Salut Aki ! Pouvez-vous vous présenter et nous parler de votre rôle chez Midaxo ?
Je suis Aki Hänninen, CISO et responsable DevSecOps chez Midaxo. Je sépare délibérément ces rôles : le côté CISO concerne davantage la sécurité d'entreprise, la gouvernance et les certifications comme ISO 27001, tandis que le côté DevSecOps se concentre sur la sécurité des produits et des plateformes. Notre équipe d'ingénierie compte environ 15 personnes (réparties sur 5 équipes) entre la Finlande et les États-Unis.
J'ai en fait commencé chez Midaxo en tant qu'architecte logiciel lorsque nous avons reconstruit notre plateforme cloud à partir de zéro. À mesure que nous avons mûri, j'ai évolué vers les opérations et la sécurité, et maintenant je me considère comme un « architecte logiciel en rémission » (rires). Je suis toujours proche du code, mais je me concentre sur l'activation de la sécurité à l'échelle de l'organisation.
Et que fait Midaxo ?
Midaxo est une plateforme logicielle centralisée conçue spécifiquement pour les équipes de fusions-acquisitions (M&A) et de développement d'entreprise. Elle est conçue pour gérer des processus complexes tels que les acquisitions, les cessions, la gestion de la propriété intellectuelle, et bien plus encore.
Alors que de nombreuses équipes s'appuient encore sur Excel et PowerPoint pour mener ces initiatives, Midaxo propose un système centralisé qui remplace ces outils manuels par un workflow plus structuré, collaboratif et reproductible. Il rassemble tout en un seul endroit, permettant aux équipes d'agir plus rapidement, de réduire les risques et de prendre de meilleures décisions grâce à une visibilité en temps réel et une responsabilisation tout au long du cycle de vie des transactions.
Quelle est l'importance de la sécurité pour votre entreprise ?
C'est absolument obligatoire. La plupart de nos transactions impliquent des évaluations des risques par des tiers, et les attentes en matière de protection et de confidentialité des données sont élevées (surtout compte tenu de la nature du travail de nos clients). La sécurité est un différenciateur majeur pour nous. Elle donne à nos clients la confiance nécessaire pour choisir Midaxo comme partenaire dans la gestion de processus sensibles et à enjeux élevés.
Il ne s'agit pas seulement de conformité ou de cases à cocher pour une évaluation de sécurité. Nous traitons la sécurité comme une partie intégrante du produit. Cela inclut la manière dont nous construisons, déployons et gérons les incidents ou les vulnérabilités en interne. C'est pourquoi nous avons tant investi dans la sécurité à tous les niveaux : du produit à l'infrastructure.
Quelles étaient vos principales préoccupations en matière de sécurité avant d'utiliser Aikido ?
Nous sommes très cloud-native et nous nous appuyons fortement sur les services gérés d'AWS et l'infrastructure serverless, ce qui nous permet de décharger une partie de la sécurité de l'infrastructure. Mais cela déplace également notre attention interne vers la sécurité des applications.
La gestion des vulnérabilités était un casse-tête. Les résultats SCA, SAST, DAST… tout était dispersé entre différents outils (AWS Inspector, SonarCloud et Detectify, pour n'en nommer que quelques-uns). C'est devenu le classique jeu du tape-taupe : « Hé, quelqu'un a-t-il déjà examiné cette vulnérabilité ? »
« Avant Aikido, la gestion de la sécurité était le classique jeu du tape-taupe : « Hé, quelqu'un a-t-il déjà examiné cette vulnérabilité ? »
Chaque outil fonctionnait de manière isolée. Il n'y avait pas de vue unifiée. Les vulnérabilités devaient être triées et assignées manuellement. Cela ralentissait tout. Notre équipe de sécurité faisait la majeure partie du travail, et l'adoption des outils et pratiques de sécurité au sein de l'équipe d'ingénierie élargie était faible.
Qu'est-ce qui a distingué Aikido lors de votre évaluation ?
Aikido nous a donné l'impression d'avoir été conçu pour des entreprises comme la nôtre, dotées de solides équipes d'ingénierie en interne, mais avec des ressources limitées en personnel de sécurité, et non exclusivement pour les grandes entreprises (comme certains autres fournisseurs du marché).
