Salut Alejandro ! Que fait Apheris et quel est ton rôle ?

Apheris alimente des réseaux fédérés de données sur les sciences de la vie, relevant le défi critique de l'accès aux données propriétaires enfermées dans des silos en raison de préoccupations liées à la propriété intellectuelle et à la protection de la vie privée. Notre produit est une infrastructure informatique fédérée avec des contrôles de gouvernance, de sécurité et de confidentialité, permettant aux organisations des sciences de la vie de former en collaboration des modèles de meilleure qualité sur des données complémentaires provenant de plusieurs parties. Notre équipe est relativement petite (environ 25 ingénieurs), ce qui nous permet de rester agiles, d'essayer de nouvelles choses et d'être les premiers à adopter des technologies comme Aikido.

Je m'appelle Alejandro et je dirige la sécurité, la confidentialité et l'informatique chez Apheris. Avec plus de 12 ans d'expérience dans le domaine, je suis passé de grandes organisations comme Cisco, Rackspace et Auth0 au monde des startups, où je construis des programmes de sécurité, de confidentialité et de conformité (et les équipes qui les soutiennent) à partir de la base. Je m'intéresse à la sécurité du cloud et des applications, à l'infrastructure en tant que code, à l'automatisation et au maintien de la résilience des systèmes et de la confidentialité des données.

Je suis basé sous le soleil d'Alicante, en Espagne. Lorsque le temps le permet, j'aime toujours mettre la main à la pâte : écrire du code, régler les détections et construire des outils internes. Dernièrement, j'ai plongé dans l'IA et l'automatisation, en introduisant des agents adaptés à la gouvernance pour rationaliser les flux de travail de la sécurité et de l'informatique et rendre notre pile un peu plus intelligente (et beaucoup plus efficace).

Quelle pression vos clients exercent-ils sur vos pratiques en matière de sécurité et de conformité ?

Beaucoup. Et pour cause. Nous traitons des données relatives à la santé et nous vendons nos produits à certains des secteurs les plus réglementés de la planète. Dans le cadre d'un contrat avec une entreprise, le client nous a demandé de nous soumettre à quatre tests de pénétration indépendants avant de signer. Cela représente une dépense de plus de 100 000 euros, juste pour entamer la conversation.

"Je n'ai jamais vu un tel niveau d'examen avant de signer un contrat. Il n'y a pas de place pour les raccourcis".

La sécurité est intégrée à notre produit et à nos processus dès le début. Nous sommes ISO 27001, SOC 2 Type I et II, conformes au GDPR, et nous avons construit un Trust Center pour que les clients puissent facilement voir notre position sans avoir besoin d'envoyer des e-mails. Il s'agit d'instaurer rapidement la confiance.

Comment gériez-vous la sécurité et la conformité auparavant ?

Notre configuration était assez typique d'une équipe qui évolue rapidement : elle était fragmentée et manquait de centralisation. Nous nous appuyions sur un mélange d'outils open source pour l'analyse des secrets, sur Snyk pour la sécurité des conteneurs et la gestion des dépendances, et sur Detectify pour l'analyse des applications web. Chaque outil avait sa raison d'être, mais le manque de cohésion nous obligeait à déployer des efforts considérables pour que tout reste cohérent, avec beaucoup de ruban adhésif et d'huile de coude (rires).

"Nous avions cette surcharge d'une petite équipe qui maintenait plusieurs outils open source. C'était pénible."

Chaque outil avait sa raison d'être, mais aucun ne fonctionnait ensemble. L'analyse des secrets était bruyante et difficile à gérer entre les dépôts, l'analyse des conteneurs était difficile à mettre en œuvre pour les ingénieurs. Même les tâches de conformité de base, comme la collecte de preuves ou le suivi des accords de niveau de service, étaient fragmentées.

Par exemple, il était difficile d'agir sur les résultats de Snyk, en particulier pour les ingénieurs qui ont besoin de connaître différents outils et d'interagir avec eux de différentes manières. Même avec notre infrastructure Github en tant que code, maintenir ces outils à jour et fonctionnels est devenu une perte de temps.

"Si, en tant qu'ingénieur en sécurité, je dois passer du temps à déchiffrer les résultats, comment puis-je m'attendre à ce que nos ingénieurs agissent en conséquence ? Ils les ignoreront tout simplement."

À quoi ressemblait le processus de collecte des preuves de conformité avant de combiner l'aïkido et Vanta ?

Péniblement manuel. Les politiques étaient stockées dans SharePoint. L'intégration et la désinsertion étaient suivies séparément. Pour rassembler les preuves d'audit, il fallait passer d'un outil à l'autre et d'une feuille de calcul à l'autre.

"Manuel, manuel et encore manuel. Chaque cycle d'audit a pesé sur l'activité de l'entreprise."

