En un coup d'œil
- Intégration de la sécurité dès la conception dans la plateforme de développement interne de Serko
- Élimination des faux positifs, rétablissant la confiance dans les résultats de sécurité
- Unification de la sécurité du code, du cloud, des conteneurs et des API au sein d'une seule plateforme
- Permis à 300 ingénieurs de prendre en charge et corriger les vulnérabilités, plutôt que de trier le bruit
- Intégration de la sécurité directement dans les flux de travail et les modèles des développeurs
- Soutien d'un modèle d'ingénierie Platform-as-a-Product
- Fourni une visibilité à l'échelle de l'organisation via l'intégration Port
- Sélection d'Aikido Security plutôt qu'une plateforme de sécurité des développeurs existante
Vision de la sécurité dès la conception
Serko est un leader mondial de la technologie de voyage avec plus de 2 millions d'utilisateurs, qui était en pleine transformation d'ingénierie majeure. Dans le cadre de ce changement, le rôle de Darshit Pandya est passé de membre de l'équipe produit à celui d'ingénieur principal senior dirigeant la nouvelle initiative d'ingénierie de plateforme de Serko. Cette initiative est née d'une opportunité que Darshit a identifiée pour réduire considérablement les frictions ressenties par les ingénieurs produit lors de la création de nouvelles fonctionnalités.
“Il y a toujours des frictions et des déraillements lorsque votre équipe souhaite créer un nouveau service ou une API, mais qu'il n'y a pas de modèles standard. Par exemple, disposer d'un modèle d'API intégrant le Top 10 OWASP et d'autres garde-fous de sécurité,” a-t-il déclaré.
Sans ces modèles, il était laborieux pour les développeurs de construire des choses à partir de zéro, réinventant la roue à chaque fois.
C'est pourquoi Darshit considère l'ingénierie de plateforme comme essentielle au succès de Serko, en adoptant ce qui est connu sous le nom de mentalité ‘Platform-as-a-Product’.
“Si nous le faisons correctement, nous pouvons certainement aider nos clients internes, comme nos ingénieurs, nos responsables d'ingénierie, nos chefs de produit et nos responsables de livraison, et nous pouvons réduire leur charge cognitive, en veillant à ce qu'ils se concentrent sur l'écriture de la logique métier,” a déclaré Darshit.
L'initiative d'ingénierie de plateforme de Serko se concentre sur des modèles réutilisables et sécurisés par défaut, ainsi que des outils internes qui éliminent le travail répétitif. En intégrant des standards de sécurité comme le Top 10 OWASP dans chaque service dès le premier jour, l'équipe s'assure que les développeurs peuvent innover en toute confiance sans compromettre la sécurité.
La première chose que Darshit voulait bien faire était la sécurité.
Gestion des faux positifs
Avant Aikido, Serko s'appuyait sur une plateforme de sécurité des développeurs qui générait du bruit et des problèmes de confiance.
“Nous utilisions un outil qui se vantait de débusquer les vulnérabilités, mais ce n'était pas le cas. Nous avions de nombreux faux positifs. Les ingénieurs étaient frustrés par les nombreux faux positifs détectés, ce qui a entraîné un manque de confiance.”
“De plus, nous souhaitions des améliorations et des enrichissements de la plateforme de sécurité des développeurs qui ne venaient pas, même après de nombreux mois de collaboration avec le fournisseur,” a-t-il déclaré. “La technologie évoluait très vite, mais il manquait certaines capacités comme la gestion des vulnérabilités liées au cloud, AI AutoFix et des API que nous aurions pu exploiter pour construire ou intégrer des flux de travail ou des outils clients,” a-t-il ajouté.
Suite à ces frustrations, Serko a piloté Aikido et a validé les vulnérabilités qu'Aikido affichait pour certains dépôts par rapport à leur plateforme de sécurité des développeurs existante.
“Nos experts en sécurité et moi-même savions que certains d'entre eux étaient des faux positifs et ne devraient pas être là, et Aikido n'a pas affiché ces vulnérabilités, ce qui était un excellent signe,” a-t-il déclaré.
Parallèlement, Darshit a expliqué que la capacité d'Aikido à regrouper les mêmes vulnérabilités sur différentes bases de code et à fournir des descriptions détaillées étape par étape pour les résoudre, constituaient d'autres éléments différenciateurs pour Aikido, tandis que la sécurité du cloud, du code et des API, ainsi que la correction automatique par IA, étaient autant d'autres facteurs décisifs dans le choix d'Aikido.
« L'engagement d'Aikido à s'aligner sur la stratégie axée sur la plateforme de Serko était élevé, et travailler avec eux a été formidable. Ils résolvent nos problèmes et lorsqu'une opportunité d'intégration se présente, comme l'intégration du portail développeur interne Port avec Aikido, ils ont travaillé pour y parvenir », a-t-il déclaré.
