Raisin est une fintech basée à Berlin qui gère une place de marché en ligne pour l'épargne et l'investissement, mettant en relation plus d'un million de clients avec des produits de dépôt et d'épargne auprès d'un réseau de banques partenaires en Europe, au Royaume-Uni et aux États-Unis. Cela implique de gérer d'importantes sommes d'argent dans un marché réglementé, ce qui confère un poids considérable à la sécurité des applications.
Le CISO et le responsable de la sécurité produit de Raisin observaient l'ingénierie assistée par l'IA dépasser une pile de sécurité open source auto-maintenue. Voici pourquoi ils ont choisi Aikido pour suivre le rythme, et comment cela s'intègre à la manière dont l'équipe travaille déjà.
En un coup d'œil
- A remplacé une pile de scanners open source auto-maintenue par une seule plateforme pour la sécurité des applications et de la chaîne d'approvisionnement
- Exécute Aikido dans JetBrains et VS Code, et dans les assistants IA pour développeurs via MCP, afin que la sécurité s'intègre au flux de travail plutôt que d'être à côté
- Utilise l'analyse d’accessibilité sur JavaScript et Python pour réduire le triage manuel
- Génère environ 200 AutoFixes par mois
- A obtenu une règle de qualité de code pour une nouvelle menace liée aux compétences IA déployée dans les deux semaines suivant la demande
- Utilise Aikido Safe Chain pour les développeurs dans les écosystèmes NPM et PyPI
- Déploie en production environ 50 fois par jour, la sécurité suivant le rythme plutôt que de bloquer
Enjeu
Une pile open source DIY qui a cessé de scaler
Avant Aikido, l'équipe de sécurité produit gérait la sécurité avec des scanners open source qu'elle maintenait en interne, intégrés aux pipelines de build comme des tâches distinctes. Cela fonctionnait tant que l'équipe d'ingénierie était petite. À mesure que l'équipe grandissait et que de nouveaux services arrivaient, ces tâches ont commencé à échouer, et l'équipe passait son temps à réparer les scanners au lieu d'agir sur les vulnérabilités détectées.
« Nous utilisions de nombreux scanners open source, avec des tâches distinctes dans nos pipelines que nous devions maintenir. À mesure que nous montions en charge et ajoutions des services, ces tâches ont commencé à échouer, et nous passions beaucoup de temps à les réparer au lieu d'agir sur ce qu'ils détectaient. »
Steeven George, Responsable de la sécurité produit, Raisin
Le triage s'accumulait. Pour le SCA, l'équipe vérifiait manuellement si une vulnérabilité était accessible, ou risquait de faire peser 10 ou 20 vulnérabilités critiques par projet sur des développeurs qui considéraient déjà la sécurité comme un frein. Les malwares de la chaîne d'approvisionnement étaient la partie pour laquelle ils n'avaient pas de réelle solution. Les attaques sur les écosystèmes NPM et Python augmentaient depuis plusieurs années, et le boom de l'IA rendait la production de paquets malveillants peu coûteuse. Raisin générait des nomenclatures logicielles (SBOM) avec un outil open source, puis vérifiait chacune manuellement, ce qui était une tâche lente en soi. Du côté des malwares, l'équipe avait un angle mort qu'elle ne pouvait pas combler avec les outils dont elle disposait.
La sécurité à la traîne par rapport à l'ingénierie accélérée par l'IA
Nitesh Gaikwad, CISO de Raisin, constatait le même problème depuis le sommet. Les outils de codage basés sur l'IA accéléraient les ingénieurs, et la sécurité des applications ne suivait pas le rythme. Les projets plus anciens contenaient des problèmes que l'équipe n'avait aucun moyen clair de détecter.
