En un coup d'œil
- Sécurité intégrée directement dans les flux de travail des développeurs et les PR
- Passage des analyses réactives et planifiées à un feedback de sécurité continu
- Réduction du bruit grâce à une priorisation basée sur l'accessibilité et moins de faux positifs
- Unification de SAST, SCA et la détection de secrets au sein d'une plateforme unique
- Sécurité étendue à plus de 200 dépôts avec une surcharge minimale
- Prend en charge la sécurité et la conformité d'entreprise conformément aux normes ISO 27001, au RGPD et aux réglementations du secteur de la santé.
Construire une santé numérique sécurisée à grande échelle
Oviva propose des programmes de santé numérique remboursés et fondés sur des preuves pour les maladies chroniques telles que l'obésité et le diabète de type 2. Sa plateforme combine expertise clinique, informations basées sur l'IA et coaching personnalisé pour améliorer les résultats à long terme des patients. Dans cet environnement, la sécurité est indissociable de la sécurité des patients. Oviva gère des données médicales très sensibles et opère sous des cadres réglementaires stricts, notamment ISO 27001, le RGPD et les normes de santé spécifiques à chaque pays. La confiance n'est pas seulement attendue, elle est exigée.
« La sécurité dans la santé numérique consiste fondamentalement à protéger les patients et à maintenir la confiance. »
- Tom Koshy, Ingénieur DevSecOps Principal, Oviva
À mesure que l'entreprise prenait de l'ampleur, cette responsabilité devait se refléter non seulement dans la politique, mais aussi dans la manière dont les logiciels étaient développés.
Quand la croissance dépasse les workflows de sécurité
Avant Aikido, Oviva s'appuyait sur une combinaison d'outils open source pour le SAST, le SCA et la gestion des vulnérabilités. Bien qu'efficaces isolément, ils généraient des frictions à grande échelle. Les analyses de sécurité étaient planifiées plutôt que continues. Les résultats devaient être agrégés entre les différents outils. Le triage nécessitait une coordination entre les équipes. À mesure que le nombre de dépôts et de contributeurs augmentait, la charge opérationnelle augmentait également.
Au fil du temps, cela a créé des frictions pour les développeurs et les équipes de sécurité. Les problèmes étaient identifiés tardivement, la responsabilité était floue, et un temps précieux était consacré à la coordination et au triage au lieu de la correction. La sécurité était présente, mais elle existait en dehors du workflow des développeurs. L'équipe a vu une opportunité de changer cela.
Passer à une sécurité continue et axée sur les développeurs
Oviva a entrepris d'intégrer la sécurité directement dans le développement. Au lieu de s'appuyer sur des analyses périodiques et un triage centralisé, l'objectif était de faire remonter les problèmes là où ils se produisent : dans les pull requests, pendant les builds et au sein des workflows des développeurs. Les développeurs avaient besoin d'un feedback immédiat et exploitable afin que les problèmes puissent être résolus avant d'atteindre la production.
Tout aussi important était de réduire le bruit. Des volumes élevés de faux positifs ralentissent les équipes et érodent la confiance dans les outils de sécurité. Toute nouvelle approche devait privilégier la précision, la clarté et la convivialité. Les outils qui submergent les ingénieurs de faux positifs ne sont pas utilisés.
Pourquoi Oviva a choisi Aikido plutôt que Snyk et Prisma Cloud
Lors de l'évaluation, Oviva a examiné des plateformes telles que Snyk, Prisma Cloud, Semgrep et GitHub Advanced Security. Aikido s'est distingué en éliminant les compromis courants.
Là où des plateformes plus importantes comme Prisma Cloud introduisaient une complexité opérationnelle, Aikido s'est intégré proprement aux workflows Git et CI/CD existants. Là où des outils comme Snyk généraient souvent un grand nombre de résultats, Aikido s'est concentré sur le signal, aidant les équipes à prioriser les problèmes importants.
Au lieu d'assembler plusieurs outils, Oviva a pu consolider les capacités de sécurité des applications essentielles en une seule plateforme que les développeurs pouvaient adopter immédiatement.
