Dans le secteur des technologies RH, où le traitement des données sensibles des employés et des organisations est au cœur du produit, Simployer a fait de la sécurité un pilier de son processus de développement. Basée dans les pays nordiques et desservant plus de 12 000 entreprises et un million d'utilisateurs, la plateforme Simployer aide les entreprises à rationaliser les opérations RH, de la conformité légale à l'engagement des employés.
Pour maintenir le rythme de l'innovation tout en restant sécurisé et conforme, Simployer s'est tourné vers Aikido.
La sécurité, une responsabilité partagée
Pour Simployer, la sécurité est au cœur du fonctionnement des équipes. Peder Nordvaller, directeur technique de Simployer, le décrit simplement :
"La sécurité joue un rôle énorme dans ce que nous faisons. Nous traitons des données personnelles qui ne sont pas seulement privées - elles sont essentielles aux activités commerciales de nos clients.
Au sein de l'organisation d'ingénierie de Simployer, la sécurité n'est pas cloisonnée. Au contraire, elle est intégrée dans le cycle de développement quotidien de chaque équipe. De l'infrastructure aux équipes frontend et backend, tout le monde partage la responsabilité de la sécurité des systèmes.
Said, responsable technique chez Simployer, l'explique ainsi : "Chaque équipe est propriétaire de son espace. Cela inclut la sécurité des choses qu'ils construisent".
Mais si cette culture est forte, elle a toujours besoin de l'outil adéquat pour la soutenir. D'autant plus que l'entreprise s'est développée.
Le défi : croître rapidement sans perdre le contrôle
Alors que Simployer a rapidement étendu son développement, ses équipes ont été confrontées à un défi : comment maintenir un niveau de sécurité élevé sans ralentir l'innovation.
"Nous investissons massivement dans le développement de produits", explique Peder. "Nous devions nous assurer que notre approche en matière de sécurité pouvait suivre notre croissance.
Simployer a essayé plusieurs outils pour l'aider à analyser le code et l'infrastructure, de Snyk aux solutions intégrées de GitLab. Mais la plupart des plateformes créaient plus de problèmes qu'elles n'en résolvaient :
- Niveaux de bruit élevés et priorités floues
- Un triage manuel qui a fait perdre du temps aux développeurs
- Faible taux d'adoption en raison d'une interface utilisateur peu conviviale
M. Said donne plus de détails : "Il y avait beaucoup de bruit et on passait du temps à creuser des questions qui n'avaient pas d'importance. Il n'était pas évident de savoir sur quoi se concentrer".
Pour une entreprise disposant de plusieurs équipes de développement travaillant en parallèle, cette fragmentation n'était pas viable.
Pourquoi Simployer a choisi l'Aïkido
L'équipe s'est mise à la recherche d'une solution capable d'apporter clarté, rapidité et intégration transparente dans les flux de travail existants. C'est alors qu'ils ont trouvé Aikido.
"La première chose que nous avons remarquée, c'est l'intuitivité de l'interface utilisateur", se souvient Said.
"Vous entrez dans le système, vous voyez les vulnérabilités qui comptent et vous les corrigez rapidement."
Aikido a immédiatement permis de réduire la charge cognitive des développeurs en regroupant et en hiérarchisant les vulnérabilités, et en fournissant des correctifs exploitables. L'outil s'est intégré directement dans le pipeline CI/CD de Simployer et dans les flux de travail existants, ce qui a facilité son adoption.
Deux choses ressortent :
- Une hiérarchisation intelligente des priorités : "Vous savez exactement ce qu'il faut regarder et ce qui est réellement essentiel.
- Auto-Fix : "Si un problème peut être résolu automatiquement, il l'est. Cela change la donne."
Said ajoute : "La vitesse de résolution est incroyable. Nous avons résolu des problèmes en moins d'une minute. Aikido crée la demande d'extraction, les tests passent et c'est fait."
"La vitesse de résolution est incroyable. Nous avons résolu des problèmes en moins d'une minute. Aikido crée la demande d'extraction, les tests passent et c'est fait.
Intégrer la sécurité dans le flux de développement
L'une des plus grandes réussites de Simployer a été l'intégration naturelle de l'Aïkido dans l'expérience des développeurs.
"Cela a changé la façon dont nous gérons la sécurité", explique M. Peder. "Désormais, nous traitons la sécurité comme n'importe quelle autre tâche dans notre travail quotidien.
En intégrant la sécurité dans les outils existants et en donnant aux équipes des informations exploitables, Aikido a permis d'éliminer les allers-retours entre les développeurs et les équipes de sécurité. Cela signifie moins de changements de contexte et un code plus sûr, plus rapidement.
La couverture d'Aikido sur l'ensemble des technologies de Simployer - du code de l'application aux dépendances IaC et open-source - a également permis à l'équipe d'obtenir une image complète de sa posture de sécurité à partir d'un tableau de bord unique.
Regarder vers l'avenir : s'adapter en toute confiance
Avec Aikido, Simployer a jeté les bases d'une culture de développement axée sur la sécurité qui ne ralentira pas son élan.
- Les développeurs corrigent désormais les vulnérabilités en quelques minutes, et non plus en quelques jours
- La sécurité est intégrée dans le cycle de développement, et non pas ajoutée ultérieurement.
- Les équipes ont une visibilité sur l'ensemble de la pile, du code au nuage.
- Le triage manuel est réduit et les corrections sont souvent automatiques.
"Il est plus facile de faire ce qu'il faut lorsque l'outil vous soutient", explique M. Said. "Et quand c'est aussi facile, les développeurs le font.
"Il est plus facile de faire ce qu'il faut lorsque l'outil vous soutient. Et quand c'est aussi facile, les développeurs le font".
"Avec Aikido, la sécurité fait partie intégrante de notre façon de travailler. C'est rapide, intégré et vraiment utile pour les développeurs"
- Peder Nordvaller, CTO chez Simployer
.svg){kind=logo}
%201.svg)
