Salut Alejandro ! Que fait Apheris, et quel est votre rôle ?
Apheris alimente les réseaux de données fédérés des sciences de la vie, relevant le défi crucial de l'accès aux données propriétaires cloisonnées en raison de préoccupations liées à la propriété intellectuelle et à la confidentialité. Notre produit est une infrastructure de calcul fédérée dotée de contrôles de gouvernance, de sécurité et de confidentialité, permettant aux organisations des sciences de la vie de former collaborativement des modèles de meilleure qualité sur des données complémentaires provenant de multiples parties. Nous sommes une équipe relativement petite (environ 25 ingénieurs) ce qui nous permet de rester agiles, d'expérimenter de nouvelles approches et d'être des adopteurs précoces de technologies comme Aikido.
Je suis Alejandro et je dirige la sécurité, la confidentialité et l'IT chez Apheris. Avec plus de 12 ans d'expérience dans le domaine, je suis passé de grandes organisations comme Cisco, Rackspace et Auth0 au monde des startups, où je construis des programmes de sécurité, de confidentialité et de conformité (et les équipes qui les soutiennent) à partir de zéro. Mon expertise couvre la sécurité du cloud et des applications, l'infrastructure as code, l'automatisation, et le maintien de la résilience des systèmes et de la confidentialité des données.
Je suis basé à Alicante, en Espagne, sous le soleil. Quand le temps le permet, j'aime toujours mettre la main à la pâte : écrire du code, affiner les détections et construire des outils internes. Dernièrement, je me suis plongé dans l'IA et l'automatisation, en introduisant des agents respectueux de la gouvernance pour rationaliser les workflows de sécurité et IT et rendre notre stack un peu plus intelligent (et beaucoup plus efficace).
Quel type de pression vos clients exercent-ils sur vos pratiques de sécurité et de conformité ?
Beaucoup. Et pour de bonnes raisons. Nous traitons des données de santé et vendons nos solutions aux industries les plus réglementées de la planète. Pour un accord d'entreprise, le client nous a demandé de subir quatre tests d'intrusion indépendants avant de signer. Cela représente plus de 100 000 € dépensés de leur côté juste pour entamer la discussion.
« Je n'ai jamais vu un tel niveau de minutie avant de signer un contrat. Il n'y a pas de place pour les raccourcis. »
La sécurité est intégrée à nos produits et processus dès le départ. Nous sommes conformes ISO 27001, SOC 2 Type I et II, GDPR, et nous avons construit un Trust Center pour que les clients puissent facilement consulter notre posture de sécurité sans avoir besoin d'échanger des e-mails. Il s'agit avant tout d'établir la confiance, rapidement.
Comment gériez-vous la sécurité et la conformité auparavant ?
Notre configuration était assez typique pour une équipe en évolution rapide : fragmentée et manquant de centralisation. Nous nous appuyions sur un mélange d'outils open source pour l'analyse des secrets, Snyk pour la sécurité des conteneurs et la gestion des dépendances, et Detectify pour l'analyse d’applications web. Chaque outil avait son utilité, mais le manque de cohésion nous obligeait à déployer des efforts considérables pour tout maintenir ensemble avec beaucoup de « duct tape » et d'huile de coude (rires).
« Nous avions cette surcharge d'une petite équipe qui maintenait plusieurs outils open source. C'était pénible. »
Chaque outil avait son utilité, mais aucun ne fonctionnait de concert. Le balayage des secrets était générateur de faux positifs et difficile à gérer entre les dépôts, l'analyse des conteneurs était difficile à exploiter pour les ingénieurs. Même les tâches de conformité de base, comme la collecte de preuves ou le suivi des SLA, étaient fragmentées.
Par exemple, les résultats de Snyk étaient difficiles à exploiter, surtout pour les ingénieurs qui doivent connaître différents outils et interagir avec eux de différentes manières. Même avec notre infrastructure as code sur Github, maintenir ces outils à jour et fonctionnels est devenu une perte de temps.
« Si moi, en tant qu'ingénieur de sécurité, je dois passer du temps à déchiffrer les résultats, comment puis-je m'attendre à ce que nos ingénieurs agissent en conséquence ? Ils l'ignoreront tout simplement. »
Comment se déroulait le processus de collecte de preuves de conformité avant de combiner Aikido avec Vanta ?
Extrêmement manuel. Les politiques étaient stockées dans SharePoint. L'intégration et le départ des employés étaient suivis séparément. La collecte des preuves d'audit nécessitait de jongler entre plusieurs outils et feuilles de calcul.
« Manuel, manuel, et encore manuel. Chaque cycle d'audit entraînait une charge pour l'entreprise. »
Il nous manquait une vue unifiée des vulnérabilités, de l'inventaire, des risques fournisseurs, et j'en passe. Et pour une petite équipe, ce genre de friction opérationnelle peut vraiment ralentir les choses au moment le plus critique.
