En un coup d'œil
- A choisi Aikido car aucun autre outil sur le marché ne signalait les logiciels en fin de vie.
- A automatisé le triage quotidien de 40 à 50 découvertes, faisant économiser à l'équipe au moins une heure par jour.
- A remplacé un ensemble disparate d'outils ponctuels, y compris un fournisseur distinct de surveillance du dark web, par une seule plateforme.
- A obtenu une couverture Scala que plusieurs autres scanners ne pouvaient égaler.
- A mis en place toutes les fonctionnalités en quelques jours, là où les anciens outils prenaient des jours ou des semaines pour en configurer une seule.
- A libéré l'équipe pour qu'elle puisse consacrer du temps à la réponse aux incidents et aux corrections au lieu du triage manuel.
Enjeu
Kristina Holovka est ingénieure en vulnérabilité et incidents chez Cognism, une entreprise d'intelligence commerciale B2B basée à Londres. Cognism gère de grands volumes de données de contact professionnelles pour des milliers d'équipes de revenus, de sorte que la sécurité et la conformité sont étroitement liées au produit. L'équipe de Kristina est responsable de la réponse aux vulnérabilités et aux incidents. Ils traitent les alertes, décident ce qui doit être corrigé et collaborent avec l'ingénierie pour y parvenir.
Une lacune a tout conditionné avant Aikido. Rien dans la pile ne signalait les logiciels en fin de vie, les packages obsolètes et les versions de langage non prises en charge qui deviennent silencieusement une surface d'attaque non corrigée. Les trouver signifiait examiner les dépôts manuellement, ou les remarquer par accident. Pour une équipe responsable de la posture de l'ensemble de la base de code, c'était un angle mort qu'ils ne pouvaient pas combler avec les outils dont ils disposaient.
« Nous n'avions pas d'outil qui détectait les logiciels en fin de vie. Aikido était le seul sur le marché à le faire. »
La configuration globale était un ensemble disparate. La sécurité utilisait plusieurs outils distincts, environ un par fonctionnalité, sans rien pour les lier. Chacun avait un mode de défaillance. Certains étaient trop bruyants, inondant l'équipe de découvertes qui prenaient des heures à examiner. D'autres étaient trop silencieux, manquant de vrais problèmes car ils manquaient de règles pour couvrir certaines parties de la pile de Cognism. Un fournisseur distinct gérait la surveillance du dark web pour les identifiants divulgués, ce qui signifiait une console de plus à vérifier. Et la mise en place de tout cela était lente. La configuration d'une seule fonctionnalité comme le SAST pouvait prendre des jours ou des semaines.
« Certains fournisseurs étaient trop bruyants, nous passions donc beaucoup de temps à examiner les découvertes. D'autres étaient trop silencieux, sans suffisamment de règles, par exemple pour Scala. »
Solution
Aikido a remplacé cet ensemble disparate. L'équipe a regroupé sa numérisation de code, la détection de fin de vie et le flux du dark web sur une seule plateforme et l'a mise en service en quelques jours. Le contraste avec l'ancienne configuration était frappant. Ce qui prenait des jours ou des semaines à configurer pour une seule fonctionnalité couvrait désormais tout dans le même court laps de temps.
"La configuration de nos anciens outils prenait des jours, voire des semaines. Aikido a été activé en quelques jours pour l'ensemble de nos besoins."
La détection s'est intégrée à la stack de Cognism, au lieu d'y faire obstacle. L'équipe développe en Scala, un langage que plusieurs scanners gèrent mal car il n'est pas largement répandu. C'était la même lacune qui rendait leurs anciens outils trop silencieux, manquant des problèmes qu'ils auraient dû détecter. Aikido a bien détecté Scala, ce qui a suffi à éliminer certains outils de leur liste restreinte. Un scanner qui couvre les langages que vous utilisez réellement permet à une équipe de sécurité de faire confiance aux résultats plutôt que de les remettre en question.
"Beaucoup de fournisseurs ne couvrent pas Scala car ce n'est pas un langage largement utilisé. Aikido le détecte efficacement."
