En un coup d'œil
- AppSec consolidée pour toutes les unités commerciales mondiales sur une seule plateforme
- A doublé le taux de correctifs de 20 à 41 % au cours de la première année
- A géré l'inscription initiale en libre-service sur aikido.dev sans friction d'approvisionnement
- A intégré le scanning de conteneurs dans la même vue que les résultats au niveau du code
- A vérifié les nouvelles CVE divulguées par rapport à la base de code
- A fourni aux développeurs un plugin IDE pour corriger les problèmes directement sans ouvrir de ticket
Enjeu
Une empreinte d'ingénierie mondiale avec des habitudes régionales
Believe est une entreprise mondiale de musique numérique opérant en France, à New York et au Japon. Yolanda Amorim dirige la sécurité des applications au sein de cette organisation d'ingénierie distribuée. Chaque région avait sa propre façon de faire et ses propres choix d'outils, ce qui a entraîné une couverture AppSec inégale pour ce qui était censé être un produit unique.
Yolanda avait besoin d'une plateforme unique que toutes les équipes régionales pourraient utiliser sans formation supplémentaire, d'une vue cohérente pour la direction de la sécurité, et d'une boucle de feedback avec laquelle les développeurs s'engageraient réellement plutôt que de la contourner.
Believe n'avait pas besoin d'une évaluation pilotée par les ventes. L'entreprise devait essayer la plateforme et en prouver la valeur en interne.
“Nous voulions nous consolider sur un outil qui fonctionnerait pour toutes nos équipes mondiales. L'option en libre-service sur aikido.dev nous a permis de démarrer immédiatement, sans passer par un long processus d'approvisionnement.”
Solution
L'équipe de Yolanda a intégré chaque unité régionale sur Aikido avec la même configuration et le même workflow. Le SAST, le SCA et le scanning de conteneurs étaient regroupés dans une vue unique.
Le résultat opérationnel le plus visible a été le taux de correction. Avant Aikido, Believe corrigeait environ 20 % des vulnérabilités identifiées. Après la consolidation et l'introduction d'AutoFix et du plugin IDE, ce chiffre a quasiment doublé.
“Notre taux de correction est passé de 20 à 41 % après la transition. C'est la différence entre la sécurité considérée comme un élément de backlog et la sécurité comme une véritable métrique d'ingénierie.”
Lorsqu'une nouvelle CVE était divulguée, l'équipe de Yolanda pouvait vérifier si elle les affectait et sécuriser les packages destinés à la release en cours.
“La semaine dernière, un développeur est venu me voir, vraiment impressionné. Une nouvelle CVE était apparue, et nous avons sécurisé tous les packages pour cette release.”
Pourquoi Believe a choisi Aikido
Believe a comparé Aikido au maintien d'une approche fragmentée régionale et à plusieurs fournisseurs existants. La décision s'est résumée à un petit nombre de facteurs.
- Une plateforme unique couvrant le code et les conteneurs
- Onboarding en libre-service sur aikido.dev, sans les contraintes d'approvisionnement
- Couverture des multiples langages et frameworks utilisés par les équipes mondiales
- Un plugin IDE permettant aux développeurs de corriger les problèmes directement
- Un fournisseur réactif lorsque les CVEs nouvellement divulguées nécessitent une validation rapide
Résultats
Aikido a changé la dynamique, passant de « l'équipe de sécurité me demande de corriger cela » à « cela fait partie de la livraison du changement ». L'équipe de Yolanda organise également des formations ciblées pour les security champions, axées sur les problèmes les plus fréquemment rencontrés par chaque équipe.
Pour la première fois, la direction de la sécurité chez Believe peut comparer la posture en France, aux États-Unis et au Japon, en se basant sur les mêmes données et les mêmes définitions.
L'intégration du scan de conteneurs dans Aikido, parallèlement aux vulnérabilités au niveau du code, a comblé une lacune de longue date. Les vulnérabilités ne sont plus réparties entre deux consoles et deux modèles de priorisation.
Comment Believe étend son utilisation d'Aikido
Déjà utilisé
- Analyse SAST et SCA
- Analyse des conteneurs
- Correction automatique par IA
- Plugin IDE pour les corrections directement dans l'éditeur
- pentest IA
Prévu pour adoption
Prochaine évaluation
- Aikido Zen Firewall
Verdict final
“Aikido est un game changer pour moi. Un seul outil, couvrant plusieurs entreprises, et nous avons élevé notre niveau de sécurité plus rapidement que prévu.”


