Bonjour Martijn ! Peux-tu nous parler de toi et de ton rôle chez Helin ?
Je suis le directeur technique et l'un des fondateurs d'Helin. Je suis responsable de tout ce qui concerne la sécurité et les principes de conception de logiciels sécurisés. Nous avons construit une plateforme qui permet aux entreprises industrielles, en particulier dans les secteurs maritime et des énergies renouvelables, de gérer l'intelligence périphérique à grande échelle.
Notre équipe d'ingénieurs compte environ 40 personnes. La complexité de ce que nous construisons, tant le logiciel lui-même que l'environnement dans lequel il s'exécute, exige un état d'esprit axé sur la sécurité dès le premier jour.
Que fait Helin et quel problème résolvez-vous ?
Nous construisons une plateforme de gestion des applications industrielles. Notre mission est de simplifier le déploiement et l'exploitation de logiciels en périphérie pour les clients industriels. Pensez aux plates-formes de forage en mer, aux parcs éoliens, aux parcs d'énergie renouvelable... Nous sommes essentiellement le système d'exploitation des sites d'énergie renouvelable.
Nous buvons également notre propre champagne : nous exécutons deux de nos propres applications sur la plateforme pour tester, valider et renforcer tout ce que nous faisons. Cela signifie également que nous sommes notre propre client zéro. Si quelque chose ne fonctionne pas, nous le savons avant tout le monde.
Comment Helin se distingue-t-elle dans le domaine des logiciels industriels ?
Dans notre secteur, la sécurité est une "licence d'exploitation". Si vous ne pouvez pas prouver que votre logiciel est sûr, vous êtes exclu.
La sécurité est au cœur de notre proposition de valeur, parce qu'elle doit l'être. Nos clients attendent une "licence d'exploitation". Cela implique une transparence totale du SBOM, une infrastructure renforcée et la capacité de répondre rapidement aux menaces. Le secteur des énergies renouvelables est encore relativement immature en termes de sécurité, c'est pourquoi nous montrons souvent la voie (avec des outils tels qu'Aikido pour nous soutenir).
Quels étaient les plus grands défis en matière de sécurité avant l'aïkido ?
Nous avons toujours eu un dispositif de sécurité solide. Mais le véritable défi consistait à transformer cela en quelque chose d'exploitable pour les développeurs. Vous pouvez définir toutes les politiques que vous voulez, mais si les développeurs ne captent pas les signaux, rien ne change.
"Vous pouvez créer des politiques de sécurité autant que vous voulez, mais si vos développeurs ne les prennent pas en compte, vous ne résoudrez rien".
Nous avons essayé plusieurs outils. Ils couvraient tous l'essentiel, mais manquaient de transparence et de flexibilité. De plus, le service à la clientèle n'était pas très bon non plus. Il a fallu six semaines à un fournisseur pour répondre à une de nos demandes. Et de nombreux outils ne pouvaient tout simplement pas être déployés dans les environnements des clients en raison de contraintes de conformité. C'était un facteur de rupture.
"Nous avons essayé plusieurs outils. Ils couvraient tous l'essentiel, mais manquaient de transparence et de flexibilité. De plus, le service à la clientèle n'était pas très performant non plus."
Pourquoi avez-vous choisi l'Aïkido ?
Parce qu'il correspond à notre conception de la sécurité : elle doit être ouverte, collaborative et adaptée aux développeurs. Aikido ne se contente pas d'identifier les vulnérabilités, il aide les développeurs à agir en conséquence. Ce changement a été énorme.
"Les développeurs aiment en fait utiliser l'aïkido. C'est devenu un peu un sport pour réduire les vulnérabilités".
Nous avons également apprécié le modèle transparent d'Aikido. Contrairement à certains fournisseurs qui imposent des frais de licence inattendus à la suite d'une simple alerte Azure, Aikido explique clairement ce pour quoi vous payez. Histoire vraie : nous avons eu une alerte Azure un dimanche (juste une alerte !) et cela a déclenché une charge supplémentaire dans l'un de nos anciens outils. C'est là que nous avons réalisé que nous avions besoin d'un partenaire, pas d'un système de pénalités.
"Contrairement à d'autres fournisseurs, Aikido ne vous surprend pas avec des alertes qui vous coûtent soudainement de l'argent.
Quelle est votre caractéristique préférée ?
Intégration au niveau du code. Elle apporte les résultats là où se trouvent les développeurs, et non l'inverse. Tout s'intègre parfaitement dans nos pipelines CI/CD. Il s'agit d'une solution native, et non d'une réflexion après coup.
Par ailleurs, l'analyse des conteneurs et l'analyse statique du code fonctionnent tout simplement. Ils ne nous obligent pas à réarchitecturer nos systèmes. Cela compte beaucoup lorsque votre infrastructure doit répondre à des contraintes de déploiement rigoureuses.
Comment l'aïkido a-t-il contribué à améliorer vos résultats en matière de sécurité ?
L'une des choses que nous avons constatées, c'est que les développeurs prennent plaisir à réduire le nombre de vulnérabilités. Cela devient un peu un jeu. Ce changement culturel est une grande victoire. Avec Aikido, il est plus facile de garder la sécurité à l'esprit, sans pour autant ralentir les choses.
"L'aïkido ne nous aide pas seulement à cocher des cases. Il nous aide à développer les bons muscles en tant qu'équipe".
Et comme nous travaillons dans des environnements où les données sont soumises à des contrôles stricts, nous avions besoin d'un outil qui nous donnait la pleine propriété des données. Les API d'Aikido nous permettent de diffuser et de lire toutes les données en toute sécurité dans nos propres environnements.
Quels conseils donneriez-vous à d'autres entreprises de logiciels industriels qui évaluent des plates-formes de sécurité ?
"Ne cherchez pas seulement un outil de sécurité. Cherchez quelque chose que vos développeurs utiliseront".
Ne faites pas de compromis sur la visibilité. Assurez-vous que vos développeurs peuvent agir sur ce que la plateforme trouve. Et si vos clients se soucient de choses comme les SBOM et les mises à jour sécurisées (ce qu'ils devraient absolument faire), assurez-vous que votre outil vous aide à les réaliser.
Si vous deviez décrire l'Aïkido en une phrase, quelle serait-elle ?
C'est le seul outil de sécurité que j'ai vu qui concilie vraiment l'expérience du développeur avec les exigences de l'industrie.
.webp){kind=logo}
.png)