Aikido
Commencer gratuitement
Sans carte bancaire
Témoignages clients

Balena utilise le pentest IA pour valider en profondeur les API complexes et éliminer les frictions des tests de sécurité

450,000+
Requêtes API exécutées
350
requêtes SAML ciblées
Publié le :
19 mai 2026
Dernière mise à jour le :
19 mai 2026

En un coup d'œil

  • Remplace les pentests manuels frustrants par du pentest IA contextuel
  • Utilise des tests en boîte blanche pour valider des API complexes basées sur OData
  • Génère des centaines de milliers de requêtes API valides pour une couverture approfondie
  • Améliore la confiance en matière de sécurité sans friction avec les fournisseurs
  • Adapte les tests aux fonctionnalités, régions et déploiements

Enjeu

Pour Balena, la sécurité ne se limite pas à la conformité. Il s'agit de prouver qu'une plateforme IoT très complexe est sécurisée dès la conception. Balena assure la gestion de flottes IoT pour les appareils Linux embarqués, permettant aux clients de déployer et de gérer des applications sur des flottes allant de milliers à des centaines de milliers d'appareils. À mesure que leur clientèle augmentait, les attentes en matière de sécurité ont également grandi.

L'entreprise a obtenu la certification ISO 27001 en 2024 et vise actuellement la certification SOC 2 Type 2. Dans le cadre de cet effort, les tests d'intrusion sont devenus essentiels.

Mais le pentesting manuel a généré plus de friction que de clarté.

Les résultats étaient souvent difficiles à interpréter et parfois, les pentesters avaient fondamentalement mal compris le fonctionnement des systèmes de Balena. Par exemple, ils ont signalé l'utilisation de la signature JWT symétrique comme une vulnérabilité, alors qu'il s'agissait d'un choix de conception délibéré et valide au sein de l'architecture de Balena.

“Après chaque mission de pentesting manuel, la conclusion était la même : la prochaine fois, nous devrons trouver quelqu'un d'autre.”

Au lieu de renforcer la confiance, les pentests sont devenus une source récurrente de frustration.

Pourquoi Balena s'est tourné vers le pentest IA

Balena a découvert Aikido grâce à la recherche en sécurité et à l'exposition communautaire, notamment lors d'événements OWASP et de travaux en cours dans l'écosystème Node.js. Parallèlement, l'équipe se familiarisait de plus en plus avec les outils de développement assistés par l'IA, ce qui a fait du pentest piloté par l'IA une étape suivante naturelle.

Initialement, la décision d'essayer le pentest IA était pragmatique.

“Le pentest IA d'Aikido était abordable comparé au pentesting manuel. Ce qui a immédiatement frappé, c'est sa capacité à fournir du contexte.”

Au lieu de s'appuyer sur des techniques de scan génériques, Aikido pouvait accéder à la base de code de Balena et être guidé par des connaissances spécifiques au domaine. Cela a déplacé la question de la recherche d'un meilleur fournisseur vers la compréhension de la meilleure façon d'utiliser l'IA pour les tests de sécurité.

“La frustration a mené à l'automatisation, et l'automatisation nous a menés à l'IA... brisant enfin le cycle des audits manuels contraignants.”

Exécution du pentest IA

La mise en route a nécessité un effort minimal. Balena a connecté ses dépôts, configuré le périmètre et lancé le test sans retards légaux ou opérationnels.

“Il était assez facile d'obtenir un essai et de cliquer sur démarrer. Pas d'obstacles majeurs.”

L'équipe a utilisé une approche en boîte blanche, donnant à l'IA accès à son code et à son modèle de données. De manière cruciale, ils ont demandé à l'IA de suivre la spécification OData, qui définit le fonctionnement de leur API.

Cela a fait une différence significative. Les pentesters précédents avaient eu du mal à construire des requêtes OData valides. En revanche, l'IA a pu interpréter la spécification, lire le modèle de données et générer des requêtes complexes et valides. Le résultat a été un niveau de profondeur de test fondamentalement différent.

Ce qu'a apporté le pentest IA

Le pentest IA a généré plus de 450 000 requêtes API pendant les heures de travail standard, dont beaucoup étaient syntaxiquement correctes et ont renvoyé des réponses valides.

Ce niveau de précision s'est immédiatement distingué.

« Nous n'avons jamais vu une telle profondeur d'utilisation des requêtes OData de la part d'un pentester humain. »

Plutôt que d'envoyer des charges utiles d'attaque non pertinentes ou génériques, l'IA s'est concentrée sur des interactions réalistes avec le système. Elle a également mis en évidence des problèmes significatifs très tôt, même lors d'un simple essai.

Au-delà de l'échelle, l'IA a démontré un niveau de test contextuel qui faisait défaut lors des interventions précédentes.

