Bonjour Jasper ! Quel est votre rôle, et qu'est-ce qui fait que Jurimesh se démarque dans le domaine de la LegalTech ?

Je suis le directeur technique et cofondateur de Jurimesh. Alors que la plupart des fournisseurs de LegalTech essaient de couvrir tous les cas d'utilisation juridique (souvent en les regroupant dans une interface de type ChatGPT), nous pensons plus loin. Jurimesh se concentre spécifiquement sur l'optimisation de la due diligence juridique, à la fois les flux de travail et le processus d'examen en utilisant l'IA et une interface facile à utiliser. 

Quel est l'objectif de la sécurité dans le domaine des technologies juridiques ?

La sécurité doit être au cœur de tout produit LegalTech. La profession juridique est extrêmement sensible et, en tant qu'entreprise traitant ces données, vous devez prendre toutes les précautions nécessaires pour éviter les fuites.

Quelle pression vos clients exercent-ils sur vos pratiques en matière de sécurité et de conformité ?

Il s'agit d'une préoccupation majeure (et d'une demande constante) de la part des clients. Les plus gros clients demandent des certifications comme ISO27001. Les plus petits clients se concentrent davantage sur la confiance. Nous gagnons les deux avec des points de validation solides : avoir un produit de sécurité comme Aikido, des contrôles de conformité rapides avec Vanta, des pentests, des certifications... Sans pratiques de sécurité décentes, nous ne conclurions pas d'affaires.

"Nous gagnons des clients, petits et grands, grâce à des points de validation solides : un produit de sécurité comme Aikido, des contrôles de conformité rapides avec Vanta... Sans de solides pratiques de sécurité et de conformité, nous ne conclurions aucune affaire."‍

Comment gériez-vous la sécurité et la conformité auparavant ?

Notre entreprise étant relativement jeune, nous n'avions pas d'outils tiers au préalable. Nous avons utilisé les scanners par défaut de Google Cloud et de GitHub et nous avons corrigé manuellement les vulnérabilités. Les tâches de conformité, comme les examens d'accès, étaient effectuées à l'aide de rappels de calendrier et de feuilles Excel. Comme vous pouvez le constater, tout cela demandait beaucoup de travail.

Nous manquions de visibilité sur les bibliothèques et les paquets vulnérables. GitHub en a couvert une partie, mais Aikido va plus loin : il analyse tout, des logiciels à l'infrastructure en nuage.

Comment Aikido a-t-il aidé à répondre aux exigences en matière de réglementation et de protection des données ?

Aikido maintient nos bibliothèques à jour et signale rapidement les vulnérabilités afin que nous puissions respecter nos accords de niveau de service internes. L'analyseur de licences nous fait gagner énormément de temps. Maintenant, Aikido est intégré dans notre pipeline CI/CD, de sorte que nous ne pouvons même pas livrer du code avec des problèmes connus. L'analyse automatisée des vulnérabilités est la plus cruciale, elle analyse nos paquets, nos images Docker et notre infrastructure.

À quoi ressemblait le processus de collecte des preuves de conformité avant de combiner l'aïkido et Vanta ?

Nous utilisions déjà Aikido avant de commencer notre parcours ISO27001 avec Vanta. Au début, cela signifiait exporter manuellement les preuves d'Aikido vers Vanta et faire beaucoup de saisie manuelle de données. Une fois l'intégration en place, le flux de preuves automatisées entre les deux plateformes s'est fait en toute transparence.

"Au départ, nous exportions manuellement les preuves d'Aikido vers Vanta. Aujourd'hui, l'intégration nous permet de disposer d'un pipeline de conformité transparent."

Comment décririez-vous le rôle que joue aujourd'hui la technologie dans votre démarche de conformité ?

Aikido est devenu le fondement de notre surveillance de la sécurité. Il recueille en permanence des preuves automatisées qui alimentent directement Vanta, créant ainsi un pipeline de conformité transparent. Au lieu de se démener pour trouver des preuves d'audit, nous avons une visibilité en temps réel et des enregistrements historiques prêts à tout moment.

"Aikido est devenu le fondement de notre surveillance de la sécurité, en fournissant une collecte de preuves continue et automatisée qui alimente directement Vanta. Nous sommes toujours prêts pour les audits."‍

Qu'est-ce qui ressort de l'évaluation des deux outils ?

La facilité d'installation. Nous n'avions pas le temps d'utiliser des outils complexes. Aikido a été installé en un seul clic. Quelques minutes après la connexion à GitHub, les problèmes ont commencé à affluer. Après s'être connecté à Vanta, tout était fait.

Comment s'est déroulée votre expérience au sein de l'équipe d'Aïkido ?

Incroyable. Chaque fois que nous avions un problème, le service d'assistance s'en occupait dans les minutes qui suivaient. Les corrections arrivaient généralement le jour même.

"Chaque fois que nous avons rencontré un problème, l'équipe d'assistance d'Aikido s'en est occupée en quelques minutes.

Caractéristique préférée ?

Le filtrage automatique des vulnérabilités pertinentes.

Comment l'aïkido a-t-il changé votre façon d'aborder la sécurité ?

Il nous a permis de maintenir une sécurité de niveau entreprise avec une petite équipe. Au lieu de surveiller manuellement les vulnérabilités, Aikido nous donne une visibilité instantanée. Nous pouvons nous concentrer sur la création de fonctionnalités en sachant que nous serons alertés si quelque chose nécessite une attention particulière.

Pouvez-vous partager un moment où l'Aïkido et Vanta vous ont fait gagner du temps ou du stress ?

Lors de la préparation de notre audit ISO27001. Au lieu de passer des semaines à rassembler des preuves manuellement, nous avons généré les rapports directement à partir de nos intégrations. Cela signifie que nous n'avons pas eu à interrompre le développement pour des raisons de conformité.

"Lors de la préparation de l'audit ISO27001, nous avons généré les preuves dont nous avions besoin à partir de nos intégrations, sans passer par des semaines de travail manuel.

Avez-vous constaté des résultats mesurables ?

Le gain de temps est le plus important : environ 10 à 15 heures par mois que nous consacrions à la surveillance manuelle de la sécurité et à la préparation de la conformité. Pour une petite équipe, cela représente près d'une demi-semaine de travail d'un développeur, qui peut désormais se consacrer au développement de produits. Notre temps de réponse aux vulnérabilités est également beaucoup plus rapide : nous sommes informés immédiatement, et non plus au cours d'un examen manuel.

"Le gain le plus important est le temps économisé : 10 à 15 heures par mois, soit près d'une demi-semaine de travail pour un développeur.

Si vous deviez décrire l'impact de l'Aïkido en une phrase, quelle serait-elle ?

Aikido s'occupe de la surveillance de la sécurité afin de détecter et de corriger les vulnérabilités avant qu'elles ne se transforment en incidents.