Aikido
Histoire
7 minutes de lecture

Sécuriser le code à la manière finlandaise : Pas de drame. Cela fonctionne, c'est tout.

"Cela fonctionne, tout simplement. Et dans la culture finlandaise, c'est le plus beau compliment que l'on puisse recevoir. Si cela ne fonctionnait pas, nous en entendrions parler."

Aki Hänninen
RSSI et DevSecOps Lead
Table des matières
TOC Item
Site web
https://www.midaxo.com/
Fondée
2011
L'industrie
Autres
Financement levé
$21.6M
Siège
Boston, Massachusetts
Taille de l'équipe de développement
15

Hey Aki ! Peux-tu te présenter et expliquer ton rôle chez Midaxo ?

Je suis Aki Hänninen, CISO et DevSecOps lead chez Midaxo. J'ai délibérément réparti ces rôles : le CISO s'occupe davantage de la sécurité de l'entreprise, de la gouvernance et des certifications comme ISO 27001, tandis que le DevSecOps se concentre sur la sécurité des produits et des plates-formes. Notre équipe d'ingénieurs compte environ 15 personnes (réparties en 5 équipes), réparties entre la Finlande et les États-Unis.

En fait, j'ai commencé chez Midaxo en tant qu'architecte logiciel lorsque nous avons reconstruit notre plateforme cloud à partir de zéro. Au fur et à mesure que nous avons mûri, j'ai évolué vers les opérations et la sécurité, et je me considère aujourd'hui comme un "architecte logiciel en voie de guérison" (rires). Je suis toujours proche du code, mais je me concentre sur la mise en place de la sécurité dans l'ensemble de l'organisation.

Et que fait Midaxo ?

Midaxo fournit une plateforme centralisée qui aide les équipes de développement des entreprises à gérer des processus complexes tels que les fusions-acquisitions, les cessions, la gestion de la propriété intellectuelle ou même les transactions immobilières.

Au lieu de s'appuyer sur Excel et PowerPoint (ce qui est encore la norme pour beaucoup), nos clients utilisent Midaxo Cloud pour rendre leurs flux de travail plus systématiques, reproductibles et améliorables. Nous nous concentrons sur la transparence, la collaboration et la garantie que les bonnes informations sont disponibles pour les bonnes personnes au bon moment afin de réduire les risques dans les initiatives stratégiques.

Quelle est l'importance de la sécurité pour votre entreprise ?

C'est absolument obligatoire. La plupart de nos contrats impliquent des évaluations de la gestion des risques par des tiers, et les attentes en matière de confidentialité des données sont élevées. La sécurité est pour nous un facteur de vente majeur : sans de solides pratiques de sécurité, nous ne pourrions tout simplement pas remporter de contrats dans ce domaine.

"La sécurité est pour nous un facteur de vente important : sans de solides pratiques de sécurité, nous ne pourrions tout simplement pas remporter de contrats dans ce domaine.

Il ne s'agit pas seulement de conformité ou de cases à cocher pour une évaluation de la sécurité. Nous considérons la sécurité comme une partie intégrante du produit. Cela inclut la manière dont nous construisons, dont nous déployons et dont nous gérons les incidents ou les vulnérabilités en interne.

C'est pourquoi nous avons investi massivement dans la sécurité à tous les niveaux : du produit à l'infrastructure.

Quelles étaient vos principales préoccupations en matière de sécurité avant de pratiquer l'Aïkido ?

Nous sommes très cloud-native et nous nous appuyons fortement sur les services gérés par AWS et l'infrastructure sans serveur, ce qui signifie que nous pouvons nous décharger d'une partie de la sécurité de l'infrastructure. Mais cela déplace également notre attention interne vers la sécurité des applications.

La gestion des vulnérabilités était une véritable plaie. Les résultats SCA, SAST, DAST... tout était réparti entre différents outils (AWS Inspector, SonarCloud et Detectify, pour n'en citer que quelques-uns). C'est devenu le jeu classique de "Hé, est-ce que quelqu'un s'est déjà penché sur cette vulnérabilité ?".

"La gestion de la sécurité est devenue un jeu de piste classique : "Quelqu'un s'est-il déjà penché sur cette vulnérabilité ?".

