PSG est une société de capital-investissement de croissance qui s'associe à des entreprises de logiciels et de services technologiques pour les aider à gérer une croissance transformationnelle, à capitaliser sur les opportunités stratégiques et à bâtir des équipes solides. Ayant soutenu plus de 150 entreprises et facilité plus de 520 acquisitions complémentaires, PSG apporte une vaste expérience en investissement, une expertise approfondie dans les logiciels et la technologie, et un engagement ferme à collaborer avec les équipes de direction. Fondée en 2014, PSG opère depuis ses bureaux à Boston, Kansas City, Londres, Paris, Madrid et Tel Aviv. Pour en savoir plus sur PSG, visitez www.psgequity.com.
PSG adopte une approche stratégique et pragmatique de l'habilitation opérationnelle, sécurité incluse. Lorsqu'ils ont cherché à unifier la sécurité des applications sur l'ensemble de leur portefeuille, ils se sont tournés vers Aikido.
Nous nous sommes entretenus avec Adam Glick, Chief Information Security Officer chez PSG, sur la manière dont Aikido aide l'entreprise à soutenir la sécurité et le rôle que la plateforme joue désormais dans la diligence raisonnable, la supervision et l'habilitation.
Salut Adam ! Pourriez-vous commencer par vous présenter et nous parler de votre rôle chez PSG ?
Je suis le CISO chez PSG. Je suis dans l'entreprise depuis environ deux ans. Mes responsabilités sont doubles : je supervise l'IT interne et la sécurité de l'information (InfoSec) chez PSG, et j'agis également en tant que fonction de gouvernance et de supervision pour les sociétés de portefeuille. Cela signifie aider à garantir que nos sociétés de portefeuille (« PortCos » ou « portfolio companies ») investissent dans la sécurité, améliorent leurs programmes et livrent du code sécurisé.
Comment PSG soutient-il les sociétés de son portefeuille en matière de sécurité ?
Nous avons une équipe opérationnelle qui aide nos PortCos au quotidien : que ce soit pour la sélection technologique, le recrutement, la stratégie GTM ou, bien sûr, la sécurité. Nous travaillons à leurs côtés pour évaluer les fournisseurs, créer des politiques, préparer les audits ou relever les défis de conformité.
Sur le plan de la sécurité, nous sommes là pour aider nos sociétés de portefeuille à comprendre ce qui est nécessaire et à trouver les bons outils et partenaires pour y parvenir.
Quel rôle la sécurité des applications joue-t-elle dans les frameworks que vous encouragez ?
Nous pensons que l'AppSec est l'un des principes fondamentaux de toute organisation de développement. Nous attendons de nos PortCos qu'ils priorisent les pratiques de codage sécurisé, à la fois pour le risque organisationnel et l'intégrité de leur réputation. Notre rôle est de soutenir nos PortCos dans leur évaluation et l'adoption d'outils de codage sécurisé.
Qu'est-ce qui a incité PSG à explorer une initiative de sécurité des applications à l'échelle du portefeuille ?
Toute initiative que nous pouvons mettre en œuvre à travers le portefeuille est un succès. Si nous pouvons identifier un besoin programmatique ou systémique (surtout dans un domaine comme la sécurité), il vaut la peine de le résoudre de manière unifiée.
Comment avez-vous identifié les bons outils pour ce type d'initiative ?
Nous avons des points de contact réguliers avec nos PortCos et une compréhension de leur maturité. Ce niveau d'engagement nous donne une visibilité sur les domaines où des solutions partagées pourraient être utiles à l'échelle du portefeuille.
Le plus grand défi lors de l'adoption d'une initiative d'application à l'échelle du portefeuille est de minimiser les frictions. Chaque entreprise est différente. La question est : quel est le dénominateur commun ? Nous avions besoin d'une solution qui puisse fonctionner pour la majorité des entreprises avec un minimum d'obstacles au déploiement.
Alors, comment Aikido s'est-il démarqué ?
La facilité de déploiement a été un facteur majeur. Une fois notre diligence raisonnable terminée et le contrat signé, nous pouvions connecter une entreprise à Aikido et commencer à scanner en quelques secondes, littéralement. Pas de réglages fins, pas de tracas. Cela seul a éliminé une barrière majeure.
« Une fois notre diligence raisonnable terminée et le contrat signé, nous pouvions connecter une entreprise à Aikido et commencer à scanner en quelques secondes, littéralement. »
Mais au-delà de cela, l'étendue des capacités techniques : SAST, DAST, CSPM, analyse des secrets… toutes intégrées dans une seule plateforme, était vraiment convaincante. Pour PSG, le déploiement a demandé peu d'effort et a généré des résultats importants.
