PSG est une société de capital développement qui s'associe à des sociétés de logiciels et de services technologiques pour les aider à se transformer, à tirer parti d'opportunités stratégiques et à constituer des équipes solides. Ayant soutenu plus de 150 entreprises et facilité plus de 520 acquisitions complémentaires, PSG apporte une vaste expérience en matière d'investissement, une expertise approfondie dans le domaine des logiciels et de la technologie, ainsi qu'un engagement ferme à collaborer avec les équipes de direction. Fondé en 2014, PSG opère depuis ses bureaux de Boston, Kansas City, Londres, Paris, Madrid et Tel Aviv. Pour en savoir plus sur PSG, visitez le site www.psgequity.com.
PSG adopte une approche stratégique et pragmatique de la mise en œuvre opérationnelle, y compris en matière de sécurité. Lorsqu'ils ont cherché à unifier la sécurité des applications dans l'ensemble du portefeuille, ils se sont tournés vers Aikido.
Nous nous sommes entretenus avec Adam Glick, responsable de la sécurité de l'information chez PSG, sur la manière dont Aikido aide l'entreprise à soutenir la sécurité et sur le rôle que joue désormais la plateforme en matière de diligence, de supervision et d'habilitation.
Bonjour Adam ! Peux-tu commencer par te présenter et expliquer ton rôle au sein du PSG ?
Je suis RSSI chez PSG. J'ai rejoint l'entreprise il y a environ deux ans. Mes responsabilités sont doubles : je supervise l'informatique interne et l'InfoSec au sein de PSG, et je joue également un rôle de gouvernance et de supervision pour les sociétés du portefeuille. Cela signifie que je veille à ce que nos sociétés de portefeuille ("PortCos" ou "sociétés de portefeuille") investissent dans la sécurité, développent leurs programmes et fournissent des codes sécurisés.
Comment le PSG soutient-il les entreprises de son portefeuille en matière de sécurité ?
Nous disposons d'une équipe opérationnelle qui aide nos PortCos au quotidien : qu'il s'agisse de la sélection des technologies, du recrutement, de la stratégie GTM ou, oui, de la sécurité. Nous travaillons à leurs côtés pour évaluer les fournisseurs, créer des politiques, préparer les audits ou relever les défis de la conformité.
En ce qui concerne la sécurité, nous aidons les entreprises de notre portefeuille à comprendre ce qui est nécessaire et à trouver les outils et les partenaires adéquats pour y parvenir.
Quel rôle joue la sécurité des applications dans les cadres que vous encouragez ?
Nous pensons que l 'AppSec est l'un des principes fondamentaux de toute organisation de développement. Nous attendons de nos PortCos qu'ils donnent la priorité à des pratiques de codage sécurisées, tant pour le risque organisationnel que pour l'intégrité de la réputation. Notre travail consiste à soutenir nos partenaires dans l'évaluation et l'adoption d'outils de codage sécurisés.
Qu'est-ce qui a poussé PSG à explorer une initiative de sécurité des applications à l'échelle du portefeuille ?
Toute initiative que nous pouvons mettre en œuvre dans l'ensemble du portefeuille est une victoire. Si nous pouvons identifier un besoin programmatique ou systémique (en particulier dans un domaine comme la sécurité), il vaut la peine de le résoudre de manière unifiée.
Comment avez-vous identifié l'outil adéquat pour ce type d'initiative ?
Nous entretenons des contacts réguliers avec nos portcos et nous connaissons leur degré de maturité. Ce niveau d'engagement nous permet de savoir où des solutions partagées pourraient être mises en œuvre à l'échelle du portefeuille.
Le plus grand défi lors de l'adoption d'une initiative d'application à l'échelle du portefeuille est de minimiser les frictions. Chaque entreprise est différente. La question est de savoir quel est le dénominateur commun. Nous avions besoin d'une solution qui puisse fonctionner pour la majorité des entreprises avec un minimum d'obstacles au déploiement.
Comment l'Aïkido s'est-il distingué ?
La facilité de déploiement a été un facteur important. Une fois que nous avons fait preuve de diligence et signé le contrat, nous pouvions connecter une entreprise à Aikido et commencer à numériser en quelques secondes, littéralement. Pas de mise au point, pas de maux de tête. Ce seul fait a permis d'éliminer un obstacle majeur.
"Une fois que nous avons fait preuve de diligence et signé le contrat, nous avons pu connecter une entreprise à Aikido et commencer à numériser en quelques secondes, littéralement.
Mais au-delà de cela, l'étendue des capacités techniques: SAST, DAST, CSPM, secrets scanning... toutes intégrées dans une seule plateforme, était vraiment convaincante. Pour le PSG, le déploiement a été léger en termes d'efforts et lourd en termes de résultats.
