En un coup d'œil
- Un seul ingénieur sécurité prend en charge 50 développeurs déployant 70 à 80 fois par jour
- Plus de 80 % du nouveau code chez Omnea est généré par IA
- A choisi Aikido plutôt que Snyk après un essai de six semaines de POC Snyk
- A adopté Aikido comme premier outil AppSec dédié d'Omnea, sans aucun outil précédent à remplacer
- Aikido s'intègre discrètement dans le workflow des développeurs environ 90 % du temps
- Un faible taux de faux positifs signifie qu'un seul ingénieur peut faire confiance à chaque alerte et y donner suite
- Les preuves SOC 2 sont intégrées à Vanta, et les rapports de licence couvrent la diligence raisonnable des investisseurs sur demande
- Pilote le pentest IA et prévoit de déployer la protection des appareils
Enjeu
Omnea est une entreprise d'approvisionnement nativement IA dont les clients incluent des entreprises mondiales comme Spotify, MongoDB et Monzo. Elle les sert avec une équipe qui recrute activement et déploie en continu. Lorsque l'équipe a adopté Aikido pour la première fois, elle comptait 14 développeurs et connaissait une croissance rapide. La sécurité devait évoluer avec l'ingénierie sans devenir un facteur bloquant pour les releases, et elle devait en même temps résister aux examens d'approvisionnement des entreprises.
« Lorsque nous avons découvert Aikido, nous avions besoin d'un outil de sécurité capable d'évoluer avec nous. Nous étions 14 développeurs à l'époque et nous croissions rapidement. Nous avions besoin de quelque chose qui nous permettrait de rester sécurisés et de livrer à nos clients d'entreprise, sans devenir un facteur bloquant. »
Solution
Aikido couvrait une large surface AppSec sous une seule plateforme, et a gagné l'adoption des développeurs en restant discret. Il n'interrompt les ingénieurs que lorsqu'il y a quelque chose de réel à examiner.
« Nos développeurs utilisent Aikido tous les jours, mais ce n'est pas un facteur bloquant majeur. Quatre-vingt-dix pour cent du temps, il reste discrètement en arrière-plan. La moitié du temps, la plupart des développeurs oublient qu'il est là. Il ne les sollicite que lorsque quelque chose est réel. »
Omnea a connecté Aikido aux outils que ses fonctions d'ingénierie et de sécurité utilisaient déjà : GitHub, Linear et Vanta. L'intégration de Vanta a remodelé la façon dont l'équipe gère les audits SOC 2.
« Nous avons intégré Aikido à GitHub, Linear et Vanta. Avec Vanta, notre outil SOC 2, Aikido fournit aux auditeurs des preuves prêtes à l'emploi, sans avoir à revenir en arrière et à extraire des problèmes spécifiques. »
Le code généré par IA est désormais la norme chez Omnea plutôt que l'exception. Cela modifie la vitesse à laquelle la codebase évolue et ce à quoi un outil de sécurité doit s'adapter.
"Plus de quatre-vingts pour cent de notre code est aujourd'hui généré par l'IA. Disposer d'un outil qui vérifie ce que nous faisons, alors que les choses évoluent si rapidement, est vraiment important."
Pourquoi Omnea a choisi Aikido
Omnea a comparé Aikido à Snyk et à quelques solutions existantes. Ce qui a fait la différence, c'est la facilité d'utilisation d'Aikido dès le départ : une tarification transparente, une couverture étendue prête à l'emploi, et une équipe qui livrait les demandes de fonctionnalités en quelques jours.
"Il était clair dès le début à quel point Aikido était plus facile à utiliser. Une tarification transparente, plus de fonctionnalités prêtes à l'emploi, et une équipe réactive. Cela en a fait un choix évident et simple."
Le contraste avec l'évaluation de Snyk était flagrant. Un essai de six semaines a clairement montré la différence de réactivité, là où Aikido traitait les retours dès le lendemain.