Comment décririez-vous le rôle que joue désormais la technologie dans le soutien de votre posture de sécurité et de conformité ?
La différence est flagrante. La sécurité est devenue invisible pour la plupart des développeurs, et c'est une bonne chose.
Aikido a permis aux ingénieurs de visualiser et de résoudre facilement les problèmes sans avoir à renvoyer les questions à l'équipe de sécurité. Chaque repo fournit des informations pertinentes et exploitables. Il est facile pour les ingénieurs de s'autonomiser et de résoudre les problèmes, sans que j'aie besoin de traduire les rapports de sécurité pour eux. Pas de conjectures. Pas de PDF à interpréter. Les intégrations sur les pull requests et les IDEs sont un vrai plaisir.
Aikido et Vanta nous offrent à la fois visibilité et automatisation. Aikido scanne continuellement les problèmes et alimente Vanta avec des données réelles. Cela inclut :
- Suivi des SLA de vulnérabilités et de patchs
- Détection de malwares
- Gestion des changements
- Validation de la configuration de base (via Terraform et IaC)
- Application des politiques GitHub
- Et une formation automatisée de sensibilisation à la sécurité
« Désormais, nous pouvons démontrer que nous respectons les SLA et les contrôles, sans compiler manuellement des rapports. »
Vanta agit alors comme notre source unique de vérité pour les audits, les avis clients et la supervision GRC interne. Il relie tout avec des preuves prêtes pour l'audit et exploitables.
Qu'est-ce qui a retenu l'attention lors de l'évaluation des deux outils ?
Pour Aikido : ce fut la facilité de déploiement et son approche dev-friendly. Nous nous attendions à une transition difficile, mais nous l'avons déployé sur tous les repos en moins d'une semaine. Aikido couvre une grande partie de nos besoins dès la première utilisation. De nombreux outils open source que nous utilisions déjà étaient intégrés à la plateforme, ce qui a rendu les choses familières et a réduit nos coûts de migration. Grâce à notre approche de configuration as code sur GitHub, nous avons pu le déployer sur tous les dépôts en quelques jours seulement, bien plus rapidement que nous ne l'avions initialement prévu.
« Basés sur notre expérience précédente, nous nous attendions à une transition lente. Au lieu de cela, nous avons tout migré en une semaine, sans perturber personne. »
Pour Vanta : ce fut l'étendue de l'automatisation et la rapidité avec laquelle nous avons pu réduire la collecte manuelle de preuves. Les intégrations avec Aikido, Microsoft Defender, GitHub et d'autres en ont fait la solution idéale pour centraliser la conformité.
Ensemble, ils ont réduit à la fois l'effort et le risque. Nous avons gagné en visibilité, réduit le bruit, et sommes passés à une configuration qui ne nécessite pas une personne à temps plein pour la surveiller.
Pouvez-vous nous raconter un moment où Aikido et Vanta vous ont fait gagner du temps ou réduit votre stress ?
Absolument. Le rapport de comparaison des équipes d'Aikido (Team Comparison Report) nous offre une excellente perspective sur les performances des différentes équipes, et nous publions même le rapport sur Slack. Il ne s'agit pas de compétition en soi, mais cela gamifie clairement la sécurité de manière saine.
Cela dit, AutoFix se distingue également. Non seulement pour ce qu'il fait, mais aussi pour la rapidité avec laquelle l'équipe Aikido a réagi à nos retours. Au début, nos standards de PR empêchaient Autofix de fonctionner correctement, car nous exigeons des standards stricts pour les pull requests, tels que le titre de la PR ou les messages de commit. En quelques semaines, l'équipe avait ajouté le support pour notre configuration spécifique.
Nous venions de solutions d'entreprise qui ne répondaient pas aux retours clients (étant une petite structure), nécessitaient de longs délais pour les tickets de support, même pour des problèmes mineurs, et où l'on n'entendait parler de nos gestionnaires de compte qu'avant le cycle de renouvellement.
« L'équipe a pris en compte nos retours et a livré un correctif en quelques semaines. Une telle réactivité est cruciale. »
Du côté de Vanta, le fait que les signaux de sécurité d'Aikido alimentent nos tableaux de bord de conformité signifie que nous n'avons plus à chercher désespérément des réponses lorsque les clients demandent, « Comment gérez-vous les vulnérabilités ? » Tout est déjà là, avec le contexte et le suivi des SLA.
Et enfin : comment résumeriez-vous l'impact d'Aikido et de Vanta ?
« Aikido et Vanta nous offrent une tranquillité d'esprit. La sécurité et la conformité sont couvertes, ce qui permet à nos ingénieurs de se concentrer sur le développement. »
