Salut Alejandro ! Que fait Apheris et quel est ton rôle ?
Apheris alimente des réseaux fédérés de données sur les sciences de la vie, relevant le défi critique de l'accès aux données propriétaires enfermées dans des silos en raison de préoccupations liées à la propriété intellectuelle et à la protection de la vie privée. Notre produit est une infrastructure informatique fédérée avec des contrôles de gouvernance, de sécurité et de confidentialité, permettant aux organisations des sciences de la vie de former en collaboration des modèles de meilleure qualité sur des données complémentaires provenant de plusieurs parties. Notre équipe est relativement petite (environ 25 ingénieurs), ce qui nous permet de rester agiles, d'essayer de nouvelles choses et d'être les premiers à adopter des technologies comme Aikido.
Je m'appelle Alejandro et je dirige la sécurité, la confidentialité et l'informatique chez Apheris. Avec plus de 12 ans d'expérience dans le domaine, je suis passé de grandes organisations comme Cisco, Rackspace et Auth0 au monde des startups, où je construis des programmes de sécurité, de confidentialité et de conformité (et les équipes qui les soutiennent) à partir de la base. Je m'intéresse à la sécurité du cloud et des applications, à l'infrastructure en tant que code, à l'automatisation et au maintien de la résilience des systèmes et de la confidentialité des données.
Je suis basé sous le soleil d'Alicante, en Espagne. Lorsque le temps le permet, j'aime toujours mettre la main à la pâte : écrire du code, régler les détections et construire des outils internes. Dernièrement, j'ai plongé dans l'IA et l'automatisation, en introduisant des agents adaptés à la gouvernance pour rationaliser les flux de travail de la sécurité et de l'informatique et rendre notre pile un peu plus intelligente (et beaucoup plus efficace).
Quelle est l'importance du défi de la sécurité lorsque l'on travaille avec des clients du secteur pharmaceutique ?
L'enjeu est énorme, et à juste titre. Nous traitons des données sensibles, la sécurité n'est donc pas seulement une bonne pratique, c'est une exigence pour faire des affaires. Prenons un exemple : Pour un contrat d'entreprise, un client nous a demandé de passer quatre tests de pénétration indépendants avant de signer. Cela représente plus de 100 000 euros dépensés par le client juste pour entamer la conversation. Nous avons également mis en place un centre de confiance afin que nos clients ou nos clients potentiels puissent examiner l'ensemble de notre position interne en matière de confidentialité, de sécurité et de conformité. Cela permet également à nos clients de rationaliser et de réduire le temps de réponse d'un ordre de grandeur pour l'examen des fournisseurs et l'évaluation de la conformité.
"Je n'ai jamais vu un tel niveau d'examen avant de signer un contrat. Il n'y a pas de place pour les raccourcis".
Nous avons intégré la protection de la vie privée et la sécurité dans notre produit et nos processus dès le premier jour. Nous apportons notre produit aux données, et non l'inverse. Notre système de formation de modèles fédérés fonctionne sur l'infrastructure du client, comme son compte AWS, de sorte que les données n'ont pas besoin d'être déplacées. Cette configuration maintient la conformité, préserve la confidentialité et s'aligne sur la façon dont les clients pharmaceutiques attendent que leurs données soient traitées. Nous sommes certifiés ISO 27001, SOC 2 Type I et II et conformes au GDPR. La sécurité et la confidentialité ne sont pas une réflexion après coup, elles sont au cœur de notre activité.
Quelles difficultés avez-vous rencontrées avant de passer à l'Aïkido ?
Notre configuration était fragmentée et manquait de centralisation. Nous nous appuyions sur un mélange d'outils open source pour l'analyse secrète : des solutions propriétaires comme Snyk pour la sécurité des conteneurs et la gestion des dépendances, et Detectify pour l'analyse des applications web. Chaque outil avait sa raison d'être, mais le manque de cohésion nous obligeait à déployer des efforts considérables pour que tout reste cohérent, avec beaucoup de ruban adhésif et d'huile de coude (rires).
L'adoption d'Aikido a permis de consolider plusieurs de ces efforts en un seul produit plus unifié, réduisant ainsi les frictions pour l'équipe. Bien qu'il ne s'agisse pas d'une solution miracle, il est devenu un élément important d'une stratégie de sécurité plus large qui comprend toujours d'autres outils et processus auxquels nous attachons de l'importance.
"Nous avions cette surcharge d'une petite équipe qui maintenait plusieurs outils open source. C'était pénible."
