuvre de solides mesures de sécurité de l’information et de protection des données qui adhèrent aux normes et aux meilleures pratiques de l’industrie. Mon équipe joue un rôle clé à cet égard, en travaillant en étroite collaboration avec divers départements – tels que nos équipes dédiées à la sécurité et à l’informatique, le délégué à la protection des données, la conformité, les produits, les équipes juridiques et financières – pour s’assurer que les considérations de risque et de sécurité sont intégrées dans chaque décision. Au-delà des audits réglementaires obligatoires, nous menons également de nombreux audits de sécurité de l’information afin d’améliorer en permanence notre résilience opérationnelle. La formation des employés est également une priorité. Nous organisons régulièrement des sessions sur les cybermenaces, la protection des données, le phishing, l’ingénierie sociale et les logiciels malveillants, afin que chacun soit en mesure d’identifier les risques potentiels et d’y répondre. À l’heure actuelle, comme de nombreux acteurs du secteur financier, nous nous préparons à l’entrée en vigueur du règlement DORA. Nous avons mis en place un groupe de travail réunissant des membres des équipes de sécurité, d’informatique, de gestion des risques et des équipes juridiques. Cette approche collaborative nous permet de nous assurer que nous prenons en compte tous les aspects de la résilience opérationnelle numérique alors que nous nous efforçons de répondre aux nouvelles exigences.

3. Quels critères utilisez-vous pour évaluer le profil de risque des partenaires et des prestataires de services de paiement avec lesquels vous travaillez ?

Chez Payconiq, nous respectons strictement les exigences des lignes directrices de l’ABE sur l’externalisation, de la circulaire 22/806 et des réglementations DORA à venir lorsqu’il s’agit de fournisseurs tiers. Pour nous assurer que nous ne travaillons qu’avec des fournisseurs fiables et dignes de confiance, nous procédons à des vérifications préalables et à des évaluations des risques approfondies, en faisant appel à différents départements pour prendre des décisions en connaissance de cause. L’équipe juridique de Payconiq joue un rôle crucial dans ce processus, en nous aidant à identifier et à réduire les risques juridiques, et en s’assurant que tous les contrats des fournisseurs incluent les dispositions nécessaires. Nous collaborons également étroitement avec notre DPO afin de gérer efficacement les problèmes liés à la protection de la vie privée. Notre équipe chargée de la sécurité est également impliquée, car elle veille à ce que nos fournisseurs mettent en œuvre des contrôles de sécurité de l’information appropriés, conformes aux normes du secteur. En ce qui concerne les risques, nous contrôlons en permanence les performances de nos fournisseurs et leur conformité aux exigences réglementaires. Nous prenons la gestion des fournisseurs très au sérieux. C’est un élément essentiel de la fourniture de services exceptionnels à nos clients, utilisateurs et commerçants.

4. Comment encouragez-vous une culture du risque au sein de Payconiq, en particulier au sein des équipes qui ne sont pas directement impliquées dans la gestion du risque ?

Au fil des ans, Payconiq a développé une approche fortement axée sur le risque, soutenue par un cadre de gestion du risque mature. Les réunions régulières du comité des risques, organisées par le département des risques, en sont un aspect essentiel. Ces réunions rassemblent les chefs de département, dont l’expertise et la contribution sont essentielles à la promotion d’une culture du risque au sein de l’entreprise. Le comité des risques joue le rôle d’organe consultatif auprès des différents conseils d’administration de Payconiq, en offrant une plateforme de dialogue ouvert. Les membres peuvent soulever n’importe quel sujet de discussion, ce qui non seulement renforce la prise de décision, mais garantit également que les considérations de risque sont intégrées dans nos opérations. Le comité joue un rôle essentiel en tant que point d’entrée pour les informations nécessitant des décisions ou des approbations, ce qui renforce l’importance de la sensibilisation aux risques dans nos activités quotidiennes. En outre, le département des risques gère une « Policy House », une sorte de ressource centralisée où toutes nos politiques sont facilement accessibles aux employés. Cela permet au personnel de toute l’organisation de se familiariser avec nos processus, non seulement en matière de gestion des risques, mais aussi dans d’autres domaines opérationnels, ce qui favorise une compréhension plus complète de notre mode de fonctionnement.

5. Comment alignez-vous la stratégie de gestion des risques sur les objectifs commerciaux globaux de Payconiq ? 

Chez Payconiq, notre cadre de gestion des risques est conçu pour être simple et efficace, notre appétit pour le risque étant au cœur de tout ce que nous faisons. Nous fixons notre appétit pour le risque à un niveau qui permet la croissance, tout en maintenant un profil de risque sain. Je dirais qu’il s’agit de trouver le bon équilibre. Nous contrôlons en permanence notre déclaration sur l’appétit pour le risque par rapport à notre profil de risque réel et à nos résultats commerciaux, afin de nous assurer qu’ils restent alignés. Cette approche est intégrée dans tous nos processus opérationnels. Le département des risques travaille en étroite collaboration avec différentes équipes pour fournir des évaluations des risques, mettre en œuvre des contrôles et assurer un suivi adéquat. En résumé, nous opérons dans un cadre de gestion des risques rationalisé où le risque est un élément clé du processus de prise de décision. Notre stratégie de gestion des risques est pleinement intégrée dans la stratégie générale de l’entreprise, ce qui renforce son importance dans l’ensemble de l’organisation.