Chaque outil travaillait de manière isolée. Il n'y avait pas de vue unifiée. Les vulnérabilités devaient être triées et attribuées manuellement. Cela ralentissait tout. Notre équipe de sécurité effectuait la plupart des tâches lourdes, et l'adoption des outils et des pratiques de sécurité par l'ensemble de l'équipe d'ingénieurs était faible.

Qu'est-ce qui a permis à l'Aïkido de se démarquer lors de votre évaluation ?

Aikido semble avoir été conçu pour des entreprises comme la nôtre, avec de solides équipes d'ingénieurs en interne, mais avec des ressources limitées en termes de personnel de sécurité, et non pas exclusivement pour des entreprises géantes (comme certains autres fournisseurs dans ce domaine).

"Les développeurs ont commencé à résoudre les problèmes par eux-mêmes, parce qu'Aikido leur permettait de savoir facilement ce qu'il fallait faire et qui devait le faire.

La mise en place a été facile, la gouvernance est devenue plus claire et la propriété est devenue évidente. La plateforme nous a aidés à faire remonter les problèmes pertinents vers les bonnes équipes, en évitant tout le bruit. Ce que j'ai le plus apprécié, c'est qu'elle a rationalisé notre flux de travail. Quel soulagement de ne plus passer d'un tableau de bord à l'autre et d'un outil à l'autre.

Comment s'est déroulé le déploiement ? A-t-il été difficile de l'intégrer à votre configuration existante ?

"Honnêtement ? Le déploiement a été presque invisible. Tout va comme un gant".

Nous sommes très attachés à l'autonomie des équipes, et la fonction de filtrage d'Aikido a été cruciale pour moi en tant que RSSI. Chacune de nos cinq équipes voit désormais quelles conclusions de sécurité sont pertinentes pour leur code, et cela s'aligne parfaitement sur notre mode de fonctionnement. Rien que cela a facilité l'adoption.

Comment s'est déroulée votre expérience de travail avec l'équipe d'Aïkido ?

L'équipe a été remarquable. Lorsque j'ai enfin eu le temps d'essayer l'outil, l'équipe était là pour m'aider. Toutes les personnes avec lesquelles nous avons eu des contacts ont fait preuve d'une véritable mentalité de priorité au client. Ils sont à l'écoute des commentaires, agissent en conséquence et nous donnent l'impression d'être des partenaires.

Honnêtement, ce genre de réactivité est rare et nous a laissé une impression durable.

Qu'est-ce qui a changé dans votre façon de gérer la sécurité ?

Il a transformé notre processus de gestion des vulnérabilités en quelque chose de beaucoup plus proactif et convivial pour les développeurs. Nous transmettons désormais les résultats critiques directement aux canaux Slack propres à chaque équipe. La prise de conscience est plus grande, le bruit est plus faible et le processus est enfin durable. L'équipe de sécurité prend du recul et se concentre sur la gouvernance, et non sur les suivis quotidiens.

"Avant l'Aïkido, l'AppSec ressemblait à une friction. Aujourd'hui, elle fait partie du flux. La sécurité n'est plus considérée comme externe ou gênante. Elle fait partie intégrante de la manière dont les équipes livrent les logiciels.

Auparavant, il était difficile de faire agir les équipes. Aujourd'hui, nous constatons une diminution constante des problèmes critiques et de haute gravité. Nous prévoyons d'établir une base de référence dans le courant de l'année afin de déterminer dans quelle mesure nous maintenons cette posture améliorée au fil du temps.
En outre, la plus grande victoire est culturelle : la sécurité n'est plus perçue comme un élément externe ou gênant. Elle fait partie intégrante de la manière dont les équipes livrent les logiciels.

Comment les développeurs ont-ils réagi ?

C'est ce qui est le plus drôle. Dans la culture finlandaise, si quelque chose est cassé, vous en entendrez parler. Si ça marche, vous n'en entendrez pas parler.

"Le fait que personne ne se plaigne de l'aïkido ? C'est le meilleur retour d'information que l'on puisse avoir ici en Finlande.

