Salut Eric ! Pouvez-vous nous en dire un peu plus sur vous et sur HiringBranch ?
Bien sûr ! Je suis le CTO chez HiringBranch. J'ai commencé comme unique développeur il y a environ 12 à 15 ans, et nous sommes devenus une petite équipe de 10 ingénieurs, mais très ciblée, incluant des spécialistes du ML.
Nous avons commencé dans l'éducation, mais aujourd'hui, nous nous spécialisons dans les évaluations pré-embauche, évaluant spécifiquement les compétences en communication et les soft skills à l'aide du NLP et du machine learning. Ce qui nous distingue, c'est que nous laissons les candidats répondre dans un format ouvert. Au lieu de questions à choix multiples, nous analysons ce que les gens disent réellement pour évaluer leurs compétences. C'est une manière beaucoup plus naturelle et précise d'évaluer les qualités humaines.
Quel rôle la sécurité joue-t-elle dans le secteur du recrutement technologique ?
Tout est une question de confiance. Lorsque les entreprises utilisent notre plateforme, elles nous confient des données sensibles sur les candidats. Nous avons la responsabilité de protéger ces données, non seulement parce que c'est la bonne chose à faire, mais aussi parce que cela se reflète sur notre marque et notre crédibilité.
Y a-t-il eu un moment où vous avez réalisé : « Nous devons prendre la sécurité au sérieux » ?
Oui, absolument. Au début, surtout lorsque nous travaillions principalement avec de plus petits clients, la sécurité n'était pas une priorité majeure. Mais une fois que nous avons commencé à pénétrer le secteur corporate, il y a peut-être 5 ou 6 ans, cela a vite changé. Les clients posaient des questions auxquelles nous n'avions pas de bonnes réponses. Ce fut un signal d'alarme.
À quoi ressemblaient vos workflows de sécurité avant Aikido ?
« Nous avions des outils open source, des plateformes Microsoft, des scans basés sur Docker… et rien ne communiquait entre eux. C'était le chaos. »
J'avais une image Docker que j'exécutais localement pour scanner le code. Ensuite, je générais un rapport et le poussais manuellement quelque part. C'était lourd et sujet aux erreurs.
Nous utilisions un mélange hétéroclite d'outils : des scanners open source, une solution Microsoft dans Azure, SonarQube, AWS Security Hub… le tout assemblé. Et bien sûr, aucun d'entre eux ne communiquait entre eux. C'était désordonné et difficile à maintenir.
Et comment avez-vous découvert Aikido ?
Nous avons commencé à nous intéresser à Aikido il y a peut-être deux ans. Mais nous étions occupés, nous ne nous y sommes donc pas plongés immédiatement. Lorsque nous avons finalement embauché un ingénieur en sécurité, il a commencé à approfondir Aikido et est revenu en disant : « Cela fait tout ce dont nous avons besoin. » Petit à petit, nous avons commencé à supprimer les anciens outils. Ce n'était pas un changement du jour au lendemain, mais une migration pratique et réfléchie.
Qu'est-ce qui a fait d'Aikido la solution idéale ?
« Tout est au même endroit. Les intégrations Slack et Azure DevOps changent la donne. »
La différence pour nous était :
- Consolidation : De cinq outils à un seul.
- Automatisation : Les vulnérabilités sont signalées dans Slack, où nous pouvons taguer les développeurs et agir rapidement.
- Rapports : “À chaque réunion de sécurité, je génère un rapport clair avec tout ce que nous devons savoir. Ce qui est nouveau, ce qui a été corrigé, tout y est.”
- Facilité d'utilisation : Ça fonctionne tout simplement. Pas de sessions de formation ni de configurations complexes.
Parlons de la conformité. Comment gériez-vous la conformité avant Aikido ?
Oui, nous sommes officiellement certifiés SOC 2 Type II. Le processus a débuté il y a environ deux ans, et si l'obtention du Type I consistait principalement à documenter les politiques, le Type II était une tout autre affaire. C'est là que la véritable rigueur opérationnelle, et la difficulté de la collecte de preuves, sont entrées en jeu.
Avant, nous devions exporter manuellement les rapports de divers outils et les télécharger dans Vanta. C'était lourd et chronophage. Maintenant ? C'est synchronisé automatiquement. C'est transparent.
C'était lourd et manuel. Nous avions prévu d'exporter les rapports de sécurité de divers outils, puis de les télécharger dans Vanta, notre plateforme de conformité.
Quel rôle Aikido a-t-il joué dans votre parcours de conformité ?
Aikido, et plus particulièrement son intégration avec Vanta, a fait une énorme différence pendant notre processus SOC 2 Type II. Dès que nous l'avons activé, il a automatisé l'intégralité de notre workflow de collecte de preuves de sécurité. Les vulnérabilités, les remédiations, la couverture des contrôles, tout a commencé à se synchroniser en arrière-plan sans que nous ayons à courir après quoi que ce soit manuellement.
« Nous n'avons pas adopté Aikido à cause de la conformité, mais une fois que nous avons vu à quel point il s'intégrait proprement avec Vanta, c'est devenu une évidence. Nous cliquons simplement sur quelques boutons, et les preuves sont déjà là. »
Cela signifiait la fin de l'exportation de rapports, du téléchargement de PDF ou du stress lié à la documentation manquante lors des audits. Au lieu de prouver la conformité, nous pouvions nous concentrer sur l'amélioration réelle de notre posture de sécurité.
« Aikido a éliminé le stress lié à la conformité. L'automatisation fonctionne tout simplement : elle maintient tout prêt pour l'audit, sans précipitation. »
Ce qui était auparavant une course trimestrielle effrénée est devenu un processus silencieux et continu : toujours actif, toujours prêt. Exactement comme il se doit.
Comment la mentalité de votre équipe en matière de sécurité a-t-elle évolué depuis l'adoption d'Aikido ?
Nous sommes devenus beaucoup plus proactifs. Au lieu de réagir aux problèmes, ou pire, de les ignorer, nous recevons désormais des alertes en temps réel. Le balayage est continu. Il y a moins de chaos, moins d'incertitude. Tout est structuré et visible.
Comment s'est passée votre expérience de collaboration avec l'équipe Aikido ?
Honnêtement, excellent. Nous avons des points de contrôle mensuels, qui sont très utiles pour découvrir les nouvelles fonctionnalités. L'équipe de support est réactive, et nous avons même un canal Slack dédié avec eux, ce qui rend la communication facile et rapide.
Et enfin, si vous deviez résumer Aikido en une seule phrase ?
« Une tranquillité d'esprit pour l'ensemble du processus de sécurité. »
Sérieusement. C'était autrefois un fouillis chaotique d'outils et de tâches. Maintenant, tout est calme, propre et sous contrôle.
