Salut Eric ! Peux-tu nous parler un peu de toi et de HiringBranch ?
Bien sûr ! Je suis le directeur technique de HiringBranch. J'ai commencé comme seul développeur il y a environ 12-15 ans, et nous sommes devenus une petite équipe de 10 ingénieurs, dont des spécialistes du ML.
Nous avons commencé dans l'éducation, mais aujourd'hui, nous nous spécialisons dans les évaluations préalables à l'embauche, en particulier l'évaluation de la communication et des compétences non techniques à l'aide de la PNL et de l'apprentissage automatique. Ce qui nous distingue, c'est que nous laissons les candidats répondre dans un format ouvert. Au lieu d'un choix multiple, nous analysons ce que les gens disent réellement pour évaluer leurs compétences. C'est une façon beaucoup plus naturelle et précise d'évaluer les qualités humaines.
Quel est le rôle de la sécurité dans l'espace technologique d'embauche ?
Tout est question de confiance. Lorsque les entreprises utilisent notre plateforme, elles nous confient des données sensibles sur les candidats. Nous avons la responsabilité de protéger ces données, non seulement parce que c'est la bonne chose à faire, mais aussi parce que cela reflète notre marque et notre crédibilité.
Y a-t-il eu un moment où vous avez réalisé : "Nous devons prendre la sécurité au sérieux" ?
Oui, absolument. Au début, surtout lorsque nous travaillions principalement avec de petits clients, la sécurité n'était pas une préoccupation majeure. Mais lorsque nous avons commencé à travailler avec les entreprises, il y a peut-être 5 ou 6 ans, les choses ont rapidement changé. Les clients posaient des questions auxquelles nous n'avions pas de bonnes réponses. C'était un signal d'alarme.
À quoi ressemblaient vos flux de travail en matière de sécurité avant Aikido ?
"Nous avions des outils open source, des plateformes Microsoft, des scans basés sur Docker... et rien ne se parlait. C'était le chaos."
J'avais une image Docker que j'exécutais localement pour analyser le code. Ensuite, je produisais un rapport et je l'envoyais manuellement quelque part. C'était compliqué et source d'erreurs.
Nous avons utilisé un mélange Frankenstein d'outils : scanners open-source, quelque chose de Microsoft dans Azure, SonarQube, AWS Security Hub... le tout assemblé. Et bien sûr, aucun d'entre eux ne communiquait entre eux. C'était désordonné et difficile à maintenir.
Comment avez-vous découvert l'Aïkido ?
Nous avons commencé à nous intéresser à l'Aïkido il y a environ deux ans. Mais comme nous étions très occupés, nous n'avons pas plongé tout de suite. Lorsque nous avons finalement embauché un ingénieur en sécurité, il a commencé à étudier Aikido et est revenu en disant : "Cet outil fait tout ce dont nous avons besoin". Petit à petit, nous avons commencé à supprimer les anciens outils. Ce n'était pas un changement du jour au lendemain, c'était une migration pratique et réfléchie.
Qu'est-ce qui a fait de l'Aïkido le bon choix ?
"Tout est regroupé en un seul endroit. Les intégrations Slack et Azure DevOps changent la donne."
Pour nous, la différence était la suivante :
- Consolidation : De cinq outils à un seul.
- Automatisation : Les vulnérabilités sont signalées dans Slack, où nous pouvons étiqueter les développeurs et agir rapidement.
- Rapport : "Lors de chaque réunion sur la sécurité, j'établis un rapport détaillé contenant tout ce que nous devons savoir. Ce qui est nouveau, ce qui a été corrigé, tout y est."
- Facilité d'utilisation: Il fonctionne tout simplement. Pas de séances de formation ni de réglages complexes.
Parlons de conformité. Comment gériez-vous la conformité avant l'aïkido ?
Oui, nous sommes officiellement certifiés SOC 2 Type II. Le processus a commencé il y a environ deux ans, et si l'obtention de la certification de type I consistait principalement à documenter les politiques, la certification de type II était une chose tout à fait différente. C'est là que la véritable rigueur opérationnelle et les difficultés liées à la collecte de preuves sont apparues.
Auparavant, nous devions exporter manuellement des rapports à partir de divers outils et les télécharger dans Vanta. C'était fastidieux et cela prenait du temps. Aujourd'hui ? La synchronisation se fait automatiquement. C'est transparent.
C'était lourd et manuel. Nous avions prévu d'exporter des rapports de sécurité à partir de divers outils, puis de les télécharger dans Vanta, notre plateforme de conformité.
Quel rôle a joué l'aïkido dans votre parcours de conformité ?
Aikido, et plus particulièrement son intégration avec Vanta, a fait une énorme différence au cours de notre processus SOC 2 Type II. Dès que nous l'avons activé, il a automatisé l'ensemble de notre flux de collecte de preuves de sécurité. Les vulnérabilités, les remédiations, la couverture des contrôles, tout cela a commencé à se synchroniser en arrière-plan sans que nous ayons à faire quoi que ce soit manuellement.
"Nous n'avons pas adopté Aikido pour des raisons de conformité, mais lorsque nous avons vu à quel point il s'intégrait parfaitement à Vanta, c'est devenu une évidence. Nous n'avons qu'à cliquer sur quelques boutons et les preuves sont déjà là.
Cela signifie qu'il n'est plus nécessaire d'exporter des rapports, de télécharger des PDF ou de s'inquiéter des documents manquants lors des audits. Au lieu de prouver notre conformité, nous pouvions nous concentrer sur l'amélioration de notre sécurité.
"Aikido a éliminé le stress lié à la conformité. L'automatisation fonctionne tout simplement - tout est prêt pour l'audit, sans les tracasseries.
Ce qui était auparavant une course trimestrielle s'est transformé en un processus tranquille et continu : toujours en marche, toujours prêt. Comme il se doit.
Comment l'état d'esprit de votre équipe en matière de sécurité a-t-il évolué depuis l'adoption de l'Aïkido ?
Nous sommes devenus beaucoup plus proactifs. Au lieu de réagir aux problèmes, ou pire, de les ignorer, nous recevons maintenant des alertes en temps réel. L'analyse est continue. Il y a moins de chaos, moins de suppositions. Tout est structuré et visible.
Comment s'est déroulée votre expérience de travail avec l'équipe d'Aïkido ?
Honnêtement, c'est très bien. Nous avons des réunions mensuelles, qui sont très utiles pour découvrir les nouvelles fonctionnalités. L'équipe d'assistance est réactive, et nous avons même un canal Slack dédié avec eux, ce qui rend la communication facile et rapide.
Et enfin, si vous deviez résumer l'Aïkido en une phrase ?
"La tranquillité d'esprit pour l'ensemble du processus de sécurité".
Sérieusement. Avant, c'était un désordre chaotique d'outils et de tâches. Aujourd'hui, tout est calme, propre et sous contrôle.
.webp){kind=logo}
.png)