Le changement le plus évident au quotidien a été le triage. Chaque jour, 40 à 50 nouvelles découvertes arrivaient à l'équipe, chacune étant examinée manuellement pour distinguer les vrais problèmes du bruit. AutoTriage, AutoFix et l'analyse d’accessibilité prennent désormais en charge cette tâche. L'analyse d’accessibilité est la plus importante ici. Elle filtre les découvertes non pertinentes car le code vulnérable n'est pas accessible, ce qui permet à l'équipe de ne plus courir après des problèmes qui n'ont jamais représenté un risque réel. Ce qui reste arrive déjà trié, et l'équipe gagne au moins une heure par jour.
"Nous triions manuellement 40 à 50 découvertes par jour. Aikido s'en charge désormais pour nous, et cela nous fait gagner au moins une heure par jour."
La lacune initiale a été comblée au cours du processus. Là où l'équipe parcourait autrefois les dépôts à la recherche de packages obsolètes et de versions de langage non prises en charge, elle ouvre désormais un seul onglet et voit ce qui doit être mis à jour. Le travail qui dépendait auparavant de la mémoire de quelqu'un est simplement là quand ils en ont besoin.
"Maintenant, j'ouvre simplement l'onglet et je vois ce qui doit être mis à jour."
Pourquoi Cognism a choisi Aikido
- Détection de fin de vie qu'aucun autre fournisseur de la liste restreinte n'offrait.
- Couverture linguistique adaptée à leur stack, y compris Scala, là où d'autres outils étaient insuffisants.
- AutoTriage, AutoFix et l'analyse d’accessibilité qui ont libéré l'équipe du triage quotidien.
- Surveillance du dark web dans la même vue que les découvertes de code, remplaçant un fournisseur distinct.
Résultats
L'automatisation des 40 à 50 découvertes quotidiennes fait gagner à l'équipe au moins une heure par jour, et le travail manuel qui occupait les matinées a en grande partie disparu. Avec moins de faux positifs à traiter, ce temps est réinvesti dans le véritable travail de l'équipe : répondre aux incidents et collaborer avec l'ingénierie sur les correctifs importants. Les problèmes sont également résolus plus rapidement, car les découvertes arrivent triées et priorisées plutôt que brutes.
"Une grande partie du travail manuel a disparu, et nous résolvons les problèmes plus rapidement. Les heures que nous récupérons sont consacrées à un travail plus important."
L'intégration de la surveillance du dark web, auparavant gérée par un fournisseur distinct, a été la consolidation la plus évidente, mais pas la seule. Le scan de code, la détection de fin de vie, l'analyse d’accessibilité et le flux de credentials divulgués sont désormais regroupés en un seul endroit, et c'est là que l'équipe commence sa journée. Au lieu de naviguer entre des consoles qui rapportaient chacune à leur manière, ils travaillent à partir d'une vue unique de ce qui nécessite une attention.
Le partenariat a été très collaboratif. Les demandes parviennent directement à la direction d'Aikido, et l'équipe a obtenu des réponses et des résolutions en moins d'une journée. Pour une équipe de sécurité qui doit agir rapidement, un fournisseur qui réagit à ce rythme constitue une réelle valeur ajoutée.
"Nous recevons des retours directement du CEO et du CRO, ce que nous n'avons jamais eu ailleurs. Chaque demande a été traitée et chaque tâche accomplie en moins de 24 heures."
Comment Cognism étend son utilisation d'Aikido
Déjà utilisé
- Détection de fin de vie.
- Scan SAST et SCA avec analyse d’accessibilité.
- AutoTriage et AutoFix.
- Surveillance du dark web pour les credentials divulgués.
Prévu pour adoption
- Protection des appareils, pour visualiser les packages et extensions installés sur les machines des développeurs, une couverture que l'équipe affirme que d'autres outils endpoint ne fournissent pas.
- Safe Chain, à déployer auprès des développeurs.
Verdict final
"Plus de temps, moins de faux positifs, et plus de temps pour se concentrer sur l'essentiel."

