Aikido
Commencer gratuitement
Sans carte bancaire
Témoignages clients

Sunhat utilise le pentest IA à la demande pour fournir des preuves de sécurité crédibles quand cela compte le plus

Migré depuis -

Publié le :
12 février 2026
Dernière mise à jour le :
12 février 2026

En un coup d'œil

  • Effectue des pentests IA à la demande pour respecter les délais des clients et des audits.
  • Combine le pentest IA avec les pentests manuels pour la rapidité et la profondeur
  • Utilise des tests en boîte blanche pour réduire les faux positifs et améliorer la crédibilité.
  • Fournit des rapports de pentest exploitables par le client sans attendre des semaines.
  • Intègre Aikido dans la CI/CD et l'infrastructure pour une couverture continue.

Enjeu

Pour Sunhat, la sécurité n'est pas une simple case à cocher en interne. Elle fait partie de la promesse produit. Sunhat développe une plateforme collaborative de preuve, alimentée par l'IA, qui aide les équipes de durabilité et de conformité des entreprises à prouver la confiance et la conformité à leurs propres clients, partenaires et régulateurs.

Cela lie directement la posture de sécurité de Sunhat aux revenus, à la réputation et à la vélocité des transactions. Sunhat vend à de grandes entreprises, souvent multinationales, avec des attentes élevées en matière de sécurité.

Les clients demandent régulièrement des preuves de pentest avant de poursuivre.

« Oui, les clients nous demandent directement des preuves de pentest. Et honnêtement, je ferais la même chose à leur place. »

Ali, Co-fondateur et CTO de Sunhat

Le pentest manuel faisait déjà partie du programme de sécurité de Sunhat. Mais il s'accompagnait d'un problème bien connu : le timing.

Les pentests prennent des semaines à planifier et à exécuter. Les rapports vieillissent rapidement. Et pendant les cycles de vente ou les audits, la pression du temps peut transformer la validation de la sécurité en un goulot d'étranglement.

« Certaines entreprises ne sont pas satisfaites d'un rapport vieux de quelques mois », a expliqué Ali.

Sunhat cherchait un moyen de fournir des preuves de sécurité récentes et crédibles à la demande, sans compromettre la qualité.

Pourquoi Sunhat s'est tourné vers le pentest IA

Sunhat utilisait déjà Aikido dans le cadre de son cycle de vie de développement sécurisé lorsque le pentest IA est devenu disponible.

« Lorsque nous avons découvert qu'Aikido proposait désormais du pentest basé sur l'IA, j'étais assez curieux de l'essayer », a déclaré Ali. « J'étais particulièrement intéressé à le comparer au pentest manuel, que nous avions effectué auparavant. »

L'objectif n'était pas de remplacer les pentests manuels.

« Le pentest IA et le pentest manuel ont tous deux leur place, c'est pourquoi nous faisons les deux », a déclaré Ali.

Au lieu de cela, Sunhat a vu le pentest IA comme un moyen d'ajouter de la vitesse, de la flexibilité et du réalisme à leur processus de validation de la sécurité.

« Pour moi, c'est ainsi que le pentest et les tests de sécurité devraient fonctionner à l'ère actuelle », a-t-il ajouté.

Exécution du pentest IA

Démarrer avec le pentest IA a rencontré peu de frictions.

« Il était simple de démarrer avec Aikido Attack par nous-mêmes. Les ingénieurs apprécient de ne pas avoir à passer par des étapes artificielles. »

Sunhat effectue des pentests IA en boîte blanche pour maximiser la validité et la pertinence. Les agents IA ont accès au contexte du code source, ce qui leur permet de se concentrer sur des comportements d'attaque réalistes plutôt que sur des analyses superficielles.

« Nous effectuons des pentests en boîte blanche car ils offrent une plus grande validité. Voir les logs et le comportement des agents IA nous donne plus de confiance qu'ils essaient de couvrir le plus possible. »

Plus important encore, les pentests IA peuvent être déclenchés en cas de besoin.

