
Présentation du client
Client : Treezor
Secteur d’activité : Fintech, Banque, Paiement
Activités : Treezor est le pionnier français du Banking-as-a-Service (BaaS). Établissement de Monnaie Électronique agréé par l’ACPR et membre principal du réseau Mastercard, Treezor fournit via API l’ensemble de la chaîne des paiements (émission de cartes, tenue de compte, flux SEPA, KYC…) à des fintechs et entreprises innovantes. Treezor compte ou a pu compter comme clients des fintechs comme Qonto, Swile ou Shine.
Filiale du groupe Société Générale, Treezor accompagne plus d’une centaine de clients dans leurs projets de finance embarquée et opère dans 25 pays. Dans ce contexte fortement régulé, la sécurité et la fiabilité de la plateforme sont des enjeux critiques : chaque évolution logicielle doit être validée sans compromis sur la conformité réglementaire.
Mission
Durée
Mission longue d’un an (2023–2024), au sein des équipes rennaises de Treezor, en tant qu’Ingénieur Test/QA senior.
Contexte
La plateforme Treezor est composée de nombreux services : des API de paiement consommées par les clients fintechs, mais aussi des outils internes comme le back-office utilisé par les équipes opérationnelles pour gérer les parcours clients.
Plusieurs équipes de développement travaillent en parallèle sur ces différents périmètres. La mission consistait à intervenir sur l’automatisation des tests, avec trois enjeux principaux :
- Fiabiliser les parcours critiques du back-office web utilisé au quotidien par les équipes internes ;
- Automatiser les tests des API validant les parcours impliquant de l’authentification forte (SCA : Strong Customer Authentication) ;
- Contribuer à la certification PCI DSS, le standard de sécurité incontournable pour tout acteur qui traite des données de cartes bancaires.
Sur ce dernier point, la difficulté était réelle : ce type de fonctionnalité est généralement validé à la main, car automatiser des tests sur une fonctionnalité reposant sur du chiffrement nécessite un développement d’outils spécifiques.
Comment alors tester automatiquement sans court-circuiter la sécurité du chiffrement ?
Travail réalisé
Automatisation des parcours « client » sur le back-office web
J’ai automatisé les parcours « client » les plus critiques du back-office, via son interface web, en utilisant Playwright piloté par Robot Framework.
Ces parcours de bout en bout reproduisent les opérations les plus courantes réalisées par les équipes internes. Les scénarios ont été définis en amont par le Product Owner au travers des différents personas identifiés (agent bancaire, gestionnaire de fraude/vol, etc.).
Leur exécution automatique et régulière dans la CI (GitLab CI) permet de détecter les régressions avant qu’elles n’impactent les utilisateurs.
Automatisation des tests d’API avec authentification forte
J’ai mis en place des tests automatiques d’API couvrant différents parcours avec authentification forte (SCA), en méthodologie BDD (Behavior Driven Development).
L’approche BDD a permis une bonne coordination avec les développeurs pour décrire les différents scénarios de test dans un vocabulaire proche du métier.
Automatiser les tests d’une fonctionnalité PCI DSS reposant sur du chiffrement
Le standard PCI DSS (Payment Card Industry Data Security Standard) est un standard de sécurité international visant à protéger les données des cartes de paiement contre les fraudes et les fuites. Il repose techniquement sur deux mécanismes complémentaires : le chiffrement, qui rend les données sensibles « illisibles » pour quiconque n’en est pas le destinataire légitime, et la signature numérique, qui garantit leur intégrité et leur authenticité.
Une telle fonctionnalité doit être irréprochable en termes de fiabilité. Or, elle était validée manuellement, faute de solution d’automatisation :
- Ni Playwright, ni même Robot Framework ne proposent, via leurs librairies « standards », de quoi manipuler des algorithmes de chiffrement et de signature dans un test ;
- Il n’était pas question de « tricher » en désactivant ou en contournant les mécanismes de sécurité pour rendre les tests possibles : cela reviendrait à ne pas tester la fonctionnalité réelle.
L’enjeu était donc de développer une librairie de test spécifique :
- suffisamment technique pour implémenter les algorithmes de chiffrement et de signature nécessaires aux échanges avec l’API ;
- suffisamment simple d’utilisation pour que les mots-clés exposés s’intègrent naturellement dans les scénarios Robot Framework, sans exiger de chaque testeur une expertise en cryptographie.
C’est ce développement sur mesure, en Python, qui a rendu l’automatisation possible : les tests s’exécutent en continu dans la CI et vérifient en permanence que la fonctionnalité est opérationnelle. Les validations manuelles ont pu être réservées au test exploratoire et aux vérifications d’UX, bien mieux adaptés à nous, humains.
Accompagnement technique transverse
Au-delà de l’écriture de tests, une partie de la mission a consisté à accompagner les différentes équipes sur :
- les problématiques liées à Robot Framework et Python ;
- les bonnes pratiques d’automatisation : structuration du code de test, lisibilité, maintenabilité, robustesse des sélecteurs et des scénarios ;
- l’amélioration de l’intégration continue et du processus de livraison du framework de test commun.
Cet accompagnement s’inscrit dans une logique de montée en compétences des équipes, pour qu’elles soient autonomes sur l’automatisation dans la durée.
Environnement technique
Robot Framework, Playwright, Python, ReportPortal, AWS, GitLab CI, cryptographie.
Résultats obtenus
- Contribution à l’obtention de la certification PCI DSS : la fonctionnalité de contrôle d’accès chiffrée, un point critique de la plateforme, est désormais testée automatiquement et en continu, sans court-circuiter la sécurité ;
- Amélioration de l’efficacité des tests automatiques : des parcours critiques (back-office, API avec authentification forte) couverts par des tests fiables, exécutés en continu dans la CI ;
- Diminution de longues validations manuelles sur les périmètres automatisés : l’effort humain est recentré sur d’autres tâches où il apporte le plus de valeur ;
- Montée en compétences des équipes sur Robot Framework, Python et les bonnes pratiques d’automatisation.

Laisser un commentaire