n8n a pour mission de rendre l'automatisation des workflows accessible aux équipes techniques. À mesure que leur organisation produit et ingénierie se développait, la complexité de leur posture de sécurité augmentait également. Nous avons discuté avec Cornelius, VP Engineering (et responsable de la sécurité par intérim) chez n8n, pour comprendre comment Aikido est devenu une pierre angulaire de leurs processus de gestion des vulnérabilités et de conformité.
Salut Cornelius ! Pouvez-vous vous présenter et nous parler de votre rôle chez n8n ?
Je suis Cornelius, VP Ingénierie chez n8n. Je suis chez n8n depuis près de quatre ans, supervisant et développant notre organisation d'ingénierie. Nous comptons actuellement environ 40 ingénieurs (au sein de l'équipe R&D plus large d'environ 50 personnes), et nous prévoyons d'atteindre 60 d'ici la fin de l'année. En plus de mes responsabilités d'ingénierie, j'agis également en tant que responsable de la sécurité de l'entreprise, aidant à gérer les audits comme SOC 2 et à définir notre posture de sécurité globale à mesure que nous nous développons.
Qu'est-ce qui rend n8n unique dans le domaine de l'automatisation des workflows ?
Notre objectif est de donner les moyens aux personnes techniques. Vous n'avez pas besoin d'être un programmeur pour utiliser n8n, mais si vous l'êtes, la plateforme peut vous rendre 10 fois plus productif. Nous combinons le meilleur des deux mondes : la flexibilité du low-code et la puissance du code personnalisé lorsque nécessaire. Cela facilite la création d'automatisations robustes, d'agents IA et d'outils internes.
Quel rôle la sécurité joue-t-elle dans votre secteur, et chez n8n spécifiquement ?
La sécurité est absolument critique pour deux raisons principales. Premièrement, les utilisateurs connectent leurs identifiants les plus sensibles (provenant d'outils comme Google, Salesforce, des bases de données et d'autres API), ce qui signifie que nous devons gagner et maintenir leur confiance pour gérer ces secrets.
Deuxièmement, nous servons des entreprises dans des secteurs fortement réglementés, y compris des agences gouvernementales et des organisations de sécurité avec les exigences de conformité les plus strictes. Ces organisations choisissent souvent d'auto-héberger n8n, ce qui leur donne un contrôle total sur leurs données et leur infrastructure tout en respectant leurs normes strictes de sécurité et de confidentialité.
Y a-t-il eu un moment qui a déclenché une approche plus stratégique de la sécurité ?
Au début, la sécurité n'était pas ignorée, mais elle n'était pas encore gérée de manière très structurée. Nous avions des outils comme Dependabot, GitHub code scanning et Snyk en place, mais le bruit qu'ils généraient et les e-mails hebdomadaires qu'ils continuaient d'envoyer n'étaient tout simplement pas suffisants. Il n'y avait pas de processus centralisé pour visualiser les résultats, ni de responsabilité claire pour les gérer.
Nous avions des outils comme Dependabot, GitHub code scanning et Snyk en place, mais le bruit qu'ils généraient et les e-mails hebdomadaires qu'ils continuaient d'envoyer n'étaient tout simplement pas suffisants. Il n'y avait pas de processus centralisé pour visualiser les résultats, ni de responsabilité claire pour les gérer.
Aikido nous a aidés à construire ce processus. Désormais, chaque vulnérabilité signalée par Aikido (qu'il s'agisse de code, d'images Docker ou d'infra) crée automatiquement un ticket dans Linear, avec des SLA basés sur la gravité. Cela signifie que chaque problème est suivi, priorisé et traité dans des délais définis. La sécurité n'est plus seulement un ensemble d'outils, elle est devenue un processus.
Quelles étaient vos principales préoccupations en matière de sécurité avant d'adopter Aikido ?
Principalement :
- Pas de processus cohérent
- Pas de vue d'ensemble centralisée de tous les résultats
- Aucun moyen d'appliquer les SLA sur l'ensemble des problèmes de sécurité
Nous avions besoin de quelque chose qui nous aiderait à respecter de manière fiable les délais de résolution, comme 21 jours pour les vulnérabilités de haute gravité. Aikido nous a donné la structure nécessaire pour réellement atteindre ces objectifs.
Comment gériez-vous la conformité et les audits avant Aikido ?
