Salut Martijn ! Pouvez-vous nous parler de vous et de votre rôle chez Helin ?
Je suis le CTO et l'un des fondateurs de Helin. Je suis responsable de tout ce qui concerne la sécurité et les principes de conception de logiciels sécurisés. Nous avons construit une plateforme qui permet aux entreprises industrielles, en particulier dans les secteurs maritime et des énergies renouvelables, de gérer l'intelligence en périphérie à grande échelle.
Notre équipe d'ingénierie compte environ 40 personnes. La complexité de ce que nous construisons, tant le logiciel lui-même que l'environnement dans lequel il s'exécute, exige une approche axée sur la sécurité dès le premier jour.
Que fait Helin, et quel problème résolvez-vous ?
Nous construisons une plateforme de gestion d'applications industrielles. Notre mission est de simplifier le déploiement et l'exploitation de logiciels en périphérie pour les clients industriels. Pensez aux plateformes de forage offshore, aux parcs éoliens, aux parcs d'énergies renouvelables... Nous sommes essentiellement le système d'exploitation pour les sites d'énergies renouvelables.
Nous appliquons également nos propres principes : nous exécutons deux de nos propres applications sur la plateforme pour tester, valider et renforcer tout ce que nous faisons. Cela signifie également que nous sommes notre propre client zéro. Si quelque chose ne fonctionne pas, nous le savons avant tout le monde.
Comment Helin se démarque-t-il dans le domaine des logiciels industriels ?
« Dans notre industrie, la sécurité est une « licence d'exploitation ». Si vous ne pouvez pas prouver que votre logiciel est sécurisé, vous êtes hors jeu. »
La sécurité est un élément essentiel de notre proposition de valeur, car elle doit l'être. Nos clients attendent une « licence d'exploitation ». Cela inclut une transparence complète des SBOM, une infrastructure renforcée et la capacité de répondre rapidement aux menaces. Le secteur des énergies renouvelables est encore relativement immature en matière de sécurité, nous sommes donc souvent à l'avant-garde (avec des outils comme Aikido pour nous soutenir).
Quels étaient les plus grands défis de sécurité avant Aikido ?
Nous avons toujours eu une posture de sécurité solide. Mais le véritable défi était de transformer cela en quelque chose d'exploitable pour les développeurs. Vous pouvez définir toutes les politiques que vous voulez, mais si les développeurs ne captent pas les signaux, rien ne change.
« Vous pouvez créer autant de politiques de sécurité que vous le souhaitez, mais si vos développeurs ne les adoptent pas, vous ne résoudrez rien. »
Nous avons essayé plusieurs outils. Ils couvraient tous les bases, mais ils manquaient de transparence et de flexibilité. De plus, le service client n'était pas non plus excellent. Un fournisseur a mis six semaines de vérification juste pour répondre à l'une de nos demandes. Et de nombreux outils ne pouvaient tout simplement pas être déployés dans les environnements clients en raison de contraintes de conformité. C'était un facteur décisif.
Nous avons essayé plusieurs outils. Ils couvraient tous les bases, mais ils manquaient de transparence et de flexibilité. De plus, le service client n'était pas excellent non plus.
Pourquoi avez-vous choisi Aikido ?
Parce que cela correspond à notre vision de la sécurité : elle doit être ouverte, collaborative et conviviale pour les développeurs. Aikido ne se contente pas d'identifier les vulnérabilités, il aide les développeurs à y remédier. Ce changement a été énorme.
« Les développeurs aiment réellement utiliser Aikido. C'est devenu un peu un sport de réduire les vulnérabilités. »
Nous avons également apprécié le modèle transparent d'Aikido. Contrairement à certains fournisseurs où des frais de licence inattendus sont déclenchés par une simple alerte Azure, Aikido indique clairement ce pour quoi vous payez. Anecdote : nous avons eu une fois une alerte Azure un dimanche (juste une alerte !) et cela a déclenché un coût supplémentaire dans l'un de nos anciens outils. C'est là que nous avons réalisé : nous avions besoin d'un partenaire, pas d'un système de pénalités.
« Contrairement à d'autres fournisseurs, Aikido ne vous surprend pas avec des alertes qui vous coûtent soudainement de l'argent. »
Quelle est votre fonctionnalité préférée ?
Intégration au niveau du code. Elle apporte les résultats là où se trouvent les développeurs, et non l'inverse. Tout s'intègre parfaitement dans nos pipelines CI/CD. C'est natif, pas une réflexion après coup.
De plus, l'analyse des conteneurs et l'analyse statique du code fonctionnent tout simplement. Elles ne nous obligent pas à ré-architecturer nos systèmes. C'est très important lorsque votre infrastructure doit répondre à des contraintes de déploiement strictes.
Comment Aikido a-t-il contribué à améliorer vos résultats en matière de sécurité ?
L'une des choses que nous avons constatées est que les développeurs aiment réellement réduire le nombre de vulnérabilités. Cela devient un peu un jeu. Ce changement culturel est une grande victoire. Aikido facilite le maintien de la sécurité comme priorité absolue, sans ralentir les choses.
« Aikido ne nous aide pas seulement à cocher des cases. Il nous aide à développer les bons réflexes en équipe. »
Et parce que nous opérons dans des environnements avec des contrôles de données stricts, nous avions besoin d'un outil qui nous donnait la pleine propriété des données. Les API d'Aikido nous permettent de diffuser et de lire tout en toute sécurité au sein de nos propres environnements.
Quels conseils donneriez-vous aux autres entreprises de logiciels industriels qui évaluent des plateformes de sécurité ?
« Ne cherchez pas seulement un outil de sécurité. Cherchez quelque chose que vos développeurs utiliseront. »
Ne faites aucun compromis sur la visibilité. Assurez-vous que vos développeurs peuvent agir sur ce que la plateforme détecte. Et si vos clients se soucient de choses comme les SBOMs et les mises à jour sécurisées (ce qui devrait absolument être le cas), assurez-vous que votre outil vous aide à y parvenir.
Si vous deviez décrire Aikido en une phrase, quelle serait-elle ?
C'est le seul outil de sécurité que j'aie vu qui équilibre véritablement l'expérience développeur avec les exigences de niveau industriel.