Et la relation avec les cadres est importante. Nous voulons savoir que si quelque chose ne va pas, nous avons des gens à la barre qui nous aident à résoudre le problème rapidement. Notre expérience avec l'équipe dirigeante de l'Aikido a été positive.
Comment avez-vous abordé le déploiement dans l'ensemble du portefeuille ?
Nous avons pris le déploiement au sérieux. Il ne s'agissait pas simplement de dire "Voici un outil, allez l'utiliser". Nous avons organisé des séances de sensibilisation, des heures de bureau, des rencontres individuelles avec des responsables du développement, de la documentation, des canaux Slack pour une assistance en temps réel... En gros, nous avons fait tout ce qui était en notre pouvoir pour nous assurer que nos PortCos étaient prêts à réussir.
Il ne s'agissait pas seulement de dire "Voici un outil, utilisez-le". Nous avons organisé des séances de sensibilisation, des heures de bureau, des rencontres individuelles... en fait, nous avons fait tout ce que nous pouvions pour nous assurer que nos PortCos étaient prêts à réussir".
Aikido et PSG avaient tous deux des points de contact. Nous étions disponibles sur plusieurs canaux pour garantir des réponses rapides. L'aspect de la mise en œuvre était tout aussi important que la technologie elle-même.
Quel rôle joue le Portail des partenaires de l'Aikido dans votre supervision ?
Le potentiel est énorme. Aujourd'hui, nous l'utilisons pour identifier rapidement les principaux CVE (comme "Qui a CVE-2024-XXXX ?") et contacter les entreprises concernées.
Cela dit, nous insistons pour que les capacités de reporting soient renforcées. Nous aimerions voir plus de tendances au niveau macro. Des choses comme les tendances des vulnérabilités à l'échelle du portefeuille ou les taux de remédiation entreprise par entreprise. Aikido a été très réceptif à ce retour d'information et nous collaborons à des améliorations.
Comment décririez-vous l'"avant" et l'"après" de la coordination de la sécurité au PSG ?
Auparavant, l'outillage était plus fragmenté. Chaque entreprise portuaire choisissait ce qui lui convenait. Ce n'est pas mauvais en soi, mais cela rend la supervision et l'assistance beaucoup plus difficiles.
Désormais, il existe un élément central qui n'existait pas auparavant. Nous avons reçu des commentaires positifs de la part des utilisateurs. L'outil est facile à adopter et véritablement utile. Nous n'en sommes qu'au début de la quantification de l'impact, mais d'un point de vue anecdotique, il est très positif.
Avez-vous commencé à utiliser l'Aïkido dans d'autres domaines que celui de la sécurité des portefeuilles ?
"Nous commençons à intégrer Aikido dans nos processus de diligence... Cela nous donne une vision plus éclairée de ce que nous acquérons".
Oui. Nous commençons à intégrer Aikido dans nos processus de diligence. Lorsque nous évaluons de nouvelles entreprises en vue d'une acquisition potentielle, nous pouvons les connecter à Aikido et obtenir des informations immédiates sur leur niveau de sécurité, sans avoir besoin d'accéder au code lui-même. Nous pensons que cela nous donne une vision plus éclairée de ce que nous acquérons.
Avez-vous des conseils à donner à d'autres personnes qui mettent en œuvre des initiatives technologiques dans l'ensemble de leur portefeuille ?
"Il n'y a pas de solution unique, mais il y en a une qui convient au plus grand nombre, et nous pensons que l'aïkido correspond à cette solution.
Absolument. Nous avons appris à ne pas être trop prescriptifs dans le domaine des technologies de l'information. Nous utilisons ce que j'appelle l'approche "Netflix road well-traveled" (basée sur le style de gestion de l'entreprise). Nous indiquons aux entreprises les résultats dont nous avons besoin. Par exemple, un programme de codage sécurisé, mais nous ne dictons pas exactement comment y parvenir.
L'aïkido est un excellent exemple : il s'agit d'une recommandation forte, pas d'un mandat. Si cela fonctionne pour vous, c'est formidable. Si ce n'est pas le cas, trouvez ce qui vous convient. Il n'y a pas de solution unique, mais il y en a une qui convient à la plupart des gens, et nous pensons que l'aïkido correspond à cette solution.
Dernières réflexions ?
Aikido a été un partenaire formidable. Qu'il s'agisse de l'assistance sur le canal Slack, de la disponibilité des dirigeants ou de la réactivité des produits, ils ont toujours été à la hauteur. C'est une excellente relation.
Rubrique 1
Rubrique 2
Rubrique 3
Rubrique 4
Rubrique 5
Rubrique 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Citation en bloc
Liste ordonnée
- Point 1
- Point 2
- Point 3
Liste non ordonnée
- Poste A
- Poste B
- Poste C
Texte en gras
Accentuation
Exposé des motifs
Indice
.avif)