Chaque outil vivait dans son propre silo. Il était difficile de gérer les configurations dans les différents référentiels, et encore plus difficile d'obtenir une vue d'ensemble de notre position en matière de sécurité. L'analyse secrète était bruyante. Les résultats de l'analyse des conteneurs n'étaient pas exploitables. Et globalement, la charge de maintenance augmentait au fur et à mesure que nous avions plus de référentiels à analyser. Il était difficile d'agir sur les résultats de Snyk, en particulier pour les ingénieurs qui ont besoin de connaître différents outils et d'interagir avec eux de différentes manières. Même avec notre infrastructure Github en tant que code, maintenir ces outils à jour et fonctionnels est devenu une perte de temps.
"Si, en tant qu'ingénieur en sécurité, je dois passer du temps à déchiffrer les résultats, comment puis-je m'attendre à ce que nos ingénieurs agissent en conséquence ? Ils les ignoreront tout simplement."
Qu'est-ce qui vous a amené à choisir l'Aïkido ?
Nous voulions une plateforme qui nous donne de la visibilité, qui réduise le bruit et qui ne nécessite pas une personne à temps plein pour la surveiller.
Aikido couvre une grande partie de nos besoins dès sa sortie de la boîte. De nombreux outils open source que nous utilisions déjà ont été intégrés dans la plateforme, ce qui nous a donné une impression de familiarité et a réduit nos frais de migration. Grâce à notre approche GitHub "setup-as-code", nous avons pu déployer la plateforme en quelques jours seulement, bien plus rapidement que nous ne l'avions prévu.
Bien sûr, aucun déploiement ne se fait jamais sans effort. Nous avons dû valider nos pipelines et vérifier que la couverture correspondait à nos attentes. Mais dans l'ensemble, Aikido nous a permis d'accélérer le processus et de réduire la charge opérationnelle liée à l'assemblage manuel. Il fait désormais partie intégrante de nos outils de sécurité, même si (comme pour tout fournisseur) nous évaluons et contrôlons en permanence son rôle dans notre modèle de menace.
"Sur la base de notre expérience antérieure, nous nous attendions à une transition lente. Au lieu de cela, nous avons tout migré en une semaine, sans perturber personne".
Qu'est-ce qui a changé après la mise en place de l'Aïkido ?
La différence est flagrante. La sécurité est devenue invisible pour la plupart des développeurs, et c'est une bonne chose.
Aikido a permis aux ingénieurs de voir et de résoudre facilement les problèmes sans avoir à poser des questions à l'équipe de sécurité. Chaque repo contient des informations pertinentes et exploitables. Il est facile pour les ingénieurs de s'auto-servir et de résoudre les problèmes, sans que j'aie besoin de traduire les rapports de sécurité pour eux. Pas de devinettes. Pas de PDF à interpréter. Les intégrations sur les demandes d'extraction et également les IDE sont un plaisir.
Quelle est la fonction qui a eu le plus d'impact sur vous ?
Si je devais en choisir un, ce serait le rapport de comparaison des équipes. Il nous donne une bonne idée des performances des différentes équipes, et nous affichons même le rapport dans Slack. Il ne s'agit pas d'une compétition en soi, mais il s'agit d'une façon saine d'aborder la sécurité sous l'angle du jeu.
Cela dit, AutoFix se distingue également. Non seulement pour ce qu'il fait, mais aussi pour la rapidité avec laquelle l'équipe d'Aikido a réagi à nos commentaires. Au début, nos normes de relations publiques ont empêché Autofix de fonctionner correctement, car nous imposons des normes strictes pour les demandes d'extraction, telles que le titre des relations publiques ou les messages de validation. En quelques semaines, l'équipe a ajouté un support pour notre configuration spécifique.
Nous venions de solutions d'entreprise qui ne réagissaient pas aux commentaires des clients (car nous sommes une petite entreprise), qui nécessitaient de longs tickets de support, même pour des questions mineures, et dont les gestionnaires de compte ne donnaient des nouvelles que juste avant le cycle de renouvellement.
"L'équipe a pris en compte nos commentaires et a livré un correctif en quelques semaines. Ce type de réactivité est important.
Et si vous deviez résumer l'Aïkido en une phrase ?
"L'aïkido, c'est la tranquillité d'esprit de savoir que vos responsabilités en matière de sécurité sont couvertes, de sorte que nos ingénieurs peuvent se concentrer sur l'expédition sans faire de compromis.
La mise en place de la solution Aikido au sein de l'organisation Apheris a été une expérience fantastique. Le produit a permis de rationaliser certaines parties de notre flux de travail, et l'équipe s'est montrée réactive et ouverte aux retours d'expérience, ce que nous apprécions beaucoup. Aikido a rendu certains aspects de nos opérations de sécurité plus fluides et plus faciles à gérer.
Cela dit, aucun outil n'est jamais une solution unique. Nous continuons à évaluer la manière dont il s'intègre dans notre dispositif de sécurité en constante évolution et nous restons attentifs à l'ensemble du paysage des risques. Mais jusqu'à présent, nous sommes des clients satisfaits et nous apprécions le partenariat.
.webp){kind=logo}
.png)