Lors du test d'une nouvelle intégration SAML, l'IA a identifié le code pertinent à travers les dépôts et a généré environ 350 requêtes ciblées contre ces points de terminaison. Elle a activement testé l'isolation des tenants et les permissions en enchaînant les ID d'objets, d'organisations et d'utilisateurs, validant ainsi que les utilisateurs ne pouvaient pas accéder à des données en dehors de leur périmètre.

Il est important de noter que la valeur ne résidait pas dans la découverte d'une seule vulnérabilité critique. Elle provenait plutôt de la confiance dans le processus de test lui-même. L'IA a démontré qu'elle comprenait le système et pouvait l'explorer d'une manière qui correspondait au fonctionnement réel de l'API.

Cela a éliminé une source majeure de friction que Balena rencontrait avec le pentest manuel.

« Désormais, la question n'est plus de savoir qui nous devrions embaucher. Il s'agit de savoir comment mieux utiliser l'IA et quel budget nous voulons allouer. »

Résultats

Pour Balena, l'impact du pentest IA est mieux compris comme un passage des tests axés sur la conformité à une validation précise et consciente du système.

Au lieu de passer du temps à corriger les malentendus des testeurs externes, l'équipe peut se concentrer directement sur l'amélioration de la sécurité. Les exigences d'audit peuvent être satisfaites sans la charge interne de réexpliquer l'architecture ou de valider des résultats incorrects.

Parallèlement, la capacité de lancer des tests sans délais légaux ou opérationnels modifie la façon dont la sécurité s'intègre au développement produit. Les nouvelles fonctionnalités, telles que les intégrations SAML ou les nouvelles géolocalisations, peuvent être testées immédiatement, offrant une validation de sécurité rapide et crédible.

La transparence s'améliore également. Plutôt que de s'appuyer sur des rapports statiques, Balena peut montrer exactement ce qui a été testé grâce à des journaux de requêtes détaillés et des traces d'agent.

ROI vs pentest manuel

Comparé aux interventions manuelles précédentes, le pentest IA a fourni des résultats de meilleure qualité à un coût inférieur. La plus grande différence était opérationnelle. Le pentest manuel nécessitait des cycles d'intégration avec des appels d'introduction, des briefings et le provisionnement d'accès. Avec l'IA, cette charge disparaît entièrement.

L'efficacité de l'ingénierie s'est également améliorée. Au lieu de déchiffrer des rapports PDF statiques et de reproduire manuellement les résultats, les ingénieurs peuvent réutiliser directement les scripts exacts générés par l'IA pour valider et corriger les problèmes.

La profondeur de couverture est également nettement différente. Des centaines de milliers de requêtes, y compris des requêtes OData complexes, ont été exécutées pendant les heures de travail standard. Ce niveau d'échelle et de précision n'avait pas été atteint avec des pentesters humains.

« Avec les tests boîte blanche IA, le partage des résultats n'a jamais été aussi simple. Ce mappage direct au niveau du code permet à nos ingénieurs d'analyser une logique complexe et d'implémenter des correctifs réels, plutôt que de débattre des faux positifs. »

Perspectives d'avenir

Balena considère le pentest IA comme une capacité qui s'améliore avec l'itération.

Aujourd'hui, une part significative du budget de test est consacrée à l'apprentissage du système par l'IA avant de s'engager dans des chemins d'attaque plus profonds. L'objectif, à terme, est de réduire cette phase de découverte afin de concentrer davantage d'efforts sur l'analyse à fort impact.

Une autre opportunité réside dans le reporting. Bien que les journaux bruts et les traces offrent une transparence totale, leur volume les rend difficiles à exploiter. Un résumé concis des stratégies d'attaque, des vecteurs réussis et des impasses faciliterait la communication et l'exploitation des résultats.

Pour l'avenir, Balena est particulièrement intéressée par un modèle où les tests s'appuient sur les exécutions précédentes, permettant à l'IA de conserver le contexte et de continuer à explorer le système plutôt que de repartir de zéro.

Travailler avec Aikido

Au-delà de la technologie, la collaboration elle-même s'est distinguée.

« Des résultats rapides, une communication honnête et zéro promesse commerciale vide. Ils nous ont donné le temps nécessaire pour finaliser notre évaluation des fournisseurs sans aucune pression. Obtenir des résultats exploitables en quelques jours, plus un accès direct à leurs ingénieurs pour affiner l'IA, c'est exactement le type de partenariat que nous recherchons. »

Curieux de découvrir les expériences de Balena avec Aikido ? Consultez leur article de blog ici.

Aller à :
Lien texte
Partager :

https://www.aikido.dev/customer-story/balena

Site web
https://www.balena.io/
Fondée
2013
Secteur d'activité
Développement logiciel
Siège social
Seattle, États-Unis

Sécurisez votre environnement dès maintenant.

Sécurisez votre code, votre cloud et votre environnement d’exécution dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Lancer l’analyse
Sans carte bancaire
Planifiez une démo
Aucune carte de crédit requise | Résultats en 32 secondes.