Hey Aki ! Peux-tu te présenter et expliquer ton rôle chez Midaxo ?
Je suis Aki Hänninen, CISO et DevSecOps lead chez Midaxo. J'ai délibérément réparti ces rôles : le CISO s'occupe davantage de la sécurité de l'entreprise, de la gouvernance et des certifications comme ISO 27001, tandis que le DevSecOps se concentre sur la sécurité des produits et des plates-formes. Notre équipe d'ingénieurs compte environ 15 personnes (réparties en 5 équipes), réparties entre la Finlande et les États-Unis.
En fait, j'ai commencé chez Midaxo en tant qu'architecte logiciel lorsque nous avons reconstruit notre plateforme cloud à partir de zéro. Au fur et à mesure que nous avons mûri, j'ai évolué vers les opérations et la sécurité, et je me considère aujourd'hui comme un "architecte logiciel en voie de guérison" (rires). Je suis toujours proche du code, mais je me concentre sur la mise en place de la sécurité dans l'ensemble de l'organisation.
Et que fait Midaxo ?
Midaxo fournit une plateforme centralisée qui aide les équipes de développement des entreprises à gérer des processus complexes tels que les fusions-acquisitions, les cessions, la gestion de la propriété intellectuelle ou même les transactions immobilières.
Au lieu de s'appuyer sur Excel et PowerPoint (ce qui est encore la norme pour beaucoup), nos clients utilisent Midaxo Cloud pour rendre leurs flux de travail plus systématiques, reproductibles et améliorables. Nous nous concentrons sur la transparence, la collaboration et la garantie que les bonnes informations sont disponibles pour les bonnes personnes au bon moment afin de réduire les risques dans les initiatives stratégiques.
Quelle est l'importance de la sécurité pour votre entreprise ?
C'est absolument obligatoire. La plupart de nos contrats impliquent des évaluations de la gestion des risques par des tiers, et les attentes en matière de confidentialité des données sont élevées. La sécurité est pour nous un facteur de vente majeur : sans de solides pratiques de sécurité, nous ne pourrions tout simplement pas remporter de contrats dans ce domaine.
"La sécurité est pour nous un facteur de vente important : sans de solides pratiques de sécurité, nous ne pourrions tout simplement pas remporter de contrats dans ce domaine.
Il ne s'agit pas seulement de conformité ou de cases à cocher pour une évaluation de la sécurité. Nous considérons la sécurité comme une partie intégrante du produit. Cela inclut la manière dont nous construisons, dont nous déployons et dont nous gérons les incidents ou les vulnérabilités en interne.
C'est pourquoi nous avons investi massivement dans la sécurité à tous les niveaux : du produit à l'infrastructure.
Quelles étaient vos principales préoccupations en matière de sécurité avant de pratiquer l'Aïkido ?
Nous sommes très cloud-native et nous nous appuyons fortement sur les services gérés par AWS et l'infrastructure sans serveur, ce qui signifie que nous pouvons nous décharger d'une partie de la sécurité de l'infrastructure. Mais cela déplace également notre attention interne vers la sécurité des applications.
La gestion des vulnérabilités était une véritable plaie. Les résultats SCA, SAST, DAST... tout était réparti entre différents outils (AWS Inspector, SonarCloud et Detectify, pour n'en citer que quelques-uns). C'est devenu le jeu classique de "Hé, est-ce que quelqu'un s'est déjà penché sur cette vulnérabilité ?".
"La gestion de la sécurité est devenue un jeu de piste classique : "Quelqu'un s'est-il déjà penché sur cette vulnérabilité ?".
Chaque outil travaillait de manière isolée. Il n'y avait pas de vue unifiée. Les vulnérabilités devaient être triées et attribuées manuellement. Cela ralentissait tout. Notre équipe de sécurité effectuait la plupart des tâches lourdes, et l'adoption des outils et des pratiques de sécurité par l'ensemble de l'équipe d'ingénieurs était faible.
Qu'est-ce qui a permis à l'Aïkido de se démarquer lors de votre évaluation ?
Aikido semble avoir été conçu pour des entreprises comme la nôtre, avec de solides équipes d'ingénieurs en interne, mais avec des ressources limitées en termes de personnel de sécurité, et non pas exclusivement pour des entreprises géantes (comme certains autres fournisseurs dans ce domaine).
"Les développeurs ont commencé à résoudre les problèmes par eux-mêmes, parce qu'Aikido leur permettait de savoir facilement ce qu'il fallait faire et qui devait le faire.