« Les développeurs ont commencé à corriger les problèmes par eux-mêmes, car Aikido a facilité la compréhension de ce qu'il fallait faire et de qui devait le faire. »
L'installation a été facile, la gouvernance est devenue plus claire et la propriété plus évidente. La plateforme nous a aidés à faire remonter les problèmes pertinents aux bonnes équipes sans tout le bruit. Ce que j'ai le plus apprécié, c'est qu'elle a rationalisé notre workflow. Quel soulagement de ne plus avoir à jongler entre les tableaux de bord et les outils.
Comment s'est déroulé le déploiement ? A-t-il été difficile de l'intégrer à votre configuration existante ?
« Honnêtement ? Le déploiement a été presque invisible. Tout s'est parfaitement intégré. »
Nous attachons une grande importance à l'autonomie des équipes, et la fonctionnalité de filtrage par équipe d'Aikido a été cruciale pour moi en tant que CISO. Chacune de nos cinq équipes ne voit désormais que les résultats de sécurité pertinents pour son code, et cela s'aligne parfaitement avec notre mode de fonctionnement. Cela seul a facilité l'adoption.
Comment s'est déroulée votre expérience de collaboration avec l'équipe Aikido ?
L'équipe a été exceptionnelle. Quand j'ai enfin eu le temps d'essayer l'outil, l'équipe était là pour m'aider. Toutes les personnes avec lesquelles nous avons interagi ont fait preuve d'une véritable mentalité axée sur le client. Elles écoutent les retours, agissent en conséquence et nous font sentir comme des partenaires.
Honnêtement, ce genre de réactivité est rare, et cela nous a laissé une impression durable.
Qu'est-ce qui a changé dans votre approche de la gestion de la sécurité ?
Cela a transformé notre processus de gestion des vulnérabilités en quelque chose de beaucoup plus proactif et convivial pour les développeurs. Nous transmettons désormais les découvertes critiques directement aux canaux Slack spécifiques aux équipes. La sensibilisation est plus élevée, le bruit est réduit et le processus est enfin durable. L'équipe de sécurité peut prendre du recul et se concentrer sur la gouvernance, et non sur les suivis quotidiens.
« Avant Aikido, l'AppSec était perçue comme une source de friction. Maintenant, elle fait simplement partie du flux. La sécurité n'est plus considérée comme externe ou ennuyeuse. Elle fait simplement partie de la façon dont les équipes livrent les logiciels. »
Avant, il était difficile d'inciter les équipes à agir. Aujourd'hui, nous constatons une diminution constante des problèmes critiques et à haute gravité. Nous prévoyons d'établir une référence plus tard cette année pour suivre la manière dont nous maintenons cette posture améliorée au fil du temps.
De plus, le plus grand succès est culturel : la sécurité n'est plus perçue comme une contrainte externe ou agaçante. Elle fait simplement partie intégrante de la manière dont les équipes livrent les logiciels.
Comment les développeurs ont-ils réagi ?
C'est ça le plus drôle. Dans la culture finlandaise, si quelque chose est cassé, vous en entendrez parler. Si ça fonctionne, non.
« Le fait que personne ne se plaigne d'Aikido ? C'est à peu près le meilleur retour que l'on puisse obtenir ici en Finlande. »
Et si je peux ajouter une note culturelle : dans la culture finlandaise, nous ne sommes pas très portés sur les compliments. Mais quand nos développeurs disent « ce n'est pas de la camelote et ça marche », c'est à peu près le plus grand éloge que l'on puisse obtenir (rires). Et c'est ce que notre équipe pense d'Aikido : c'est utile, discret et ça fait le travail.
Quelle est votre fonctionnalité préférée ?
Comme mentionné, le filtrage par équipe est primordial pour moi. Il soutient notre mode de travail décentralisé et facilite grandement ma tâche de supervision de la sécurité entre les équipes.
Mais je tiens aussi à saluer tout particulièrement la fonction d'auto-ignorance. Elle supprime discrètement un tas de résultats non pertinents, ce qui nous fait gagner du temps et de la charge mentale. Je vérifie parfois le nombre juste pour me sentir bien.
« Je vérifie parfois le nombre d'éléments ignorés automatiquement juste pour me sentir bien. C'est tout le travail que nous n'avons pas eu à faire. »
Enfin et surtout : si vous deviez résumer Aikido en une phrase, quelle serait-elle ?
« Ça marche tout simplement. » Et pour une équipe de développement finlandaise ? C'est un éloge considérable.
