Hey Aki ! Peux-tu te présenter et expliquer ton rôle chez Midaxo ?
Je suis Aki Hänninen, CISO et DevSecOps lead chez Midaxo. J'ai délibérément réparti ces rôles : le CISO s'occupe davantage de la sécurité de l'entreprise, de la gouvernance et des certifications comme ISO 27001, tandis que le DevSecOps se concentre sur la sécurité des produits et des plates-formes. Notre équipe d'ingénieurs compte environ 15 personnes (réparties en 5 équipes), réparties entre la Finlande et les États-Unis.
En fait, j'ai commencé chez Midaxo en tant qu'architecte logiciel lorsque nous avons reconstruit notre plateforme cloud à partir de zéro. Au fur et à mesure que nous avons mûri, j'ai évolué vers les opérations et la sécurité, et je me considère aujourd'hui comme un "architecte logiciel en voie de guérison" (rires). Je suis toujours proche du code, mais je me concentre sur la mise en place de la sécurité dans l'ensemble de l'organisation.
Et que fait Midaxo ?
Midaxo est une plateforme logicielle centralisée conçue pour les équipes chargées des fusions et acquisitions et du développement des entreprises. Elle est conçue pour gérer des processus complexes tels que les acquisitions, les cessions, la gestion de la propriété intellectuelle, etc.
Alors que de nombreuses équipes s'appuient encore sur Excel et PowerPoint pour mener à bien ces initiatives, Midaxo fournit un système centralisé qui remplace ces outils manuels par un flux de travail plus structuré, collaboratif et reproductible. Il rassemble tous les éléments en un seul endroit, de sorte que les équipes peuvent avancer plus rapidement, réduire les risques et prendre de meilleures décisions avec une visibilité et une responsabilité en temps réel sur l'ensemble du cycle de vie de l'opération.
Quelle est l'importance de la sécurité pour votre entreprise ?
C'est absolument obligatoire. La plupart de nos contrats impliquent des évaluations de risques par des tiers, et les attentes en matière de protection des données et de confidentialité sont élevées (en particulier compte tenu de la nature du travail de nos clients). La sécurité est un facteur de différenciation majeur pour nous. Elle donne à nos clients la confiance nécessaire pour choisir Midaxo comme partenaire dans la gestion de processus sensibles et à fort enjeu.
Il ne s'agit pas seulement de conformité ou de cases à cocher pour une évaluation de la sécurité. Nous considérons la sécurité comme une partie intégrante du produit. Cela inclut la manière dont nous construisons, dont nous déployons et dont nous gérons les incidents ou les vulnérabilités en interne. C'est pourquoi nous avons investi massivement dans la sécurité à tous les niveaux : du produit à l'infrastructure.
Quelles étaient vos principales préoccupations en matière de sécurité avant de pratiquer l'Aïkido ?
Nous sommes très cloud-native et nous nous appuyons fortement sur les services gérés par AWS et l'infrastructure sans serveur, ce qui signifie que nous pouvons nous décharger d'une partie de la sécurité de l'infrastructure. Mais cela déplace également notre attention interne vers la sécurité des applications.
La gestion des vulnérabilités était une véritable plaie. Les résultats SCA, SAST, DAST... tout était réparti entre différents outils (AWS Inspector, SonarCloud et Detectify, pour n'en citer que quelques-uns). C'est devenu le jeu classique du "Hé, quelqu'un s'est-il déjà penché sur cette vulnérabilité ?".
"Avant l'Aïkido, la gestion de la sécurité se résumait à un jeu de piste classique : "Quelqu'un s'est-il déjà penché sur cette vulnérabilité ?".
Chaque outil travaillait de manière isolée. Il n'y avait pas de vue unifiée. Les vulnérabilités devaient être triées et attribuées manuellement. Cela ralentissait tout. Notre équipe de sécurité effectuait la plupart des tâches lourdes, et l'adoption des outils et des pratiques de sécurité par l'ensemble de l'équipe d'ingénieurs était faible.
Qu'est-ce qui a permis à l'Aïkido de se démarquer lors de votre évaluation ?
Aikido semble avoir été conçu pour des entreprises comme la nôtre, qui disposent de solides équipes d'ingénieurs en interne, mais dont les ressources en personnel de sécurité sont limitées, et non pas exclusivement pour des entreprises géantes (comme certains des autres fournisseurs dans ce domaine).
"Les développeurs ont commencé à résoudre les problèmes par eux-mêmes, parce qu'Aikido leur permettait de savoir facilement ce qu'il fallait faire et qui devait le faire.