Nous travaillions avec Drata, mais la collecte de preuves de conformité nécessitait encore beaucoup d'efforts manuels. Aikido complète désormais Drata en offrant une vue unifiée de nos outils de sécurité. Cela nous a aidés à réduire le temps nécessaire pour collecter les preuves et réussir les audits.
L'intégration de Drata avec Aikido nous aide à réduire le temps nécessaire pour collecter les preuves et réussir les audits.
Qu'est-ce qui vous a marqué chez Aikido lors de votre évaluation ?
Nous avons été parmi les premiers à adopter Aikido. L'intégration GitHub était plug-and-play, littéralement en quelques clics.
Mais plus important encore, l'équipe Aikido a été incroyablement réactive. Nous donnions des retours, et l'équipe Aikido répondait dans l'heure et livrait des améliorations ou des correctifs dans la journée. Ils le font toujours d'ailleurs. Ce type de partenariat a été inestimable, surtout lors de la préparation d'un audit SOC 2.
L'équipe Aikido est incroyablement réactive. Nous donnons des retours et obtenons une réponse dans l'heure. Les améliorations ou les correctifs sont souvent livrés dans la journée.
Comment avez-vous intégré Aikido dans vos workflows ?
- GitHub pour l'analyse des bases de code
- Linéaire pour le transfert et la résolution des tickets
Dans l'ensemble, cela nous a permis de maîtriser la situation.
Comment s'est déroulée votre expérience de collaboration avec l'équipe Aikido ?
Excellent. Ils sont incroyablement rapides et transparents, et toujours prêts à organiser un appel ou à résoudre un problème rapidement. Il y a une grande confiance. Comme mentionné, chaque fois que nous rencontrons un bug ou avons un retour, l'équipe s'en occupe rapidement, résolvant généralement les problèmes en une journée. Ce support a joué un rôle majeur dans le succès du déploiement.
Quelle est votre fonctionnalité préférée dans Aikido ?
Absolument, le filtrage par équipe. Cela nous permet d'acheminer instantanément les vulnérabilités à la bonne équipe.
Mais le fil d'actualité principal est l'endroit où je passe le plus clair de mon temps. Je le consulte au moins cinq fois par semaine pour voir ce qui est ouvert, ce qui est urgent et ce qui a été résolu. Cela me donne une visibilité complète.
Le fil d'actualité principal d'Aikido est l'endroit où je passe la majeure partie de mon temps. Je le consulte au moins cinq fois par semaine pour voir ce qui est ouvert, ce qui est urgent et ce qui a été résolu. Cela me donne une visibilité complète.
Étant donné que nous sommes à la fois un produit commercial et open source, nous dépendons fortement des bibliothèques open source. Les fonctionnalités de visualisation des licences open source et de SBOM (Software Bill of Materials) sont également essentielles pour nous.
n8n rapporte une réduction du bruit de 92 % grâce à Aikido. Quel a été l'impact ?
Oui ! La réduction du bruit de 92 % change la donne. Cela nous permet de nous concentrer sur les 8 % qui comptent réellement. Rien que cela est inestimable.
Bien que certains tickets soient un peu cryptiques, ils sont suffisamment clairs pour que les ingénieurs puissent commencer. Honnêtement, nous nous sommes vite habitués au 'calme', et maintenant j'aimerais que ce soit encore plus silencieux. C'est un énorme gain de productivité et de sérénité.
Avec 92 % de réduction du bruit, nous nous sommes rapidement habitués au « calme ». Maintenant, j'aimerais que ce soit encore plus silencieux ! C'est un énorme gain de productivité et de sérénité.
Avez-vous constaté des résultats mesurables ?
Le simple fait de pouvoir affirmer « nous avons réduit le bruit de 92 % » est significatif. Mais au-delà de cela, la capacité à respecter les SLA et à réussir les audits plus efficacement représente un avantage considérable pour nous.
Comment Aikido a-t-il globalement modifié votre posture de sécurité ?
Cela a centralisé notre approche. Avant, les choses étaient dispersées entre différents outils et boîtes de réception. Maintenant, nous avons une source unique de vérité.
Si vous deviez résumer l'impact d'Aikido chez n8n en une phrase ?
Aikido nous apporte une tranquillité d'esprit en matière de sécurité (ce qui est déjà un défi en soi).
