Aikido
Essai gratuit
Sans CB
Témoignages clients

Comment Smartendr a obtenu une vision claire et hiérarchisée des risques réels liés aux paiements grâce à pentest IA

Migré depuis -

€10M
Transactions mensuelles
1M
Utilisateurs finaux servis
54
Résultats de pentest validés
Publié le :
24 décembre 2025
Dernière mise à jour le :
24 décembre 2025

En un coup d'œil

  • Le pentest IA a simulé le comportement réel d'un attaquant à travers l'application et les intégrations.
  • Passez des vérifications fragmentées et périodiques à une vue claire et priorisée du risque de paiement réel.
  • 54 constats validés, groupés par gravité avec des chemins d'attaque reproductibles
  • Des directives de remédiation claires utilisées directement par les ingénieurs
  • Le re-test automatique a vérifié que les correctifs avaient effectivement éliminé les vulnérabilités
  • Rapport de pentest structuré utilisé lors des discussions avec les partenaires, les audits et les due diligence

Smartendr, qui fait désormais partie d'orderBilly, est une plateforme de commande pour les bars et les restaurants. La plateforme traite environ 10 millions d'euros de transactions chaque mois et dessert environ un million d'utilisateurs finaux. Les paiements, les intégrations au point de vente et les données clients sont au cœur du produit, ce qui fait de la sécurité des applications une exigence fondamentale pour l'entreprise.

« Je suis principalement responsable de l'aspect technique de l'entreprise », déclare Robin Praet, co-fondateur et CTO de Smartendr. « Cela inclut l'architecture de la plateforme, les intégrations et la sécurité. »

Alors que Smartendr prenait de l'ampleur, l'équipe a été confrontée à un défi familier pour les plateformes à croissance rapide : avancer rapidement tout en gardant confiance quant à l'existence réelle des risques.

Défi : avancer rapidement sans visibilité complète sur les risques réels

À mesure que Smartendr augmentait son volume de transactions et sa base d'utilisateurs, son profil de risque a considérablement évolué.

« Nous avons maintenant environ un million d'utilisateurs finaux chaque mois. À cette échelle, il suffit d'un seul acteur malveillant pour exploiter une faiblesse. »

Les attentes en matière de sécurité de la part des restaurants et des partenaires étaient élevées. Les commandes apparaissant dans les systèmes de point de vente devaient être correctement payées et protégées contre toute altération. Parallèlement, des fonctionnalités telles que les programmes de fidélité impliquaient que la plateforme traitait des données personnelles des clients.

Avant d'adopter pentest IAAikido, Smartendr suivait déjà les meilleures pratiques en matière de sécurité. L'équipe s'appuyait sur une combinaison de contrôles préventifs, d'examens manuels et de vérifications périodiques. Si cela offrait une couverture de base, cela ne donnait toutefois pas une image complète ou actualisée de la manière dont la plateforme pouvait être attaquée dans la pratique.

« Le problème majeur était la fragmentation, » déclare Robin. « Il n'y avait pas de vue unique de notre posture de sécurité, ce qui facilitait l'oubli des cas limites, en particulier autour des API et des intégrations. »

Avec des livraisons continues et de multiples intégrations, les lacunes entre les contrôles de sécurité sont devenues plus difficiles à justifier. L'équipe avait besoin d'un moyen de comprendre où elle était la plus vulnérable à l'instant T, et non pas seulement où des problèmes pourraient exister en théorie.

« Il est devenu clair que la sécurité ne pouvait pas reposer uniquement sur des contrôles périodiques, » dit Robin. « Elle devait s'intégrer à la façon dont nous construisons et livrons les logiciels. »

Solution : pentest IA montre les chemins d'attaque réels et les priorités claires

Lors de l'évaluation des solutions, Smartendr recherchait des tests de sécurité qui reflétaient le comportement d'attaques réelles sans ralentir le développement.

«Aikido à notre façon de travailler. Il s'intègre dans notre processus de développement, fournit un retour d'information continu et se concentre sur les risques réels et exploitables plutôt que sur le bruit. »

Smartendr utilisait déjà Aikido ses contrôles de sécurité préventifs. Le test d'intrusion basé sur l'IA n'a pas mis en évidence des principes fondamentaux oubliés, mais des voies d'attaque réalistes qui n'apparaissent que lorsque les API, les paiements et les intégrations des points de vente interagissent dans des conditions réelles.

La mise en route ne nécessitait qu'une configuration minimale. Le code source de Smartendr étant déjà connecté à Aikido, quelques clics ont suffi pour lancer le test d'intrusion IA.

