Athumi joue un rôle central dans l'échange de données fiables en Flandre, l'une des trois régions de Belgique (représentant environ 60 % de la population belge). En tant qu'intermédiaire de données, sa mission exige les plus hauts niveaux de protection des données, de conformité et d'autonomisation des développeurs. Nous nous sommes entretenus avec David Van den Brande, directeur technique d'Athumi, pour savoir comment l'entreprise a développé sa maturité en matière de sécurité et pourquoi Aikido est devenu un partenaire clé dans ce parcours.
"Aikido est un partenaire dynamique qui réagit exactement au bon moment et avec la bonne orientation pour répondre au besoin croissant d'une cybersécurité efficace.
Pouvez-vous vous présenter et expliquer votre rôle chez Athumi ?
Je travaille chez Athumi depuis le début, lorsque nous étions encore un programme au sein de Digitaal Vlaanderen, une agence du gouvernement flamand qui travaille sur la transformation numérique des services publics. Je supervise à la fois la technologie et l'infrastructure, en guidant les décisions architecturales pour assurer la cohérence, l'agilité et l'adéquation stratégique dans l'ensemble de l'organisation.
Ce qui m'a attiré, c'est l'ampleur du défi : fusionner des systèmes existants avec de nouvelles plateformes, équilibrer des équipes de développement décentralisées avec une gouvernance unifiée pour garantir des normes de qualité élevées et une conformité au niveau de l'entreprise. Vous devez faire tout cela tout en menant des projets d'innovation ambitieux et en tirant parti de la technologie pour établir et cultiver la collaboration entre les partenaires publics et privés.
Quelle est la mission d'Athumi et comment soutenez-vous le gouvernement belge ?
Athumi a été créé dans le cadre du plan de relance de la résilience flamande pendant la période COVID afin de soutenir la reprise économique en Flandre, en Belgique. Nous agissons en tant qu'intermédiaire de données auquel les gouvernements et les organisations privées font confiance pour faire circuler les données personnelles et professionnelles en toute sécurité.
Le GDPR et le NIS2 ont créé d'importantes protections, mais ils ont également rendu difficile la communication entre les systèmes. Nous avons constaté une lacune sur le marché : comment déverrouiller les données sans violer la confiance ? Athumi aide à combler cette lacune, d'un point de vue technique, juridique et organisationnel.
Quelle est l'importance de la sécurité dans votre travail ?
La sécurité est au cœur de toutes nos activités. Nous traitons à la fois des données personnelles et des informations commerciales confidentielles. La confiance n'est pas négociable. Tout notre écosystème en dépend.
C'est pourquoi nous avons investi très tôt dans un système de gestion de la sécurité de l'information (SGSI), engagé un RSSI et structuré notre organisation de manière à ce que la cybersécurité devienne une responsabilité du conseil d'administration.
Quelles difficultés avez-vous rencontrées avant de travailler avec l'Aïkido ?
Nous avons dû relever de nombreux défis :
- Fragmentation: Nous avions plusieurs cibles d'hébergement, chacune avec son propre pipeline CI/CD et des règles de déploiement spécifiques.
- Frais généraux liés à la conformité: Les audits centralisés se heurtaient aux flux de travail propres à chaque équipe.
- Distance des développeurs par rapport au risque: Les développeurs n'étaient pas toujours conscients de l'impact sur la sécurité jusqu'à un stade avancé du cycle.
- Manque de visibilité: Les dirigeants ne pouvaient pas dire en toute confiance "nous fournissons du code sécurisé".
La sensibilisation à la sécurité est très variable. Alors que le conseil d'administration avait besoin d'une assurance claire, les développeurs avaient besoin d'outils tangibles et exploitables. L'expression "joindre le geste à la parole" ne fonctionne que si les gens ont les moyens d'aller jusqu'au bout.
"Je ne voulais pas être l'outsider - le directeur technique - qui imposait la sécurité de haut en bas. L'aïkido aide les développeurs à progresser en apprenant le codage sécurisé dans son contexte ; chaque vulnérabilité qu'ils corrigent les rend plus aptes à prévenir la suivante."
Quel a été l'élément déclencheur de la formalisation de votre approche de la sécurité ?
Lorsque nous avons unifié notre paysage d'hébergement précédemment fragmenté entre les équipes, cela nous a permis de faire table rase pour redéfinir notre pipeline CI/CD. Notre comité consultatif, composé d'experts indépendants en sécurité, nous a mis au défi : "Comment allez-vous sécuriser ce nouveau pipeline dès sa conception ?