Et si je peux me permettre d'ajouter une note culturelle : dans la culture finlandaise, nous n'aimons pas trop les compliments. Mais lorsque nos développeurs disent "ce n'est pas n'importe quoi et ça marche", c'est le plus bel éloge que l'on puisse faire (rires). Et c'est ce que notre équipe pense de l'Aïkido : il est utile, silencieux et fait le travail.

Quelle est votre caractéristique préférée ?

Comme je l'ai dit, le filtrage par équipe est pour moi la solution numéro un. Il prend en charge notre mode de travail décentralisé et facilite grandement mon travail de supervision de la sécurité au sein des équipes.

Mais je tiens à saluer tout particulièrement la fonction d'auto-ignorance. Elle supprime discrètement un grand nombre de résultats non pertinents, ce qui nous permet d'économiser du temps et de la bande passante. Il m'arrive de vérifier le nombre, juste pour me sentir bien.

"Je vérifie parfois le nombre d'auto-ignorations, juste pour me sentir bien. C'est tout le travail que nous n'avons pas eu à faire".

Aikido vous donne une vue d'ensemble centralisée de tous les problèmes ignorés tout au long du SDLC.

Enfin, si vous deviez résumer l'Aïkido en une phrase, quelle serait-elle ?

"Ça marche, tout simplement". Et pour une équipe de développement finlandaise ? C'est un grand éloge. 

Télécharger le dossier au format pDF

D'autres belles histoires racontées par nos clients

Comment Helin a fait de la sécurité une priorité pour les développeurs dans les systèmes industriels et renouvelables.
Voir l'histoire
Helin
FinTech
Voir l'histoire
Faspay
Autres
Voir l'histoire
Midaxo
Développement de logiciels
Voir l'histoire
L'autonomie
HRTech
Aikido a transformé Vanta d'une course trimestrielle en une sécurité permanente.
Voir l'histoire
EmbaucheBranche
SecurityTech
La sortie de Snyk était difficile à mettre en œuvre et il fallait la coller à d'autres outils pour obtenir une couverture complète.
Voir l'histoire
Apheris
Agences
La sécurité au service du développement, sans le chaos : comment TechDivision a débloqué la vitesse et la clarté.
Voir l'histoire
TechDivision
Autres
Sécurité adaptée à la vente au détail avec des informations en temps réel et moins de faux positifs.
Voir l'histoire
Coniq
Autres
Mise en œuvre d'une feuille de route à long terme en matière de sécurité
Voir l'histoire
SecWise
Développement de logiciels
D'un patchwork d'outils open-source à un dispositif de sécurité centralisé.
Voir l'histoire
Kunlabora
Agences
De la vitesse d'une startup à l'échelle d'une entreprise, Gravity unit l'UX et l'AppSec à l'Aikido.
Voir l'histoire
Gravité
Autres
Sécuriser facilement la croissance d'InviteDesk par acquisition.
Voir l'histoire
InviteDesk
Autres
De la préparation de l'audit SOC 2 à la conformité continue.
Voir l'histoire
OutboundSync
Agences
Sécurisation de plus de 100 référentiels à travers les clients et les projets.
Voir l'histoire
CORE
Agences
Rationaliser la sécurité dans plus de 1 500 référentiels sans se ruiner.
Voir l'histoire
Cinq novembre
HRTech
Replaced noisy tools with <1 min fixes and dev-first workflows.
Voir l'histoire
Simployer
FinTech
La solution précédente de CertifID leur permettait de chasser trop de faux positifs.
Voir l'histoire
CertifID
PE et sociétés du groupe
Fournir le SCA et au-delà à plus de 6 000 développeurs.
Voir l'histoire
Visma
FinTech
Minimiser les faux positifs, tout en gardant GitHub comme source unique de vérité.
Voir l'histoire
Liaison
Technologies de la santé
Le temps de résolution le plus rapide de Birdie ? 30 secondes.
Voir l'histoire
Birdie
Développement de logiciels
Marvelution intègre la sécurité dans son plan d'affaires en un seul mot : "fun".
Voir l'histoire
Marvelution
Technologies de la santé
Réaliser des gains d'efficacité, d'une interface intuitive à des pentests derrière le mur de connexion.
Voir l'histoire
Mediquest