« Ce n'est pas seulement mon avis. De nombreux ingénieurs produit de Serko sont venus nous dire : “Aikido est une excellente plateforme que vous nous fournissez et nous en tirons beaucoup de valeur” », a-t-il ajouté.
« En revanche, chaque jour, nous recevions des plaintes et de la frustration de la part de nos ingénieurs qui utilisaient l'outil de sécurité pour développeurs précédent. Mais avec Aikido, nous n'avons reçu aucune plainte de ce type », a déclaré Darshit.
L'impact de la plateforme de sécurité pour développeurs de Serko – Propulsée par Aikido
L'adoption d'Aikido a aidé Serko à transformer la manière dont les équipes abordent la sécurité. Les vulnérabilités ne sont plus masquées par de faux positifs et les ingénieurs se sentent responsables de la résolution des problèmes. Ce changement culturel est le résultat direct de la vision d'ingénierie de plateforme de Serko, soutenue de manière sécurisée par Aikido Security.
« Avec notre plateforme de sécurité précédente, il y avait un manque de confiance autour des vulnérabilités qu'elle mettait en évidence.
Avec Aikido, la clarté était bien meilleure. Nous avons demandé aux équipes de s'attaquer aux problèmes critiques, et elles l'ont fait. Aujourd'hui, nous avons considérablement amélioré notre posture de sécurité parce que les gens corrigent réellement les problèmes, au lieu d'enquêter sur de faux positifs », a-t-il déclaré.
Le rapport State of AI, Developers & Security 2025 d'Aikido a révélé que 15 % du temps d'ingénierie est perdu à trier les alertes, et la majeure partie de ce temps (72 %) est consacrée aux faux positifs. En fait, en moyenne, les équipes perdent cinq heures par semaine à gérer les faux positifs. Mais les dommages causés par les faux positifs vont au-delà de cela. Ils peuvent forcer les équipes à recourir à des solutions de contournement et à des raccourcis risqués. Deux tiers des répondants contournent les outils de sécurité, ignorent les résultats ou retardent les corrections parce qu'ils en ont assez de gérer les faux positifs.
Un signe majeur que Aikido et le concept global d'ingénierie de plateforme fonctionnent est que ces solutions de contournement ne se produisent pas chez Serko.
De plus, pour les frameworks hérités plus anciens, Serko a intégré des revues de sécurité régulières par la direction. Si une équipe souhaite retarder la correction d'une vulnérabilité spécifique, elle doit obtenir l'approbation de la direction pour le risque, ce qui implique de rédiger une justification expliquant pourquoi cela est acceptable. Celles-ci sont régulièrement examinées par les dirigeants. L'objectif est de maintenir la visibilité, afin que les dirigeants sachent où se situent les risques sérieux et puissent inciter à l'action plutôt que de les laisser être ignorés.
Intégrer Aikido avec Port
Le contexte est essentiel pour les développeurs, et Darshit estime que la combinaison d'Aikido avec Port (utilisé comme portail développeur de Serko) représente une avancée significative pour le succès de l'ingénierie de plateforme de Serko.
« Avec Aikido et Port combinés, les vulnérabilités seront visibles aux côtés des actifs de Serko, non seulement les services, mais aussi les ressources cloud, les bases de données et les composants. Cela nous donne une visibilité claire à l'échelle de l'organisation. Nous construisons également un tableau de bord de sécurité grâce à cette intégration. Cela nous permettra de montrer, par exemple, quelles API se situent aux niveaux bronze, argent ou or dans notre catalogue d'API. Le tableau de bord offre un moyen simple de comprendre la posture de sécurité à travers les différentes équipes et actifs. »
L'intégration permettra également à la direction technologique de voir facilement le nombre de vulnérabilités présentes dans nos systèmes, que ce soit par équipe, groupe ou organisation, montrant quelles équipes sont en retard et lesquelles n'ont aucune vulnérabilité. Cela aidera la direction produit et ingénierie.
« En donnant aux dirigeants une visibilité sur la posture de sécurité, ils peuvent prendre des décisions éclairées concernant les priorités. Nous ne voulons pas bloquer les gens avec des barrières strictes ; au lieu de cela, nous voulons leur donner les moyens grâce aux données afin qu'ils puissent équilibrer la livraison et la sécurité », a expliqué Darshit.
Conclusion
Pour Darshit, l'ingénierie de plateforme va au-delà de la technologie, il s'agit de changer la culture. En utilisant Aikido, Serko a donné aux ingénieurs la confiance nécessaire pour se fier aux résultats de sécurité et a créé un cadre où les équipes produit peuvent voir les compromis entre vitesse et sécurité. De manière cruciale, cela a aidé Serko à construire une plateforme développeur où la sécurité est la responsabilité de chacun. Alors que Serko continue d'évoluer, elle établit une nouvelle norme pour l'ingénierie de plateforme sécurisée dès la conception, avec Aikido comme partenaire de confiance essentiel tout au long du processus.