« Aucune configuration lourde ou préparation n'était nécessaire, » explique Robin. « La sécurité devrait être facile à activer, pas un projet distinct. »

Le pentest IA a été exécuté sur l'application de Smartendr et a révélé 54 vulnérabilités validées. Bien que déroutants au premier abord, les résultats ont apporté de la clarté plutôt que de la confusion.

« Au début, il était confrontant de voir à quel point les résultats étaient exhaustifs », déclare Robin. « En même temps, cela nous a donné une image claire de ce qu'il fallait améliorer. »

Contrairement aux pentests traditionnels basés sur des listes de contrôle, les agents d'IA se sont comportés comme de véritables attaquants explorant le système. Chaque découverte a été validée, regroupée par sévérité et accompagnée d'étapes reproductibles montrant comment le problème pouvait être exploité en pratique.

« Les agents se sont comportés davantage comme un véritable attaquant explorant le système. Cela a rendu les résultats plus pertinents qu'un pentest de type liste de contrôle. »

Cela a permis aux ingénieurs de Smartendr de distinguer immédiatement ce qui nécessitait une correction urgente de ce qui pouvait être priorisé sur le long terme.

« Les étapes de validation ont grandement facilité la confiance dans les résultats et ont permis d'éviter de courir après les faux positifs, » explique Robin. »

Certaines des découvertes les plus précieuses concernent des problèmes non évidents qui n'apparaissaient que lorsque plusieurs systèmes interagissaient, exactement le type de risque le plus difficile à appréhender par des revues manuelles seules.

Des hypothèses à la réduction vérifiée des risques

Une fois la remédiation entamée, les conseils fournis ont aidé les ingénieurs à passer rapidement de la compréhension des problèmes à leur résolution.

« Les recommandations étaient concrètes et exploitables, » déclare Robin. « Les ingénieurs pouvaient passer directement de la compréhension d'un problème à sa résolution. »

Le re-test automatique a joué un rôle crucial pour boucler la boucle. Au lieu de supposer que les correctifs fonctionnaient, l'équipe pouvait vérifier que les vulnérabilités avaient réellement été éliminées.

« Une fois qu'un correctif est en place, vous obtenez une confirmation immédiate », dit Robin. « Cela élimine l'incertitude et fait gagner du temps. »

Le rapport final de pentest a également renforcé les discussions au-delà de l'ingénierie. Plutôt que de s'appuyer sur des assurances de haut niveau, Smartendr a pu s'appuyer sur une évaluation structurée et récente, avec des conclusions claires et des suivis.

« Au lieu de déclarations vagues sur la sécurité, nous pouvions présenter une évaluation structurée et récente. Cela a rendu les conversations avec les partenaires, les auditeurs ou les acquéreurs potentiels plus concrètes. »

Résultat : clarté, priorisation et sécurité continue

Après avoir traité les constatations, Smartendr a gagné en confiance quant à sa posture de sécurité, non pas parce que tous les risques ont été éliminés, mais parce que les risques les plus importants ont été clairement identifiés, priorisés et vérifiés.

« Nous avons une compréhension plus claire de nos points faibles », explique Robin. « Non pas parce que tout est parfait, mais parce que les risques les plus importants sont identifiés et traités. »

La sécurité n'est plus traitée comme un point de contrôle occasionnel. Elle est devenue une pratique continue, vérifiée en permanence, qui s'intègre directement dans le flux de travail de développement.

« Grâce à Aikido , nous pouvons réfléchir de manière plus proactive aux surfaces d'attaque et aux cas limites lorsque nous développons de nouvelles fonctionnalités », explique Robin.

Résumé

« Cela nous a donné une vision beaucoup plus claire et réaliste de notre risque réel, sans ralentir notre processus de développement et de déploiement logiciel », conclut Robin.

Titre 1

Titre 2

Titre 3

Titre 4

Titre 5
Titre 6

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

Bloc de citation

Liste ordonnée

  1. Élément 1
  2. Élément 2
  3. Élément 3

Liste non ordonnée

  • Élément A
  • Élément B
  • Élément C

Lien textuel

Texte en gras

Mise en avant

Exposant

Indice

Aller à :
Lien texte
Partager :

https://www.aikido.dev/customer-story/smartendr

Site web
https://www.smartendr.com/
Fondée
2020
Secteur d'activité
HospitalityTech
Siège social
Gand, Belgique
Taille de l'équipe de développement
Partenaire

Sécurisez-vous maintenant.

Sécuriser votre code, votre cloud et votre runtime dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Lancer le scan
Sans CB
Réservez une démo
Pas de carte de crédit requise | Résultats du scan en 32 secondes.