« Nos ingénieurs accéléraient, surtout avec les outils d'IA, mais nous ne rattrapions pas notre retard du côté de la sécurité des applications et des produits. Nous avions besoin de quelque chose qui puisse trouver rapidement les problèmes de sécurité, au sein du flux de travail d'ingénierie. »
Nitesh Gaikwad, CISO, Raisin
La lacune s'est également manifestée dans le workflow. Raisin ne disposait pas de sécurité intégrée à l'IDE, l'équipe s'appuyait donc sur les pipelines CI/CD et les analyses, et les problèmes n'apparaissaient qu'une fois le code arrivé à l'étape de merge. Cela ralentissait la livraison et ne laissait aucune réelle possibilité de déplacer les vérifications plus tôt, ce qui était l'opposé de la position souhaitée par Nitesh pour la sécurité.
Pour Nitesh, la mission était liée au risque : identifier les lacunes dans les projets que l'équipe n'avait jamais pu inspecter et empêcher les problèmes critiques d'atteindre la production, sans devenir un frein à la livraison.
Pourquoi Raisin a choisi Aikido
Nitesh a mené l'évaluation en comparant des outils tels que Wiz et CrowdStrike, ainsi que l'option de conserver la configuration interne. Aikido s'est distingué par son analyse de logiciels malveillants sur les packages open source et les bibliothèques tierces, et pour couvrir l'ensemble des besoins sur une seule plateforme plutôt qu'avec des outils déconnectés.
“Ce qui a frappé, c'est l'analyse des logiciels malveillants sur les packages open source et les bibliothèques tierces. Aucun autre outil que nous avons évalué ne couvrait l'ensemble des besoins sur une seule plateforme.”
Nitesh Gaikwad, CISO, Raisin
Une telle étendue soulève une inquiétude évidente : une plateforme couvrant autant de domaines pourrait ne pas être performante dans un domaine spécifique. La réponse de Nitesh fut l'évaluation elle-même. Son équipe a mené une évaluation approfondie, a fait part de ses découvertes et a observé Aikido y réagir pendant le PoC, la décision s'est donc basée sur le comportement du produit dans leur environnement plutôt que sur une liste de fonctionnalités.
Le produit devait également gagner la confiance des développeurs, et pas seulement celle de l'équipe de sécurité. Chez Raisin, l'ingénierie de plateforme donne son feu vert pour les nouveaux outils, l'utilisabilité faisait donc partie du test. Pour Steeven, l'attrait technique résidait dans la consolidation et l'analyse d’accessibilité.
“Aikido nous a offert un tableau de bord unique. Avec l'analyse d’accessibilité pour JavaScript et Python, nous trions moins et il y a moins de friction du côté SAST.”
Steeven George, Responsable de la sécurité produit, Raisin
La transparence faisait partie de l'attrait. Steeven a trouvé l'équipe ouverte quant à l'orientation du produit, ce qui a facilité la formulation des exigences et la discussion de la feuille de route plutôt que de la deviner.
Comment Aikido s'intègre au fonctionnement de Raisin
Les développeurs voient les résultats d'Aikido dans les éditeurs qu'ils utilisent déjà, et grâce à l'intégration MCP, leurs assistants IA peuvent extraire directement le contexte Aikido. La sécurité s'intègre au workflow au lieu d'être dans une console séparée que les développeurs doivent penser à ouvrir.
“Aikido s'intègre aux IDE que nos développeurs utilisent déjà, comme JetBrains et VS Code. Avec l'intégration MCP, ils peuvent interroger Aikido et voir les problèmes d'un dépôt, sans quitter leurs outils.”
Steeven George, Responsable de la sécurité produit, Raisin
Aikido exécute le SAST, le SCA, la détection de secrets et l'analyse de logiciels malveillants des packages open source de Raisin en un seul endroit. Les développeurs avaient l'habitude de contester les résultats en affirmant qu'une vulnérabilité n'était pas accessible, et ces allers-retours coûtaient du temps aux deux parties. Avec l'analyse d’accessibilité sur JavaScript et Python dans la même vue, ce débat disparaît, car l'outil indique déjà si un résultat affecte du code en production.
En matière de remédiation, Aikido AutoFix génère environ 200 correctifs par mois. Chaque correctif est assorti d'un niveau de confiance, et un développeur le révise avant son déploiement. AutoTriage fonctionne en parallèle. L'équipe examinait auparavant les résultats SAST un par un pour déterminer ce qui était réel. Désormais, l'IA d'Aikido les évalue, de sorte que les ingénieurs et la sécurité passent moins de temps à décider si un résultat est un faux positif et plus de temps sur ceux qui comptent.
