Quand l'UX rencontre l'AppSec : L'évolution de Gravity vers une sécurité intégrée et proactive

Hey Ruben ! Peux-tu nous parler un peu de toi et de Gravity ?

Bien sûr ! Je suis Ruben de Baat, consultant numérique chez Gravity.

Gravity a débuté en tant qu'agence technique spécialisée dans le développement de plateformes personnalisées, d'applications mobiles et d'intégrations complexes. Depuis que nous avons rejoint le groupe Loyals, nous avons élargi notre expertise tout en restant fidèles à nos valeurs fondamentales : La simplicité fait avancer les choses. Quelle que soit la complexité de la technologie utilisée, nous veillons toujours à ce que l'expérience utilisateur soit transparente et intuitive.

En tant que consultant numérique, je comble le fossé entre l'entreprise et la technologie, en connectant les clients et les développeurs en tirant parti de mon expertise en UI/UX, DevOps, et l'entreprise. J'aide à créer des solutions numériques évolutives et sécurisées en traduisant les besoins des clients en exigences techniques, en garantissant la bonne architecture, la sécurité et la valeur à long terme. 

‍

"Mon objectif est d'inciter les clients et les développeurs à collaborer efficacement, en repoussant les limites pour élaborer la meilleure solution numérique possible.

Quel est le rôle de la sécurité au sein d'une agence digitale comme Gravity ?

La sécurité est un élément clé de notre travail. Nous développons et gérons des solutions numériques personnalisées pour nos clients, qu'il s'agisse de plateformes complètes, d'applications mobiles, d'outils dorsaux, de portails d'administration ou d'intégrations avec toutes sortes de solutions SaaS telles que les systèmes ERP et CRM.

Au fur et à mesure que nous prenons en charge de nouveaux projets, la sécurité et les tests deviennent de plus en plus importants. Mais l'augmentation des effectifs n'est pas une solution durable. C'est pourquoi nous nous sommes tournés vers l'automatisation de la sécurité. Auparavant, la sécurité était gérée de manière réactive, par le biais de contrôles périodiques et d'accords contractuels avec les clients. Mais nous avons constaté un besoin croissant d'une approche proactive, ce qui nous a conduits à Aikido.
‍

Comment avez-vous intégré l'aïkido dans votre travail ?

Nous avons créé un outil de surveillance de la sécurité interne qui s'intègre à Aikido. Cela nous permet de partager des informations sur la sécurité avec nos clients sans leur donner un accès direct à Aikido.

Les clients reçoivent une vue d'ensemble claire et concise des problèmes de sécurité ouverts, des vulnérabilités résolues et des performances globales de la plateforme. Il s'agit d'une petite fenêtre de visualisation, qui permet à nos clients de gérer les choses de manière simple.

Cette approche permet non seulement d'assurer la transparence, mais aussi de rassurer les clients en leur montrant qu'ils sont en avance en matière de sécurité. Même si nous ne mentionnons pas explicitement l'aïkido, la sécurité fait partie intégrante de nos services contractuels. Cela ajoute de la valeur et renforce notre expertise.

‍

"En intégrant la sécurité directement dans nos flux de travail, nous en faisons un élément naturel du processus, et non une réflexion après coup."

‍

Vous travaillez désormais avec de grandes entreprises et des institutions gouvernementales. Qu'est-ce que cela signifie pour votre approche de la sécurité ?

À l'origine, nous travaillions avec des entreprises en phase de démarrage, pour lesquelles la vitesse et la fonctionnalité étaient des priorités absolues. Mais au fur et à mesure que ces startups grandissaient et que nous commencions à travailler avec des entreprises plus importantes et des clients gouvernementaux, les exigences en matière de sécurité sont devenues beaucoup plus strictes.

Pour rester dans la course, nous nous concentrons sur l'automatisation des processus de sécurité afin que chaque nouveau projet démarre efficacement et à grande échelle. La sécurité n'est plus une réflexion après coup. Avec Aikido, nous l'intégrons directement dans notre pipeline DevOps pour qu'elle fasse partie intégrante de notre flux de travail.
‍

"Au fur et à mesure que nous nous développons, la sécurité doit évoluer avec nous - l'automatisation est la clé de cette évolution.

‍

Pourquoi avez-vous choisi l'Aïkido et comment s'est déroulée votre expérience de travail avec eux ?

Le moment n'aurait pas pu être mieux choisi : alors que nous cherchions une solution, nous sommes tombés sur le site web d'Aikido et avons commencé à discuter. Ce qui nous a tout de suite sauté aux yeux, c'est leur modèle convivial pour les agences. Contrairement à des outils comme Snyk, qui sont conçus pour les utilisateurs finaux, Aikido est spécialement conçu pour les agences. De plus, Aikido est basé en Europe et conforme au GDPR, ce qui s'aligne bien avec le cadre réglementaire auquel sont soumis nos clients dans l'UE.

Un autre facteur clé a été leur communication rapide et directe. Nous recevons toujours une réponse rapide à nos questions et le fait de pouvoir communiquer en néerlandais est incroyablement pratique. La rentabilité est également un avantage important. Grâce au modèle d'agence d'Aikido, nous pouvons offrir à nos clients, même les plus petits, une sécurité de haute qualité à un prix abordable.

De plus, Aikido s'intègre parfaitement à DigitalOcean, notre solution d'hébergement préférée pour les clients qui n'ont pas d'infrastructure existante, ce qui en fait une solution parfaite. Enfin, la fonction AI autofix d'Aikido semble prometteuse, et bien que je ne l'aie pas encore testée, je suis impatient de l'explorer plus avant dans les mois à venir.
‍