La mise en place a été facile, la gouvernance est devenue plus claire et la propriété est devenue évidente. La plateforme nous a aidés à faire remonter les problèmes pertinents vers les bonnes équipes, en évitant tout le bruit. Ce que j'ai le plus apprécié, c'est qu'elle a rationalisé notre flux de travail. Quel soulagement de ne plus passer d'un tableau de bord à l'autre et d'un outil à l'autre.
Comment s'est déroulé le déploiement ? A-t-il été difficile de l'intégrer à votre configuration existante ?
"Honnêtement ? Le déploiement a été presque invisible. Tout va comme un gant".
Nous sommes très attachés à l'autonomie des équipes, et la fonction de filtrage d'Aikido a été cruciale pour moi en tant que RSSI. Chacune de nos cinq équipes voit désormais quelles conclusions de sécurité sont pertinentes pour leur code, et cela s'aligne parfaitement sur notre mode de fonctionnement. Rien que cela a facilité l'adoption.
Comment s'est déroulée votre expérience de travail avec l'équipe d'Aïkido ?
L'équipe a été remarquable. Lorsque j'ai enfin eu le temps d'essayer l'outil, l'équipe était là pour m'aider. Toutes les personnes avec lesquelles nous avons eu des contacts ont fait preuve d'une véritable mentalité de priorité au client. Ils sont à l'écoute des commentaires, agissent en conséquence et nous donnent l'impression d'être des partenaires.
Honnêtement, ce genre de réactivité est rare et nous a laissé une impression durable.
Qu'est-ce qui a changé dans votre façon de gérer la sécurité ?
Il a transformé notre processus de gestion des vulnérabilités en quelque chose de beaucoup plus proactif et convivial pour les développeurs. Nous transmettons désormais les résultats critiques directement aux canaux Slack propres à chaque équipe. La prise de conscience est plus grande, le bruit est plus faible et le processus est enfin durable. L'équipe de sécurité prend du recul et se concentre sur la gouvernance, et non sur les suivis quotidiens.
"Avant l'Aïkido, l'AppSec ressemblait à une friction. Aujourd'hui, elle fait partie du flux. La sécurité n'est plus considérée comme externe ou gênante. Elle fait partie intégrante de la manière dont les équipes livrent les logiciels.
Auparavant, il était difficile de faire agir les équipes. Aujourd'hui, nous constatons une diminution constante des problèmes critiques et de haute gravité. Nous prévoyons d'établir une base de référence dans le courant de l'année afin de déterminer dans quelle mesure nous maintenons cette posture améliorée au fil du temps.
En outre, la plus grande victoire est culturelle : la sécurité n'est plus perçue comme un élément externe ou gênant. Elle fait partie intégrante de la manière dont les équipes livrent les logiciels.
Comment les développeurs ont-ils réagi ?
C'est ce qui est le plus drôle. Dans la culture finlandaise, si quelque chose est cassé, vous en entendrez parler. Si ça marche, vous n'en entendrez pas parler.
"Le fait que personne ne se plaigne de l'aïkido ? C'est le meilleur retour d'information que l'on puisse avoir ici en Finlande.
Et si je peux me permettre d'ajouter une note culturelle : dans la culture finlandaise, nous n'aimons pas trop les compliments. Mais lorsque nos développeurs disent "ce n'est pas n'importe quoi et ça marche", c'est le plus bel éloge que l'on puisse faire (rires). Et c'est ce que notre équipe pense de l'Aïkido : il est utile, silencieux et fait le travail.
Quelle est votre caractéristique préférée ?
Comme je l'ai dit, le filtrage par équipe est pour moi la solution numéro un. Il prend en charge notre mode de travail décentralisé et facilite grandement mon travail de supervision de la sécurité au sein des équipes.
Mais je tiens à saluer tout particulièrement la fonction d'auto-ignorance. Elle supprime discrètement un grand nombre de résultats non pertinents, ce qui nous permet d'économiser du temps et de la bande passante. Il m'arrive de vérifier le nombre, juste pour me sentir bien.
"Je vérifie parfois le nombre d'auto-ignorations, juste pour me sentir bien. C'est tout le travail que nous n'avons pas eu à faire".

Enfin, si vous deviez résumer l'Aïkido en une phrase, quelle serait-elle ?
"Ça marche, tout simplement". Et pour une équipe de développement finlandaise ? C'est un grand éloge.