Ogaga Abuchi travaille en tant que CISO fractionnel depuis 2021, soutenant des entreprises dans les secteurs de la santé, de la fintech et du SaaS. En 2023, elle a commencé à travailler avec Nerdio à titre fractionnel, ainsi qu'avec plusieurs autres organisations.
Aujourd'hui, Ogaga gère la sécurité des produits et des applications chez Nerdio tout en continuant à conseiller d'autres organisations en tant que CISO fractionnel. Cette double perspective influence la façon dont elle évalue les outils : ils doivent fonctionner non seulement pour une seule entreprise, mais aussi à travers plusieurs environnements, niveaux de maturité et contraintes.
En un coup d'œil
- Personne interrogée : Ogaga Abuchi, CISO fractionnel et Responsable de la sécurité de l'information chez Nerdio
- Entreprise : Nerdio (plateforme de gestion Azure Virtual Desktop & Windows 365)
- Défi principal : Faire évoluer la sécurité des applications au sein des équipes avec un temps, un budget et une tolérance au bruit limités
- Avant Aikido : Outils AppSec coûteux avec un nombre élevé de faux positifs et un signal faible
- Utilisation d'Aikido pour : SAST, DAST, analyse des dépendances et des SBOM, flux de travail des développeurs, rapports exécutifs
- Résultat clé : Moins de bruit, une remédiation plus rapide et plus de temps pour les développeurs
Défi : faire évoluer la sécurité sans faire évoluer le chaos
Du point de vue d'Ogaga, la plupart des problèmes de sécurité ne sont pas techniques. Ils sont structurels.
En tant que CISO à temps partiel travaillant avec des petites et moyennes entreprises, elle est constamment confrontée aux mêmes contraintes :
- Petites équipes de sécurité avec une capacité opérationnelle limitée
- Budgets serrés qui ne peuvent pas supporter un outillage d'entreprise lourd
- Prolifération d'outils, où de multiples outils qui se chevauchent épuisent les ressources financières et l'attention
- Résistance culturelle, en particulier de la part des développeurs qui craignent que la sécurité ne les ralentisse
- Une tendance constante vers la gestion réactive des problèmes au lieu d'une sécurité proactive
Chez Nerdio, la base était déjà relativement mature : des développeurs expérimentés, des formations régulières en sécurité, des tests d'intrusion internes et externes, et une direction qui prenait les résultats au sérieux.
Mais même avec cette maturité, Ogaga a identifié un risque familier.
Sans l'outillage adéquat, les équipes sont soit submergées d'alertes, soit cessent de leur faire entièrement confiance.
Solution : une plateforme AppSec que les développeurs écoutent réellement
Avant Aikido, Nerdio utilisait un autre outil AppSec. Il était coûteux, générait beaucoup de bruit et était souvent obsolète. La plupart des résultats se sont avérés ne pas être de réels problèmes, ce qui rendait difficile d'avoir des conversations productives avec les développeurs.
Ce fut le point de rupture.
Après avoir recherché des alternatives et en s'appuyant sur son expérience antérieure, Ogaga a introduit Aikido.
Ce qui a immédiatement frappé n'était pas seulement la couverture, mais la qualité du signal.
Aikido a mis en évidence de réels problèmes dans les bibliothèques tierces et les SBOMs, a réduit les faux positifs et a expliqué les résultats d'une manière compréhensible pour les développeurs.
“Nous passions trop de temps sur des problèmes qui n'étaient pas réels. Avec Aikido, nous travaillons à nouveau sur de vraies vulnérabilités.”
Chez Nerdio, Aikido est désormais intégré aux dépôts et aux workflows. L'équipe utilise activement le SAST et le DAST, et son adoption s'étend progressivement à l'utilisation dans les IDE afin que les problèmes puissent être détectés encore plus tôt. Le scan cloud et le pentest IA sont les prochaines étapes de la roadmap.
Ogaga apprécie particulièrement les conseils basés sur l'IA d'Aikido.
“J'apprécie qu'il indique où se trouve le problème et comment le résoudre. Je n'ouvrirai pas automatiquement de pull requests (les développeurs me tueraient) mais les suggestions sont incroyablement utiles.”
Résultat : moins de bruit, plus de confiance, un gain de temps réel
L'impact le plus notable d'Aikido chez Nerdio a été à quel point le travail de sécurité est devenu silencieux.
Parfois, Ogaga doit se rappeler de vérifier.
« Certains jours, c'est si calme que je dois me rappeler d'aller signaler les vulnérabilités. »
Ce calme n'est pas un manque de couverture. C'est le résultat d'une réduction du bruit et d'une meilleure priorisation.
Comparé aux outils précédents qui généraient des centaines de résultats par scan, la plupart étant considérés comme de faux positifs, Aikido aide les équipes à se concentrer sur ce qui compte réellement. Les développeurs passent moins de temps à discuter des résultats et plus de temps à les corriger.
Cela a également facilité le travail d'Ogaga en tant que responsable de la sécurité. Lorsque les développeurs remettent en question un résultat, elle peut fournir un contexte clair, des extraits de code et des explications qui parlent leur langage.
Le résultat :
- Remédiation plus rapide
- Moins de faux positifs
- Une plus grande confiance des développeurs dans les outils de sécurité
- Moins de temps passé à trier manuellement les résultats
- Un programme de sécurité des applications globalement plus robuste
Du point de vue d'un CISO à temps partiel, cela compte encore plus.
Lorsque vous êtes responsable de plusieurs organisations simultanément, chaque heure économisée se multiplie.
Comment Nerdio étend son utilisation d'Aikido
Déjà utilisé
- SAST
- DAST
- Analyse des dépendances (SCA)
- Analyse SBOM
- Workflows de développement
- Rapports exécutifs
Prévu pour adoption
Résumé : un outil conçu pour les responsables de la sécurité disposant de peu de temps
Pour Ogaga, Aikido n'est pas seulement un outil Nerdio. Il fait partie de sa boîte à outils de CISO à temps partiel.
Elle a utilisé et évalué de nombreuses plateformes AppSec au fil des ans. Dans ce contexte, Aikido se distingue par sa simplicité, sa clarté et sa conception axée sur les développeurs.
« Tout est simple. Les gens se connectent et comprennent immédiatement ce qu'il faut faire. »
Cela convient à toute entreprise qui souhaite rehausser son niveau de sécurité sans avoir à bâtir une organisation de sécurité massive.
Et si Ogaga devait résumer la valeur d'Aikido en une phrase, du point de vue d'un CISO à temps partiel ?
« Cela réduit le temps. »
