Salut Aufar ! Pouvez-vous nous en dire un peu plus sur Petrosea et votre rôle ?

Je suis développeur backend chez Petrosea, mais mon rôle couvre également l'architecture cloud, la sécurité, le DevOps et l'ingénierie des systèmes. Notre équipe d'ingénierie compte environ 20 personnes, gérant tout, du développement backend et frontend à la sécurité et à l'ERP. 

Petrosea est une entreprise de services miniers. Nous gérons tout, de la mine au port, en tirant parti de l'IoT avancé pour suivre l'ensemble du processus minier. Par exemple, nous pouvons communiquer directement avec les opérateurs d'équipement sur site pour optimiser la production de nos clients. C'est une part importante de la façon dont nous nous sommes positionnés comme un leader de la technologie minière en Indonésie.

Petrosea est reconnue comme un leader technologique. Comment la transformation numérique s'inscrit-elle dans ce cadre ?

Nous sommes fiers de faire partie du Global Lighthouse Network du Forum Économique Mondial, l'une des deux seules entreprises en Indonésie à détenir cette reconnaissance pour l'adoption de l'Industrie 4.0. La technologie est au cœur de notre efficacité et de notre leadership. L'application de solutions avancées d'IoT, d'automatisation et de cloud nous aide à opérer mieux, plus rapidement et plus sûrement que les entreprises minières traditionnelles.

Pourquoi la sécurité est-elle si critique dans votre secteur ?

Parce que nous intégrons la technologie partout, toute faille de sécurité pourrait perturber les opérations, compromettre la confidentialité des clients, ou même arrêter la production. Les entreprises minières et énergétiques en Indonésie sont devenues des cibles fréquentes de cyberattaques, et nous observons cette tendance dans les secteurs public et privé. Pour nous, la sécurité a toujours été une priorité absolue, et le nombre croissant d'attaques ne fait qu'accroître l'urgence.

« Toute violation pourrait compromettre les opérations ou la confidentialité des clients. La sécurité n'est pas une option. Elle est essentielle. »

Qu'est-ce qui a motivé Petrosea à se tourner vers une nouvelle solution de sécurité ?

Après notre acquisition, la valeur de nos actions a considérablement augmenté. Cette visibilité accrue a également attiré davantage l'attention d'acteurs de menaces externes. Nous avions déjà des mesures de sécurité en place, mais nos processus étaient fragmentés. Les analyses de la base de code étaient manuelles, les vérifications de conformité nécessitaient un effort supplémentaire, et il nous manquait une plateforme unifiée pour tout regrouper.

Quels défis avez-vous rencontrés avant de pratiquer Aikido?

Nous utilisions plusieurs outils distincts, tels que des scanners de vulnérabilité, des scanners de conteneurs et des scanners de qualité du code. Cela impliquait un travail manuel pour combiner les rapports, vérifier manuellement la conformité aux normes telles que ISO, et ralentissait la prise de décision, car nous ne disposions pas d'une vue d'ensemble de notre posture de sécurité. Avec des opérations réparties sur plusieurs sites, nous avions besoin d'une couverture complète, et pas seulement au siège social.

Qu'est-ce qui vous a marqué dans Aikido votre évaluation ?

Trois éléments nous ont impressionnés. Premièrement, la facilité de mise en œuvre. Les connecteurs étaient prêts à l'emploi, ce qui a minimisé l'effort d'intégration avec notre cloud et notre base de code.

Deuxièmement, AutoFix combiné à un filtrage des faux positifs. Les autres plateformes se contentent de vous présenter les vulnérabilités, mais Aikido les faux positifs et crée correctifs en un clic . 

Enfin, le reporting de conformité. Nous sommes passés de la compilation de rapports pendant des heures à l'exportation de données de conformité prêtes à l'emploi en quelques secondes.

« Le délai le plus court pour corriger une vulnérabilité n'a été que de 5 secondes après sa détection. C'est ça l'efficacité. »

Comment s'est déroulée l'expérience d'onboarding ?

Très fluide. Nous avons connecté Aikido nos référentiels de code et Aikido cloud , avons attendu le premier scan et avons immédiatement pu constater notre niveau de sécurité grâce à des informations claires et exploitables. Aucune courbe d'apprentissage abrupte. Tout était simple et la rentabilité a été immédiate.

Quel Aikido a-t-il eu Aikido votre travail quotidien ?

Le filtre de faux positifs à lui seul change la donne. Il élimine une grande partie du bruit inutile. La fonctionnalité AutoFix est tout aussi impressionnante. Une fois une vulnérabilité détectée, nous pouvons la corriger en seulement cinq secondes. Cela prenait auparavant des heures, voire des jours. Au-delà du gain de temps, la base de connaissances aide toute notre équipe à mieux comprendre les vulnérabilités. Ce n'est plus seulement le travail de l'équipe de sécurité ; les développeurs eux-mêmes prennent conscience et réagissent plus rapidement.

« Efficacité. C'est le mot clé. Aikido la sécurité plus rapide, plus facile et plus intelligente, nous permettant ainsi de nous concentrer sur ce qui compte le plus. »

Comment cela s'inscrit-il dans la conformité et l'ESG ?

La cybersécurité fait partie intégrante de notre stratégie ESG dans le cadre du pilier gouvernance. Grâce à Aikido, les rapports de conformité sont automatisés et nous pouvons facilement démontrer nos pratiques de développement logiciel sécurisées tant aux régulateurs qu'à la direction.

Quels résultats mesurables avez-vous constatés depuis que vous pratiquez Aikido?

Le résultat le plus tangible est le gain de temps. Les correctifs de vulnérabilités qui prenaient auparavant des heures ne prennent désormais que quelques secondes avec AutoFix. Nous avons également réduit le temps consacré aux rapports de conformité d'au moins 80 % car les rapports sont désormais générés automatiquement plutôt que compilés manuellement. Au-delà de cela, nos développeurs s'engagent désormais directement sur les problèmes de sécurité grâce à la base de connaissances de la plateforme. La sensibilisation à la sécurité au sein de l'équipe a considérablement augmenté, en faisant une responsabilité partagée plutôt qu'une tâche gérée uniquement par l'équipe de sécurité.

« Grâce à Aikido, nous avons gagné des heures sur la création de rapports, réduit le temps nécessaire à la correction des vulnérabilités à quelques secondes et donné aux développeurs les connaissances nécessaires pour prendre en main la sécurité. »

Des réflexions finales ?

J'apprécie beaucoup le produit, l'interface utilisateur, l'expérience utilisateur et l'expérience globale. Cela nous a permis de gagner du temps, d'améliorer notre sécurité et de faciliter considérablement le processus pour toutes les personnes impliquées. Je tiens à remercier Aikido d'avoir créé une plateforme aussi performante et d'avoir toujours été disponible lorsque nous avions des questions.

« Continuez votre excellent travail. Aikido un produit exceptionnel, soutenu par une équipe formidable. »

‍