« Déclencher un pentest IA ne prend désormais que quelques minutes, ce qui les rend extrêmement utiles dans les situations urgentes. »

Ce qu'a apporté le pentest IA

Sunhat n'effectue pas de pentests juste pour la forme.

« Nous faisons du pentesting non pas pour nous leurrer, mais pour trouver les problèmes avant les acteurs malveillants », a déclaré Ali.

Lors d'un pentest IA, Aikido a identifié une vulnérabilité dans le processus de génération d'exportation PDF de Sunhat.

Sunhat uses a browser-as-a-service provider to launch headless Chromium instances for PDF generation. While the team had sanitized content such as the <head> element and tightly controlled allowed HTML elements, the implementation still permitted certain active elements like <iframe> and <img>.

Aikido a déterminé que ces éléments pouvaient déclencher des requêtes HTTP sortantes lors de la génération de PDF, permettant potentiellement une server-side request forgery (SSRF) et l'inclusion de réponses dans le document généré.

Il ne s'agissait pas d'une mauvaise configuration superficielle. Le problème était ancré dans la manière dont le flux de génération de PDF interagissait avec le comportement du navigateur.

Pour atténuer le problème, Sunhat a :

  • Désactivé l'exécution de JavaScript dans Puppeteer pendant la génération de PDF
  • Bloqué les requêtes réseau externes en utilisant l'interception de requêtes

Après avoir déployé le correctif, Sunhat a déclenché un retest.

« Le fait que les agents IA confirment les améliorations après le déploiement des correctifs de notre côté est très rassurant. »

Aikido a reconnu l'efficacité de l'atténuation lors du retest, confirmant que le vecteur SSRF avait été fermé.

« Jusqu'à présent, nous n'avons pas rencontré de faux positifs », a ajouté Ali. « Il semble que les agents IA utilisent bien le contexte fourni par notre code source. »

Au-delà du pentesting : Aikido comme plateforme de sécurité

Bien que le pentest IA soit une capacité essentielle, Sunhat utilise Aikido comme une plateforme de sécurité plus large.

Aikido fonctionne en continu sur les pull requests et les scans d'infrastructure planifiés, s'alignant sur la culture d'ingénierie axée sur l'automatisation de Sunhat.

« Chez Sunhat, nous croyons fermement en l'automatisation, et nous pensons qu'Aikido s'intègre parfaitement », a déclaré Ali.

Les conseils de remédiation sont pratiques et contextuels, en particulier dans les scénarios de type boîte blanche.

« Puisque nous effectuons des pentests en boîte blanche, les étapes de remédiation semblent précises. Personne n'aime les conseils génériques qui ne s'appliquent pas à soi. »

Cette combinaison de couverture continue et de pentesting à la demande permet à Sunhat de garder une longueur d'avance sur les risques de sécurité et les attentes des clients.

Résultats

Pour Sunhat, l'impact du pentest IA se mesure le mieux en termes de vitesse, de confiance et de crédibilité. Le pentest IA permet à Sunhat de :

  • Répondre rapidement aux demandes de sécurité des clients et d'audit
  • Fournir des rapports de pentest récents et prêts pour les clients sans longs délais
  • Valider rapidement les correctifs grâce à un retesting automatisé
  • Traiter la sécurité comme une capacité continue plutôt que comme un exercice ponctuel

« De la même manière que nos clients doivent fournir des preuves vérifiables à leurs parties prenantes, nous voulons fournir des preuves actualisées de notre posture de sécurité afin de prouver que nous sommes un partenaire commercial fiable », a déclaré Ali.

Aller à :
Lien texte
Partager :

https://www.aikido.dev/customer-story/sunhat

Site web
https://www.getsunhat.com/
Fondée
2022
Secteur d'activité
Développement logiciel
Siège social
Cologne, Allemagne
Taille de l'équipe de développement
Partenaire

Sécurisez votre environnement dès maintenant.

Sécurisez votre code, votre cloud et votre environnement d’exécution dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Lancer l’analyse
Sans carte bancaire
Planifiez une démo
Aucune carte de crédit requise | Résultats en 32 secondes.