- Tarification transparente sans cycle d'évaluation obligatoire de plusieurs semaines
- Couverture étendue prête à l'emploi au-delà d'un outil SCA autonome, incluant SAST, SCA et AutoFix
- Une équipe qui répond aux demandes de fonctionnalités en quelques jours, et non en trimestres
- Intégrations natives avec GitHub, Linear et Vanta
- Une plateforme conçue pour la vélocité d'une équipe d'ingénierie native de l'IA
Résultats
Une sécurité qui suit le rythme sans effectif supplémentaire
Avec Aikido, Omnea maintient un ratio qui serait difficile à soutenir avec un outil plus bruyant ou plus manuel : un ingénieur sécurité pour cinquante développeurs. Ce ratio est maintenu car Aikido couvre le code, le cloud et les dépendances en un seul endroit et réduit le bruit, permettant ainsi à un seul ingénieur de visualiser l'ensemble de la surface et de faire confiance à ce qui est signalé.
"Aikido nous a permis de livrer à des clients d'entreprise tout en maintenant une posture de sécurité élevée. Nous livrons en production 70 à 80 fois par jour. Nous avons un ingénieur sécurité pour 50 développeurs, et il gère l'intégralité de la charge de travail car Aikido prend en charge les tâches les plus lourdes."
Des alertes auxquelles l'équipe peut faire confiance
Une fonction de sécurité allégée ne fonctionne que si chaque alerte mérite d'être traitée. Chez Omnea, l'absence de faux positifs permet à un seul ingénieur de suivre le rythme, et c'est pourquoi les développeurs prennent l'outil au sérieux lorsqu'il signale un problème.
"Les développeurs ont confiance : quand Aikido signale un problème, il est réel. L'absence de bruit et de faux positifs signifie que lorsque vous examinez quelque chose, vous savez qu'il y a un vrai problème à résoudre."
Le risque lié à la chaîne d'approvisionnement, désormais visible
Aikido met en évidence le volume de risques liés à la chaîne d'approvisionnement transitant par les dépendances d'Omnea, en un seul endroit plutôt que dispersés sur plusieurs registres. Au cours d'une récente période de trois mois, cela a représenté sept fois plus de vulnérabilités de la chaîne d'approvisionnement que le trimestre précédent, toutes étant visibles par l'équipe.
"Il est si facile pour les développeurs d'installer un package vulnérable ou compromis, qu'avoir un système qui bloque ce qui est installé est vraiment précieux."
Une sécurité qui porte ses fruits lors des audits de diligence
Pour une entreprise en phase de levée de fonds, Aikido a porté ses fruits là où Omnea ne s'y attendait pas. Lorsque les investisseurs ont demandé des preuves d'une posture de sécurité mature, la réponse était déjà générée et prête.
"Aikido nous a même aidés lors de la due diligence des investisseurs. Un rapport sur chaque type de licence, généré instantanément. Nous ne savions même pas que nous l'avions jusqu'à ce que nos investisseurs le demandent, et cela a résolu le problème instantanément."
Cela a également changé la perception de l'entreprise par les investisseurs. Pouvoir démontrer, sur demande, que la sécurité était gérée a éliminé toute une série de questions avant même qu'elles ne soient posées.
"Lors d'une levée de fonds, les investisseurs veulent s'assurer de votre maturité globale en matière de sécurité. Avec Aikido, il n'y a eu aucune inquiétude dès le départ. Nous avons pu affirmer que nous maîtrisions la situation et que nous étions proactifs concernant notre posture."
Le même historique de preuves sert aux audits SOC 2 de l'équipe, où Aikido fournit aux auditeurs la preuve de la remédiation dans les délais du SLA sans que personne n'ait à extraire les problèmes manuellement.
Comment Omnea étend son utilisation d'Aikido
Déjà utilisé
- Analyse SAST et SCA
- AutoFix
- Intégration Vanta pour les preuves SOC 2
- Rapports de licence
- Aikido Safe Chain
Phase pilote
- pentest IA, avec des exécutions initiales terminées et un déploiement continu prévu
"Avant, nous n'avions qu'un pentest annuel une fois par an, souvent plus une formalité qu'autre chose. Avec le pentest IA, nous pouvons détecter les problèmes dès leur apparition. Nous pouvons les corriger avant que quelqu'un ne les découvre."
Prévu pour adoption
- Protection des appareils
Prochaine évaluation
- Aikido Zen Firewall, comme un remplacement possible d'AWS WAF pour les règles sortantes et basées sur l'apprentissage
Verdict final
"Pour nous, l'impact principal d'Aikido est que nous pouvons maintenir une sécurité continue tout en livrant à une vitesse fulgurante."

