Dans l'industrie des technologies RH (HR tech), où la gestion des données sensibles des employés et de l'organisation est au cœur du produit, Simployer a fait de la sécurité un pilier de son processus de développement. Basée dans les pays nordiques et au service de plus de 12 000 entreprises et d'un million d'utilisateurs, la plateforme de Simployer aide les entreprises à rationaliser leurs opérations RH, de la conformité légale à l'engagement des employés.
Pour maintenir le rythme de l'innovation tout en assurant sa sécurité et sa conformité, Simployer s'est tourné vers Aikido.
La sécurité comme responsabilité partagée
Pour Simployer, la sécurité est au cœur du fonctionnement des équipes. Peder Nordvaller, CTO chez Simployer, le décrit simplement :
“La sécurité joue un rôle majeur dans nos activités. Nous traitons des données personnelles qui ne sont pas seulement privées, elles sont critiques pour les opérations commerciales de nos clients.”
Au sein de l'organisation d'ingénierie de Simployer, la sécurité n'est pas cloisonnée. Au lieu de cela, elle est intégrée au cycle de développement quotidien de chaque équipe. Des équipes d'infrastructure aux équipes frontend et backend, chacun partage la responsabilité de la sécurité des systèmes.
Said, Tech Lead chez Simployer, l'exprime ainsi : « Chaque équipe est responsable de son espace. Cela inclut la sécurité de ce qu'elle construit. »
Mais si cette culture est forte, elle nécessitait néanmoins les bons outils pour la soutenir. Surtout à mesure que l'entreprise prenait de l'ampleur.
Le défi : grandir vite sans perdre le contrôle
Alors que Simployer développait rapidement ses activités, leurs équipes ont été confrontées à un défi : comment maintenir une posture de sécurité solide sans ralentir l'innovation.
« Nous investissons massivement dans le développement de produits », explique Peder. « Nous devions nous assurer que notre approche de la sécurité puisse suivre notre croissance. »
Simployer avait essayé plusieurs outils pour l'analyse de code et d'infrastructure, allant de Snyk aux solutions intégrées de GitLab. Mais la plupart des plateformes créaient plus de problèmes qu'elles n'en résolvaient :
- Niveaux de bruit élevés et priorités peu claires
- Tri manuel qui accaparait le temps des développeurs
- Faible adoption due à une UX peu ergonomique
Said précise : « Il y avait beaucoup de bruit, et on passait du temps à creuser des problèmes qui n'avaient pas d'importance. Il n'était tout simplement pas clair sur quoi se concentrer. »
Pour une entreprise avec plusieurs équipes de développement travaillant en parallèle, cette fragmentation était intenable.
Pourquoi Simployer a choisi Aikido
L'équipe a commencé à chercher une solution capable d'offrir clarté, rapidité et une intégration transparente dans les workflows existants. C'est alors qu'ils ont découvert Aikido.
« La première chose que nous avons remarquée, c'est à quel point l'interface utilisateur était intuitive », se souvient Said.
« On accède, on voit les vulnérabilités qui comptent et on les corrige rapidement. »
Aikido a immédiatement contribué à réduire la charge cognitive des développeurs en regroupant et en priorisant les vulnérabilités, et en fournissant des correctifs exploitables. L'outil s'est intégré directement dans le pipeline CI/CD et les workflows existants de Simployer, rendant son adoption sans friction.
Deux éléments sont ressortis :
- Priorisation intelligente : « Vous savez exactement ce qu'il faut examiner et ce qui est réellement critique. »
- Auto-Fix : « Si une correction automatique est possible, elle est appliquée. Cela change la donne. »
Said ajoute : « La vitesse de résolution est incroyable. Nous avons corrigé des problèmes en moins d'une minute. Aikido crée la pull request, les tests passent, et c'est terminé. »
« La vitesse de résolution est incroyable. Nous avons résolu des problèmes en moins d'une minute. Aikido crée la pull request, les tests passent, et c'est terminé. »
Intégrer la sécurité au flux de développement
L'un des plus grands succès pour Simployer a été la manière dont Aikido s'est naturellement intégré à l'expérience des développeurs.
« Cela a changé notre façon de gérer la sécurité, » partage Peder. « Maintenant, nous traitons la sécurité comme n'importe quelle autre tâche dans notre travail quotidien. »
En intégrant la sécurité dans les outils existants et en fournissant aux équipes des informations exploitables, Aikido a contribué à éliminer les allers-retours entre les développeurs et les équipes de sécurité. Cela a réduit les changements de contexte — et a permis un code plus sécurisé, plus rapidement.
La couverture d'Aikido sur l'ensemble de la pile technologique de Simployer — du code applicatif à l'IaC et aux dépendances open source — a également permis à l'équipe d'obtenir une vue complète de sa posture de sécurité à partir d'un tableau de bord unique.
Perspectives d'avenir : une mise à l'échelle en toute confiance
Avec Aikido, Simployer a posé les bases d'une culture de développement axée sur la sécurité qui ne ralentira pas leur élan.
- Les développeurs corrigent désormais les vulnérabilités en quelques minutes, et non plus en plusieurs jours.
- La sécurité est intégrée au cycle de vie du développement, et non ajoutée après coup
- Les équipes ont une visibilité sur l'ensemble de la stack, du code au cloud
- Le tri manuel est réduit, et les corrections sont souvent automatiques
« Il est plus facile de faire ce qu'il faut lorsque les outils vous accompagnent, » réfléchit Said. « Et quand c'est aussi simple, les développeurs le font réellement. »
« Il est plus facile de faire ce qu'il faut lorsque les outils vous accompagnent. Et quand c'est aussi simple, les développeurs le font réellement. »