« Aikido a trouvé le juste équilibre entre capacité, convivialité et expérience développeur. »
Déploiement sur plus de 200 dépôts en quelques semaines
L'adoption a été rapide et sans friction. Oviva a intégré plus de 75 développeurs et connecté plus de 200 dépôts en quelques semaines.
La configuration n'a nécessité que quelques étapes pour intégrer les dépôts et activer l'analyse. La plateforme étant intuitive, les développeurs ont pu l'utiliser immédiatement, sans intégration ni formation approfondies.
Pour l'équipe de sécurité, cela signifiait une visibilité instantanée sur un environnement d'ingénierie vaste et en pleine croissance.
Des analyses réactives à la sécurité continue
Avec Aikido, la sécurité est passée des analyses planifiées à un feedback en temps réel.
Les vérifications s'exécutent désormais directement dans les pull requests et les pipelines CI/CD. Les développeurs reçoivent un feedback immédiat lorsqu'ils introduisent des modifications, ce qui leur permet de résoudre les vulnérabilités avant que le code ne soit merge ou déployé.
En parallèle, Aikido réduit le bruit grâce à l'analyse d’accessibilité, en mettant en évidence les vulnérabilités réellement exploitables plutôt que de signaler chaque problème théorique. Combiné à des conseils de remédiation clairs et des capacités d'autofix, cela permet aux équipes de se concentrer sur les risques réels au lieu de passer du temps sur le triage.
La sécurité passe d'une barrière en fin de processus à un garde-fou tout au long du développement.
Simplifier la gestion des vulnérabilités et la conformité
Auparavant, la gestion des vulnérabilités nécessitait l'agrégation des résultats de plusieurs outils et leur gestion via des systèmes externes.
Avec Aikido, tout est centralisé sur une seule plateforme. Les équipes de sécurité obtiennent une vue claire et unifiée des vulnérabilités sur tous les dépôts, avec une priorisation et un suivi de la propriété intégrés. Les développeurs voient exactement ce qui doit être corrigé et pourquoi.
Cela a un impact direct sur la conformité. Dans un environnement de santé, la capacité à démontrer rapidement et clairement la posture de sécurité est essentielle.
« Aikido nous offre une vue centralisée et bien priorisée des vulnérabilités, ce qui facilite grandement les rapports de conformité. »
L'impact
L'adoption d'Aikido a transformé l'approche d'Oviva en matière de sécurité, tant au niveau de l'ingénierie que de l'organisation. Les vulnérabilités sont désormais identifiées plus tôt et résolues plus rapidement. Les développeurs s'engagent activement dans la sécurité car le feedback est immédiat et exploitable, plutôt que quelque chose qu'ils découvrent après coup.
De manière cruciale, les équipes ne passent plus leur temps à enquêter sur le « bruit ». Elles corrigent de vrais problèmes. Les équipes de sécurité sont passées du triage manuel à des tâches à plus forte valeur ajoutée, tandis que l'organisation a renforcé sa capacité à respecter les exigences réglementaires et à maintenir une visibilité claire sur sa posture de sécurité à mesure qu'elle se développe.
Un changement radical dans la maturité de la sécurité
Aikido a permis à Oviva de passer d'une approche réactive, axée sur les outils, à un modèle DevSecOps proactif et centré sur les développeurs. La sécurité est désormais continue, intégrée et évolutive au sein de l'organisation.
« Aikido nous a permis de passer d'une analyse réactive à un modèle proactif et centré sur les développeurs, améliorant la visibilité et nous aidant à faire évoluer la sécurité à mesure que nous grandissons. »
Perspectives
Alors qu'Oviva continue d'étendre sa plateforme, elle a besoin d'une base de sécurité capable d'évoluer avec elle. Avec Aikido, l'équipe est en mesure d'étendre son approche à des domaines supplémentaires tels que la sécurité des conteneurs et du cloud sans ajouter de complexité. Car dans le secteur de la santé numérique, la sécurité ne consiste pas seulement à protéger les systèmes. Il s'agit de protéger les patients.