Et la relation avec la direction a compté. Nous voulons savoir que si quelque chose ne va pas, nous avons des personnes aux commandes pour nous aider à le résoudre rapidement. Notre expérience avec l'équipe de direction d'Aikido a été positive.
Comment avez-vous abordé le déploiement à travers le portefeuille ?
Nous avons pris le déploiement au sérieux. Il ne s'agissait pas seulement de dire : « Voici un outil, utilisez-le. » Nous avons organisé des sessions de sensibilisation, des permanences, des entretiens individuels avec les responsables de développement, de la documentation, des canaux Slack pour un support en temps réel… En fait, tout ce que nous pouvions faire pour assurer le succès de nos PortCos.
« Ce n'était pas juste : "Voici un outil, utilisez-le." Nous avons organisé des sessions de sensibilisation, des permanences, des entretiens individuels... en fait, tout ce que nous pouvions pour nous assurer que nos PortCos étaient préparées au succès. »
Aikido et PSG avaient tous deux des points de contact. Nous étions disponibles sur plusieurs canaux pour assurer des réponses rapides. L'aspect habilitation était tout aussi important que la technologie elle-même.
Quel rôle le portail partenaire d'Aikido joue-t-il dans votre supervision ?
Il y a beaucoup de potentiel là-dedans. Aujourd'hui, nous l'utilisons pour identifier rapidement les CVE majeures (comme « Qui est concerné par la CVE-2024-XXXX ? ») et contacter les entreprises affectées.
Cela dit, nous plaidons pour des capacités de reporting plus robustes. Nous aimerions voir davantage de tendances macro. Des éléments tels que les tendances de vulnérabilité à l'échelle du portefeuille ou les taux de remédiation entreprise par entreprise. Aikido a été très réceptif à ce feedback, et nous collaborons sur des améliorations.
Comment décririez-vous l'« avant » et l'« après » de la coordination de la sécurité chez PSG ?
Avant, l'outillage était plus fragmenté. Chaque PortCo choisissait ce qui lui convenait. Ce n'est pas intrinsèquement mauvais, mais cela rend la supervision et le support beaucoup plus difficiles.
Désormais, un élément central est en place qui n'existait pas auparavant. Nous avons reçu des retours positifs des utilisateurs. L'outil est facile à adopter et réellement utile. Nous sommes encore au début de la quantification de l'impact, mais anecdotiquement, il a été très positif.
Avez-vous commencé à utiliser Aikido d'autres manières au-delà de la sécurité du portefeuille ?
« Nous commençons à intégrer Aikido dans nos processus de diligence… Cela nous donne une vision plus éclairée de ce que nous acquérons. »
Oui. Nous commençons à intégrer Aikido dans nos processus de diligence. Lorsque nous évaluons de nouvelles entreprises en vue d'une acquisition potentielle, nous pouvons les connecter à Aikido et obtenir des informations immédiates sur leur posture de sécurité, sans avoir besoin d'accéder au code lui-même. Nous pensons que cela nous donne une vision plus éclairée de ce que nous acquérons.
Des conseils pour ceux qui déploient des initiatives technologiques à travers un portefeuille ?
« Il n'y a pas de solution unique pour tous, mais il y en a une qui convient à la plupart, et nous pensons qu'Aikido correspond à ce point idéal. »
Absolument. Une chose que nous avons apprise est de ne pas être trop prescriptifs dans le domaine de l'IT. Nous utilisons ce que j'appelle l'approche « Netflix road well-traveled » (basée sur le style de management de l'entreprise). Nous indiquons aux entreprises les résultats que nous attendons, par exemple un programme de codage sécurisé, mais nous ne dictons pas la manière exacte d'y parvenir.
Aikido en est un excellent exemple : c'est une forte recommandation, pas une obligation. Si cela fonctionne pour vous, c'est fantastique. Sinon, trouvez ce qui fonctionne. Il n'y a pas de solution unique pour tous, mais il y en a une qui convient à la plupart, et nous pensons qu'Aikido correspond à ce point idéal.
Des réflexions finales ?
Aikido a été un partenaire formidable. Qu'il s'agisse du support sur le canal Slack, de la disponibilité de la direction ou de la réactivité du produit, ils ont toujours été à la hauteur. C'est une excellente relation.