Cela nous a amenés à explorer des solutions qui soutiennent les équipes décentralisées, sans imposer un pipeline unique.
Comment avez-vous découvert l'Aïkido ?
Aikido nous est apparu grâce à un mélange de recommandations de pairs et d'avis du comité consultatif. Nous étions en train de cartographier le processus CI/CD sécurisé idéal, en évaluant la façon dont les équipes travaillaient. Aikido s'est distingué par sa flexibilité : il s'intègre parfaitement aux flux de travail existants de l'équipe, qu'il s'agisse de MOB'ing sur main, de travailler avec des branches de fonctionnalités, ou d'expédier via des PR.
L'équipe peut garder le contrôle, tout en bénéficiant de contrôles de sécurité clairs et automatisés.
Qu'est-ce qui est ressorti de votre évaluation ?
Trois éléments ressortent :
- Retour d'information des développeurs sur leur lieu de travail : Nos équipes apprennent par la pratique, et non en suivant des cours de sécurité formels. L'aïkido correspond à cet état d'esprit.
- Non-intrusivité : Il fonctionne comme un sidecar. Il complète nos flux de travail sans les bloquer.
- Valeur immédiate : Les développeurs obtiennent rapidement des informations qui les aident à résoudre les problèmes en cours de travail.
"La boucle de rétroaction est instantanée. Les développeurs n'ont pas besoin de cours de formation, ils apprennent en faisant, et l'aïkido les y aide".
Comment s'est déroulée l'intégration ?
Nous avons commencé simplement : Plugins IDE, alertes Slack, intégration Jira, pour que les équipes puissent commencer à voir des résultats immédiatement. La faible barrière à l'entrée était la clé. Maintenant, nous avons étendu la sécurité d'exécution et la configuration du cloud. Vous pouvez l'adapter à votre rythme, équipe par équipe.
"Ce n'est pas intégré, c'est un side-car. Vous gardez le contrôle de votre processus de production, tandis qu'Aikido rend la sécurité visible et exploitable."
Comment l'Aïkido a-t-il changé votre façon de travailler ?
La sécurité n'est plus un obstacle ou un silo. C'est une habitude : elle fait partie de la manière dont nos équipes livrent le code. Nous sommes en train de l'établir activement :
- Sensibilisation accrue des développeurs
- Remédier plus rapidement aux vulnérabilités
- Une meilleure préparation à l'audit
- Tableaux de bord centraux pour la transparence
"Aikido nous aide à joindre le geste à la parole en transformant nos engagements en matière de sécurité en actions concrètes dans les environnements de développement et d'exécution.
A-t-il contribué au respect de la législation ?
Absolument. Nous travaillons à l'obtention de la certification ISO et l'Aïkido joue un rôle important dans la documentation, le suivi et la communication de notre position en matière de sécurité.
La sécurité n'est pas une case à cocher, avec l'Aïkido, nous l'améliorons structurellement et faisons preuve de maturité sans effort, à tout moment.
Que diriez-vous à d'autres responsables de la technologie gouvernementale ?
Commencez par la confiance. N'imposez pas d'outils, mais donnez à vos équipes les bons outils. La sécurité n'est pas une fonction d'arrière-guichet. C'est une question de produit, une question de plateforme et un outil de travail.
L'aïkido évolue avec nous. Il ne nous enferme pas dans une seule méthode de travail. Cette flexibilité est cruciale lorsqu'il s'agit de gérer des équipes décentralisées et d'augmenter la conformité simultanément.
En quoi le fait que l'Aïkido soit européen est-il important ?
Elle est plus importante qu'on ne le pense. La sécurité est stratégique. Soutenir l'innovation européenne est conforme à nos valeurs en matière de résilience économique, de souveraineté, de confiance et de respect du cadre réglementaire européen en constante évolution. Avoir un partenaire européen (et, dans notre cas, belge) qui comprend notre contexte est un grand avantage.
Comment décririez-vous l'Aïkido en une phrase ?
"L'aïkido est un partenaire dynamique qui se présente avec l'attention nécessaire au moment où vous en avez le plus besoin : au milieu de normes de sécurité internes élevées, de la législation et de la géopolitique.
"Aikido est l'un des outils qui permet de transformer des politiques de sécurité abstraites en pratiques concrètes et réalisables. Il nous permet de montrer l'exemple, au sein d'Athumi et dans l'ensemble de l'écosystème belge et européen."
.webp){kind=logo}
.png)