En un coup d'œil
- Le pentest IA a simulé le comportement réel d'un attaquant à travers l'application et les intégrations.
- Passez des vérifications fragmentées et périodiques à une vue claire et priorisée du risque de paiement réel.
- 54 constats validés, groupés par gravité avec des chemins d'attaque reproductibles
- Des directives de remédiation claires utilisées directement par les ingénieurs
- Le re-test automatique a vérifié que les correctifs avaient effectivement éliminé les vulnérabilités
- Rapport de pentest structuré utilisé lors des discussions avec les partenaires, les audits et les due diligence
Smartendr, désormais partie intégrante d'orderBilly, est une plateforme de commande pour les bars et restaurants. La plateforme traite environ 10 millions d'euros de transactions chaque mois et dessert environ un million d'utilisateurs finaux. Les paiements, les intégrations de points de vente et les données clients sont au cœur du produit, faisant de la sécurité des applications une exigence fondamentale pour l'entreprise.
« Je suis principalement responsable de l'aspect technique de l'entreprise », déclare Robin Praet, co-fondateur et CTO de Smartendr. « Cela inclut l'architecture de la plateforme, les intégrations et la sécurité. »
Alors que Smartendr prenait de l'ampleur, l'équipe a été confrontée à un défi familier pour les plateformes à croissance rapide : avancer rapidement tout en gardant confiance quant à l'existence réelle des risques.
Défi : avancer rapidement sans visibilité complète sur les risques réels
À mesure que Smartendr augmentait son volume de transactions et sa base d'utilisateurs, son profil de risque a considérablement évolué.
« Nous avons maintenant environ un million d'utilisateurs finaux chaque mois. À cette échelle, il suffit d'un seul acteur malveillant pour exploiter une faiblesse. »
Les attentes en matière de sécurité de la part des restaurants et des partenaires étaient élevées. Les commandes apparaissant dans les systèmes de point de vente devaient être correctement payées et protégées contre toute altération. Parallèlement, des fonctionnalités telles que les programmes de fidélité impliquaient que la plateforme traitait des données personnelles des clients.
Avant d'adopter le pentest IA d'Aikido, Smartendr suivait déjà les meilleures pratiques de sécurité. L'équipe s'appuyait sur une combinaison de contrôles préventifs, de revues manuelles et de vérifications périodiques. Bien que cela ait fourni une couverture de base, cela n'offrait pas une image complète ou actuelle de la manière dont la plateforme pouvait être attaquée en pratique.
« Le problème majeur était la fragmentation, » déclare Robin. « Il n'y avait pas de vue unique de notre posture de sécurité, ce qui facilitait l'oubli des cas limites, en particulier autour des API et des intégrations. »
Avec des livraisons continues et de multiples intégrations, les lacunes entre les contrôles de sécurité sont devenues plus difficiles à justifier. L'équipe avait besoin d'un moyen de comprendre où elle était la plus vulnérable à l'instant T, et non pas seulement où des problèmes pourraient exister en théorie.
« Il est devenu clair que la sécurité ne pouvait pas reposer uniquement sur des contrôles périodiques, » dit Robin. « Elle devait s'intégrer à la façon dont nous construisons et livrons les logiciels. »
Solution : pentest IA qui montre les chemins d'attaque réels et des priorités claires
Lors de l'évaluation des solutions, Smartendr recherchait des tests de sécurité qui reflétaient le comportement d'attaques réelles sans ralentir le développement.
« Aikido correspondait à notre façon de travailler. Il s'intègre à notre flux de développement, fournit un feedback continu et se concentre sur les risques réels et exploitables plutôt que sur le bruit. »
Smartendr utilisait déjà Aikido pour les contrôles de sécurité préventifs. Le pentest par IA n'a pas révélé d'oublis fondamentaux, mais des chemins d'attaque réalistes qui n'apparaissent que lorsque les API, les paiements et les intégrations de points de vente interagissent dans des conditions réelles.