“Nous obtenons environ 200 AutoFixes par mois. La plupart des outils SAST se contentent de vous donner une recommandation. Aikido comprend le contexte et propose un correctif presque prêt à être merge, avec un niveau de confiance, afin que le développeur puisse l'évaluer.”
Steeven George, Responsable de la sécurité produit, Raisin
Raisin utilise également Aikido Safe Chain pour les développeurs travaillant dans les écosystèmes NPM et PyPI. Son analyse CI/CD, autrefois un ensemble de tâches open source fragiles, s'exécute désormais via Aikido en tant qu'intégration unique.
Un fournisseur qui livre à leur rythme
Le test le plus clair est venu d'une menace qui existait à peine un mois plus tôt. Les développeurs de Raisin ont commencé à intégrer des compétences IA externes, et l'équipe s'inquiétait des logiciels malveillants qui pourraient les accompagner. Aucun outil sur le marché ne le couvrait. Raisin en a parlé à Aikido, et une règle a été intégrée au module de qualité du code en environ deux semaines. L'équipe l'analyse désormais à partir d'un dépôt central. L'accès aux fondateurs via un canal Slack partagé a accéléré la conversation, mais ce que Steeven souligne, c'est la réactivité, pas l'accès.
“Nous étions préoccupés car des compétences externes arrivaient avec des logiciels malveillants, et aucun autre outil ne le couvrait. Aikido a intégré une règle dans le module de qualité du code en environ deux semaines.”
Steeven George, Responsable de la sécurité produit, Raisin
Ce qui a permis son déploiement, c'est le timing. Les compétences IA n'étaient apparues qu'un mois ou deux plus tôt, et rien d'autre sur le marché ne les analysait, Steeven s'attendait donc à une longue attente ou à une solution de contournement. Au lieu de cela, la capacité est arrivée au sein de la plateforme, dans le cadre des propres outils de sécurité d'Aikido. La règle des compétences n'était qu'un exemple de ce même modèle. Steeven affirme qu'Aikido continue de proposer des solutions face aux nouvelles menaces dès qu'elles apparaissent, Device Protection en étant un exemple récent, ce qui est exactement ce dont une équipe agile comme Raisin a besoin d'un fournisseur de sécurité.
Raisin livre rapidement, et de plus en plus vite. Les changements en production sont passés d'environ 10 par jour à environ 50. À ce rythme, la sécurité doit suivre ou elle devient un goulot d'étranglement. L'objectif de Nitesh est de détecter les problèmes pendant le développement, dans l'IDE, plutôt que plus tard au niveau d'une étape de pipeline, et c'est exactement ce qu'Aikido permet de faire.
“Nous pouvons accélérer le processus plutôt que de bloquer le pipeline. La plupart des problèmes sont identifiés en développement, dans l'IDE, au lieu d'une étape bloquante du pipeline, nous poussons donc vers main beaucoup plus rapidement.”
Nitesh Gaikwad, CISO, Raisin
Comment Raisin utilise Aikido aujourd'hui
Déjà utilisé
- SAST et SCA
- Détection de secrets
- Analyse des malwares de packages open source
- Analyse d’accessibilité (JavaScript et Python)
- AutoFix
- AutoTriage
- sécurité CI/CD
- Module de qualité du code, incluant l'analyse des capacités d'IA
- Plugins IDE pour JetBrains et VS Code
- Intégration MCP pour les assistants IA
- Aikido Safe Chain
Prévu pour adoption
- Aikido Protection des appareils, testée et prête à être déployée
- Aikido Zen Firewall, pour la défense contre l'IA fantôme et les attaques par injection de prompt
- DAST
En évaluation
Verdict final
“L'une de nos plus grandes réussites est que les anciennes frictions entre la sécurité et les développeurs ont disparu. Ils ont confiance que lorsqu'Aikido signale quelque chose, cela mérite leur attention.”