La mise en place a été facile, la gouvernance est devenue plus claire et la propriété est devenue évidente. La plateforme nous a aidés à faire remonter les problèmes pertinents vers les bonnes équipes, en évitant tout le bruit. Ce que j'ai le plus apprécié, c'est qu'elle a rationalisé notre flux de travail. Quel soulagement de ne plus passer d'un tableau de bord à l'autre et d'un outil à l'autre.
Comment s'est déroulé le déploiement ? A-t-il été difficile de l'intégrer à votre configuration existante ?
"Honnêtement ? Le déploiement a été presque invisible. Tout va comme un gant".
Nous tenons à ce que les équipes restent autonomes, et la fonction de filtrage d'équipe d'Aikido fonction de filtrage des équipes d'Aikido d'Aikido a été cruciale pour moi en tant que RSSI. Chacune de nos cinq équipes voit désormais les résultats de sécurité qui sont pertinents pour leur code, et cela correspond parfaitement à notre mode de fonctionnement. Rien que pour cela, l'adoption a été facile.
Comment s'est déroulée votre expérience de travail avec l'équipe d'Aïkido ?
L'équipe a été remarquable. Lorsque j'ai enfin eu le temps d'essayer l'outil, l'équipe était là pour m'aider. Toutes les personnes avec lesquelles nous avons eu des contacts ont fait preuve d'une véritable mentalité de priorité au client. Ils sont à l'écoute des commentaires, agissent en conséquence et nous donnent l'impression d'être des partenaires.
Honnêtement, ce genre de réactivité est rare et nous a laissé une impression durable.
Qu'est-ce qui a changé dans votre façon de gérer la sécurité ?
Il a transformé notre processus de gestion des vulnérabilités en quelque chose de beaucoup plus proactif et convivial pour les développeurs. Nous transmettons désormais les résultats critiques directement aux canaux Slack propres à chaque équipe. La prise de conscience est plus grande, le bruit est plus faible et le processus est enfin durable. L'équipe de sécurité prend du recul et se concentre sur la gouvernance, et non sur les suivis quotidiens.
"Avant l'Aïkido, l'AppSec ressemblait à une friction. Aujourd'hui, elle fait partie du flux. La sécurité n'est plus considérée comme externe ou gênante. Elle fait partie intégrante de la manière dont les équipes livrent les logiciels.
Auparavant, il était difficile de faire agir les équipes. Aujourd'hui, nous constatons une diminution constante des problèmes critiques et de haute gravité. Nous prévoyons d'établir une base de référence dans le courant de l'année afin de déterminer dans quelle mesure nous maintenons cette posture améliorée au fil du temps.
En outre, la plus grande victoire est culturelle : la sécurité n'est plus perçue comme un élément externe ou gênant. Elle fait partie intégrante de la manière dont les équipes livrent les logiciels.
Comment les développeurs ont-ils réagi ?
C'est ce qui est le plus drôle. Dans la culture finlandaise, si quelque chose est cassé, vous en entendrez parler. S'il fonctionne, vous n'en entendrez pas parler.
"Le fait que personne ne se plaigne de l'aïkido ? C'est le meilleur retour d'information que l'on puisse avoir ici en Finlande.
Et si je peux me permettre d'ajouter une note culturelle : dans la culture finlandaise, nous n'aimons pas trop les compliments. Mais lorsque nos développeurs disent "ce n'est pas n'importe quoi et ça marche", c'est le plus bel éloge que l'on puisse faire (rires). Et c'est ce que notre équipe pense de l'Aïkido : il est utile, silencieux et fait le travail.
Quelle est votre caractéristique préférée ?
Comme nous l'avons mentionné, l'équipe de filtrage de l'équipe est le plus important pour moi. Il prend en charge notre mode de travail décentralisé et facilite grandement mon travail de supervision de la sécurité au sein des équipes.
Mais je tiens à saluer tout particulièrement la fonction fonction auto-ignore aussi. Elle supprime discrètement un grand nombre de résultats non pertinents, ce qui nous fait gagner du temps et de la bande passante. Il m'arrive de vérifier le nombre de résultats, juste pour me rassurer.
"Je vérifie parfois le nombre d'auto-ignorations, juste pour me sentir bien. C'est tout le travail que nous n'avons pas eu à faire".
Enfin, si vous deviez résumer l'Aïkido en une phrase, quelle serait-elle ?
"Ça marche, tout simplement". Et pour une équipe de développement finlandaise ? C'est un grand éloge.
Rubrique 1
Rubrique 2
Rubrique 3
Rubrique 4
Rubrique 5
Rubrique 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Citation en bloc
Liste ordonnée
- Point 1
- Point 2
- Point 3
Liste non ordonnée
- Poste A
- Poste B
- Poste C
Texte en gras
Accentuation
Exposé des motifs
Indice
.avif)