La mise en route a nécessité une configuration minimale. Étant donné que la base de code de Smartendr était déjà connectée à Aikido, le lancement du pentest par IA n'a pris que quelques clics.
« Aucune configuration lourde ou préparation n'était nécessaire, » explique Robin. « La sécurité devrait être facile à activer, pas un projet distinct. »
Le pentest IA a été exécuté sur l'application de Smartendr et a révélé 54 vulnérabilités validées. Bien que déroutants au premier abord, les résultats ont apporté de la clarté plutôt que de la confusion.
« Au début, il était confrontant de voir à quel point les résultats étaient exhaustifs », déclare Robin. « En même temps, cela nous a donné une image claire de ce qu'il fallait améliorer. »
Contrairement aux pentests traditionnels basés sur des listes de contrôle, les agents d'IA se sont comportés comme de véritables attaquants explorant le système. Chaque découverte a été validée, regroupée par sévérité et accompagnée d'étapes reproductibles montrant comment le problème pouvait être exploité en pratique.
« Les agents se sont comportés davantage comme un véritable attaquant explorant le système. Cela a rendu les résultats plus pertinents qu'un pentest de type liste de contrôle. »
Cela a permis aux ingénieurs de Smartendr de distinguer immédiatement ce qui nécessitait une correction urgente de ce qui pouvait être priorisé sur le long terme.
« Les étapes de validation ont grandement facilité la confiance dans les résultats et ont permis d'éviter de courir après les faux positifs, » explique Robin. »
Certaines des découvertes les plus précieuses concernent des problèmes non évidents qui n'apparaissaient que lorsque plusieurs systèmes interagissaient, exactement le type de risque le plus difficile à appréhender par des revues manuelles seules.
Des hypothèses à la réduction vérifiée des risques
Une fois la remédiation entamée, les conseils fournis ont aidé les ingénieurs à passer rapidement de la compréhension des problèmes à leur résolution.
« Les recommandations étaient concrètes et exploitables, » déclare Robin. « Les ingénieurs pouvaient passer directement de la compréhension d'un problème à sa résolution. »
Le re-test automatique a joué un rôle crucial pour boucler la boucle. Au lieu de supposer que les correctifs fonctionnaient, l'équipe pouvait vérifier que les vulnérabilités avaient réellement été éliminées.
« Une fois qu'un correctif est en place, vous obtenez une confirmation immédiate », dit Robin. « Cela élimine l'incertitude et fait gagner du temps. »
Le rapport final de pentest a également renforcé les discussions au-delà de l'ingénierie. Plutôt que de s'appuyer sur des assurances de haut niveau, Smartendr a pu s'appuyer sur une évaluation structurée et récente, avec des conclusions claires et des suivis.
« Au lieu de déclarations vagues sur la sécurité, nous pouvions présenter une évaluation structurée et récente. Cela a rendu les conversations avec les partenaires, les auditeurs ou les acquéreurs potentiels plus concrètes. »
Résultat : clarté, priorisation et sécurité continue
Après avoir traité les constatations, Smartendr a gagné en confiance quant à sa posture de sécurité, non pas parce que tous les risques ont été éliminés, mais parce que les risques les plus importants ont été clairement identifiés, priorisés et vérifiés.
« Nous avons une compréhension plus claire de nos points faibles », explique Robin. « Non pas parce que tout est parfait, mais parce que les risques les plus importants sont identifiés et traités. »
La sécurité n'est plus traitée comme un point de contrôle occasionnel. Elle est devenue une pratique continue, vérifiée en permanence, qui s'intègre directement dans le flux de travail de développement.
« Avec l'aide d'Aikido Attack, nous pouvons réfléchir de manière plus proactive aux surfaces d'attaque et aux cas limites lors de la création de nouvelles fonctionnalités, » déclare Robin.
Résumé
« Cela nous a donné une vision beaucoup plus claire et réaliste de notre risque réel, sans ralentir notre processus de développement et de déploiement logiciel », conclut Robin.
