.svg)
Salut Jasper ! Quel est votre rôle, et qu'est-ce qui distingue Jurimesh dans le secteur de la LegalTech ?
Je suis le CTO et co-fondateur de Jurimesh. Alors que la plupart des fournisseurs LegalTech essaient de couvrir tous les cas d'usage juridiques (souvent en les intégrant dans une interface de type ChatGPT), nous pensons au-delà. Jurimesh se concentre spécifiquement sur l'optimisation de la due diligence juridique, à la fois les workflows et le processus de révision, en utilisant l'IA et une interface facile à utiliser.
Quel rôle la sécurité devrait-elle jouer dans la LegalTech ?
La sécurité doit être au cœur de tout produit LegalTech. La profession juridique est extrêmement sensible, et en tant qu'entreprise traitant ces données, vous devez prendre toutes les précautions nécessaires pour prévenir les fuites.
Quel type de pression vos clients exercent-ils sur vos pratiques de sécurité et de conformité ?
C'est une préoccupation majeure (et une demande constante) de la part des clients. Les grands clients demandent des certifications comme ISO27001. Les petits clients sont davantage axés sur la confiance. Nous les convainquons tous deux avec des points de validation solides : avoir un produit de sécurité comme Aikido, des vérifications de conformité rapides avec Vanta, des pentests, des certifications… Sans des pratiques de sécurité adéquates, nous ne conclurions pas d'affaires.
« Nous convainquons les petits et les grands clients avec des points de validation solides : avoir un produit de sécurité comme Aikido, des vérifications de conformité rapides avec Vanta… Sans des pratiques de sécurité et de conformité solides, nous ne conclurions aucune affaire. »
Comment gériez-vous la sécurité et la conformité auparavant ?
Étant donné que nous sommes une entreprise relativement jeune, nous n'avions pas d'outils tiers auparavant. Nous utilisions les scanners par défaut de Google Cloud et GitHub et corrigions manuellement les vulnérabilités. Les tâches de conformité, telles que les revues d'accès, étaient effectuées à l'aide de rappels de calendrier et de feuilles Excel. Comme vous pouvez l'imaginer, tout était très laborieux.
Nous manquions de visibilité sur les bibliothèques et les packages vulnérables. GitHub en couvrait une partie, mais Aikido va plus loin : il scanne tout, des logiciels à l'infrastructure cloud.
Comment Aikido a-t-il contribué à répondre aux exigences réglementaires et de protection des données ?
Aikido maintient nos bibliothèques à jour et signale rapidement les vulnérabilités afin que nous puissions respecter nos SLA internes. Un énorme gain de temps est le scanner de licences. Désormais, Aikido est intégré à notre pipeline CI/CD, ce qui nous empêche de déployer du code avec des problèmes connus. L'analyse automatisée des vulnérabilités est la plus cruciale, elle scanne nos packages, images Docker et infrastructure.
Comment se déroulait le processus de collecte de preuves de conformité avant de combiner Aikido avec Vanta ?
Nous utilisions déjà Aikido avant d'entamer notre parcours ISO27001 avec Vanta. Au début, cela signifiait exporter manuellement les preuves d'Aikido vers Vanta et effectuer beaucoup de saisie manuelle de données. Une fois l'intégration mise en place, cela est devenu un flux continu de preuves automatisées entre les deux plateformes.
« Au départ, nous exportions manuellement les preuves d'Aikido vers Vanta. Aujourd'hui, l'intégration nous offre un pipeline de conformité fluide. »
Comment décririez-vous le rôle que joue désormais la technologie dans le soutien de votre posture de conformité ?
Aikido est devenu le fondement de notre surveillance de la sécurité. Il collecte en continu des preuves automatisées qui alimentent directement Vanta, créant ainsi un pipeline de conformité fluide. Au lieu de chercher désespérément des preuves d'audit, nous disposons d'une visibilité en temps réel et d'enregistrements historiques prêts à tout moment.
« Aikido est devenu le fondement de notre surveillance de la sécurité, fournissant une collecte continue et automatisée de preuves qui alimente directement Vanta. Nous sommes toujours prêts pour les audits. »
Qu'est-ce qui a retenu l'attention lors de l'évaluation des deux outils ?
La facilité de configuration. Nous n'avions pas de temps à consacrer à des outils complexes. Aikido s'est configuré en un clic. Quelques minutes après la connexion à GitHub, les problèmes ont commencé à affluer. Après la connexion à Vanta, tout était terminé.
Quelle a été votre expérience avec l'équipe Aikido ?
Incroyable. Chaque fois que nous avions un problème, le support intervenait en quelques minutes. Les correctifs arrivaient généralement le jour même.
« Chaque fois que nous rencontrions un problème, l'équipe de support d'Aikido intervenait en quelques minutes. »
Fonctionnalité préférée ?
Le filtrage automatique des vulnérabilités pertinentes.
Comment Aikido a-t-il changé votre approche de la sécurité ?
Cela nous a permis de maintenir une sécurité de niveau entreprise avec une petite équipe. Au lieu de surveiller manuellement les vulnérabilités, Aikido nous offre une visibilité instantanée. Nous pouvons nous concentrer sur le développement de fonctionnalités, sachant que nous serons alertés si quelque chose nécessite notre attention.
Pouvez-vous nous raconter un moment où Aikido et Vanta vous ont fait gagner du temps ou réduit votre stress ?
Pendant notre préparation à l'audit ISO27001. Au lieu de passer des semaines à collecter manuellement des preuves, nous avons généré les rapports directement à partir de nos intégrations. Cela signifiait que nous n'avons pas eu à interrompre le développement pour la conformité.
« Lors de la préparation de l'audit ISO27001, nous avons généré les preuves dont nous avions besoin à partir de nos intégrations, sans des semaines de travail manuel. »
Avez-vous constaté des résultats mesurables ?
Le plus grand avantage est le temps gagné : environ 10 à 15 heures par mois que nous passions auparavant à la surveillance manuelle de la sécurité et à la préparation de la conformité. Pour une petite équipe, cela représente près d'une demi-semaine de travail d'un développeur, désormais libérée pour le développement produit. Notre temps de réponse aux vulnérabilités est également beaucoup plus rapide : nous sommes notifiés immédiatement, et non lors d'une revue manuelle.
« Le plus grand avantage est le temps gagné : 10 à 15 heures par mois, soit près d'une demi-semaine de travail d'un développeur. »
Si vous deviez décrire l'impact d'Aikido en une phrase, quelle serait-elle ?
Aikido gère les tâches fastidieuses de surveillance de la sécurité, ce qui nous permet de détecter et de corriger les vulnérabilités avant qu'elles ne deviennent des incidents.