Nous n'avions pas de vue unifiée des vulnérabilités, de l'inventaire, des risques liés aux fournisseurs, etc. Et pour une petite équipe, ce type de friction opérationnelle peut vraiment ralentir les choses quand elles sont le plus importantes.

Comment décririez-vous le rôle que joue aujourd'hui la technologie dans le soutien de votre posture de sécurité et de conformité ?

La différence est flagrante. La sécurité est devenue invisible pour la plupart des développeurs, et c'est une bonne chose. 

Aikido a permis aux ingénieurs de voir et de résoudre facilement les problèmes sans avoir à poser des questions à l'équipe de sécurité. Chaque repo contient des informations pertinentes et exploitables. Il est facile pour les ingénieurs de s'auto-servir et de résoudre les problèmes, sans que j'aie besoin de traduire les rapports de sécurité pour eux. Pas de devinettes. Pas de PDF à interpréter. Les intégrations sur les demandes d'extraction et également les IDE sont un plaisir.

Aikido et Vanta nous donnent à la fois de la visibilité et de l'automatisation. Aikido recherche en permanence les problèmes et alimente Vanta en données réelles. Ces données comprennent :

• Suivi des vulnérabilités et des correctifs (SLA)
• Détection des logiciels malveillants
• Gestion du changement
• Validation de la configuration de base (via Terraform et IaC)
• Application de la politique de GitHub
• Et formation automatisée à la sensibilisation à la sécurité

"Nous pouvons désormais montrer comment nous respectons les accords de niveau de service et les contrôles, sans avoir à compiler manuellement des rapports.

Vanta sert ensuite de source unique de vérité pour les audits, les examens des clients et la surveillance interne de la GRC. Il relie le tout avec des preuves qui sont prêtes à être vérifiées et qui peuvent être utilisées.

Qu'est-ce qui ressort de l'évaluation des deux outils ?

Pour Aikido, c'est la facilité de déploiement et la convivialité pour les développeurs. Nous nous attendions à une transition douloureuse, mais nous l'avons fait fonctionner dans tous les dépôts en moins d'une semaine. Aikido couvre une grande partie de nos besoins dès sa sortie de la boîte. De nombreux outils open source que nous utilisions déjà ont été intégrés dans la plateforme, ce qui a rendu les choses familières et a réduit nos frais de migration. Grâce à notre approche GitHub "setup-as-code", nous avons pu déployer la plateforme en quelques jours, bien plus rapidement que nous ne l'avions prévu.

"Sur la base de notre expérience antérieure, nous nous attendions à une transition lente. Au lieu de cela, nous avons tout migré en une semaine, sans perturber personne".

Pour Vanta, c'est l'étendue de l'automatisation et la rapidité avec laquelle nous avons pu réduire la collecte manuelle de preuves qui ont été déterminantes. Les intégrations avec Aikido, Microsoft Defender, GitHub et d'autres ont permis de centraliser la conformité.

Ensemble, ils ont réduit les efforts et les risques. Nous avons gagné en visibilité, réduit le bruit et adopté une configuration qui ne nécessite pas une personne à temps plein pour la surveiller.

Pouvez-vous partager un moment où l'Aïkido et Vanta vous ont fait gagner du temps ou du stress ?

Tout à fait. Le rapport de comparaison d'équipe d'Aikido nous donne un excellent aperçu des performances des différentes équipes, et nous affichons même le rapport dans Slack. Il ne s'agit pas de compétition en soi, mais il s'agit d'une façon saine de gamifier la sécurité.

Cela dit, AutoFix se distingue également. Non seulement pour ce qu'il fait, mais aussi pour la rapidité avec laquelle l'équipe d'Aikido a réagi à nos commentaires. Au début, nos normes de relations publiques ont empêché Autofix de fonctionner correctement, car nous imposons des normes strictes pour les demandes d'extraction, telles que le titre des relations publiques ou les messages de validation. En quelques semaines, l'équipe a ajouté un support pour notre configuration spécifique.

Nous venions de solutions d'entreprise qui ne réagissaient pas aux commentaires des clients (car nous sommes une petite entreprise), qui nécessitaient de longs tickets de support, même pour des questions mineures, et dont les gestionnaires de compte ne donnaient des nouvelles que juste avant le cycle de renouvellement.

"L'équipe a pris en compte nos commentaires et a livré un correctif en quelques semaines. Ce type de réactivité est important.

Du côté de Vanta, le fait que les signaux de sécurité d'Aikido soient intégrés dans nos tableaux de bord de conformité signifie que nous n'avons plus à nous démener pour trouver des réponses lorsque les clients nous demandent "Comment gérez-vous les vulnérabilités ?". La réponse est déjà là, avec le contexte et le suivi des accords de niveau de service.

Enfin, comment résumeriez-vous l'impact de l'aïkido et de Vanta ?

"Aikido et Vanta nous apportent la tranquillité d'esprit. La sécurité et la conformité sont couvertes, de sorte que nos ingénieurs peuvent se concentrer sur la construction".