Pathful, une plateforme leader de préparation à la carrière, met en relation des millions d'étudiants à travers les États-Unis avec des professionnels de l'industrie grâce à du contenu vidéo engageant et du mentorat en direct. Avec les données de plus de 4 millions d'étudiants et de 40 000 bénévoles à protéger, la sécurité n'est pas seulement une préoccupation technique, c'est une responsabilité. Nous avons discuté avec Paul Johansen (Directeur Produit et Technologie) et Matthew Alverson (Vice-président de l'ingénierie) de la manière dont Aikido a aidé leurs équipes à faire le tri, à remédier plus rapidement aux problèmes et à simplifier les efforts de conformité sans perturber les flux de travail des développeurs.
Messieurs ! Pouvez-vous présenter brièvement Pathful et vos rôles au sein de l'entreprise ?
Paul Johansen : Je suis le Chief Product and Technology Officer. Je dirige trois équipes : les opérations produit, la gestion de produit et le marketing, ainsi que l'ingénierie. Nous nous concentrons tous sur la création et la livraison de notre produit principal : du contenu de haute qualité, axé sur la carrière, qui met en relation les étudiants avec des professionnels du monde réel.
Matthew Alverson : Je suis le VP of Engineering, responsable de tout, des développeurs au DevOps en passant par les données. Mon défi est que tous les membres de l'équipe ne sont pas sensibilisés à la sécurité, il est donc important que les outils de sécurité soient faciles à utiliser et qu'ils favorisent les bonnes habitudes.
Qu'est-ce qui rend Pathful unique dans le domaine de la préparation à la carrière ?
Paul : Notre mission est de permettre aux étudiants de découvrir des parcours professionnels significatifs, que ce soit pour devenir chirurgien ou soudeur. Deux choses nous distinguent :
- Connexions en direct : Nous avons 40 000 professionnels qui se portent volontaires pour parler de leur métier aux étudiants.
- Contenu de haute qualité : Nous produisons des vidéos courtes et engageantes, filmées avec de vraies personnes, dans de vrais environnements de travail, pour donner vie à ces carrières.
Nous sommes actifs dans les 50 États et prenons très au sérieux notre responsabilité de protéger les données des étudiants.
Où la sécurité s'intègre-t-elle dans votre stratégie produit ?
Paul : C'est fondamental. En tant que plateforme SaaS dans le secteur de l'éducation, nous sommes responsables de la protection de données incroyablement sensibles. Une faille de sécurité dans ce secteur serait aussi dommageable que dans celui de la santé. Pour nous, la sécurité signifie donc fiabilité, confiance et protection de l'avenir de l'entreprise et de nos étudiants.
Y a-t-il eu un incident particulier qui vous a fait repenser la sécurité ?
Paul : Pas de faille ou d'incident spécifique. C'est plutôt que Pathful est né de la fusion de deux startups, chacune avec des approches différentes en matière de sécurité. Avec le temps, il est devenu évident pour nous que la sécurité devait être un pilier central de notre stratégie, et non une réflexion après coup. C'est quelque chose auquel Matthew et moi croyons profondément.
Quels défis rencontriez-vous avant d'utiliser Aikido ?
Paul : Honnêtement, juste beaucoup de bruit. Nous effectuions des pentests et utilisions d'autres outils de sécurité, mais c'était accablant et difficile de s'y retrouver. Nous savions qu'il y avait des problèmes, mais déterminer par où commencer et ce qui importait réellement était le vrai problème.
Matthew : C'était également difficile pour l'équipe. Les outils ne s'intégraient pas bien dans les workflows, et les interfaces n'étaient pas intuitives. Nous passions notre temps à traquer les dépendances et à essayer de comprendre l'impact des mises à niveau. Ce n'était pas scalable.
« Il y avait tellement de bruit qu'il était difficile de se concentrer. Nous étions constamment en train de passer au crible le chaos. » – Paul Johansen
Qu'est-ce qui a fait qu'Aikido s'est démarqué ?
Matthew : Aikido fait plusieurs choses exceptionnellement bien :
- Il montre comment une vulnérabilité est entrée dans notre base de code, ce qui nous fait gagner des heures de travail d'investigation.
- Les résumés de changelog alimentés par l'IA sont fantastiques. Nous passions des heures à les lire, maintenant Aikido nous indique simplement si une mise à niveau est sûre.
- Plus important encore, cela nous aide à prioriser. Nous ne sommes pas submergés d'alertes pour des problèmes que nous ne pouvons pas résoudre.
« L'analyse du changelog par IA nous fait gagner des heures. Désormais, nous pouvons faire confiance, parcourir rapidement et vérifier, au lieu de fouiller indéfiniment. »
Avez-vous évalué d'autres outils ?
Paul : Pas vraiment. Aikido nous a été recommandé dans le cadre des exigences de conformité de notre groupe, et une fois que nous l'avons essayé, nous avons réalisé que c'était une amélioration évidente. Nous n'avons pas eu besoin d'une longue évaluation, cela fonctionnait simplement mieux.
Comment s'est déroulé le processus d'onboarding ?
Matthew : Incroyablement fluide. Je n'ai même pas eu à le faire, notre expert DevOps s'en est occupé et n'arrêtait pas de nous envoyer des messages sur la qualité de l'outil. Aikido s'intègre parfaitement à nos environnements inférieurs, ce qui nous permet de détecter les problèmes avant qu'ils n'atteignent la production.
« L'un des premiers projets que nous avons intégrés à la plateforme a été géré par notre équipe de stagiaires. Ils ont rapidement compris le système et étaient très fiers d'avoir résolu tous les problèmes après seulement le deuxième scan. Cela souligne vraiment la facilité d'utilisation d'Aikido. »
Aikido a-t-il aidé en matière de conformité et de reporting ?
Paul : Absolument. Beaucoup de nos cadres de conformité nous obligent à démontrer des pratiques de sécurité solides. Avec Aikido, nous pouvons cocher toutes les cases : DAST, analyse continue, gestion des vulnérabilités. Cela simplifie considérablement ces processus d'attestation.
Matthew : Les rapports d'évolution dans le temps sont quelque chose que je consulte régulièrement. Ils m'aident à comprendre comment notre profil de risque évolue et si l'équipe respecte ses responsabilités en matière de remédiation.
« Je lis réellement les rapports maintenant. Ils m'aident à suivre les tendances et à responsabiliser l'équipe semaine après semaine. »
Avez-vous constaté des améliorations mesurables depuis l'adoption d'Aikido ?
Matthew : Oui, surtout en termes de vitesse de remédiation. Je ne le suis pas sur un tableau de bord, mais je le ressens. Et si je regarde nos chiffres, nous avons constaté une réduction de 60 % du nombre total de problèmes au cours des deux dernières semaines. C'est considérable.
Comment se passe la collaboration avec l'équipe Aikido ?
Paul : C'est la meilleure partie, nous n'en avons pas eu beaucoup besoin. Tout a simplement fonctionné. Nous avons eu quelques questions de configuration et elles ont été répondues immédiatement. L'outil est fiable, et cela en dit long.
Si vous deviez résumer l'impact d'Aikido en une phrase ?
Paul : Une sensibilisation accrue à la sécurité et une résolution plus efficace des problèmes.
Matthew : Cela facilite vraiment la remédiation des vulnérabilités. C'est là l'essentiel.
