Bonjour ! Quel est votre rôle et quelles sont vos responsabilités ?
Je suis Otto Sulin, Responsable de la sécurité chez Supermetrics, en charge de tous les aspects de la sécurité : de la sécurité des applications à la conformité.
Qu'est-ce qui distingue Supermetrics dans votre secteur d'activité ?
Notre mission est de rendre l'analyse de données plus simple et plus connectée pour les spécialistes du marketing. Les outils de données marketing sans code de Supermetrics facilitent l'édition, le mélange, l'enrichissement, l'activation et le stockage de données provenant de multiples sources. Nous servons plus de 200 000 clients, des petites entreprises aux plus grandes entreprises mondiales.
Quel rôle la sécurité devrait-elle jouer dans votre secteur d'activité ?
Nos clients nous confient leurs données client critiques. Ils nous autorisent à récupérer et à stocker leurs données marketing, et cet accès s'accompagne d'exigences élevées en matière de sécurité et de confidentialité.
Quel type de pression les clients exercent-ils sur vos programmes de sécurité et de conformité ?
Très large, pour faire court. Nous devons disposer d'un programme de sécurité complet avec des audits externes, des tests d'intrusion par des tiers et des contrôles de sécurité SDLC clairement définis. Les clients sont plus conscients et exigeants que jamais en matière de sécurité logicielle.
Y a-t-il eu un moment qui a déclenché une approche plus stratégique de la sécurité ?
Absolument. À mesure que nous nous sommes développés sur le marché des grandes entreprises, ces clients ont eu des attentes plus élevées. Cette croissance a motivé notre investissement accru dans la maturité de notre sécurité.
Comment la décision de se tourner vers Aikido s'est-elle intégrée à votre stratégie globale ?
La décision de choisir Aikido s'inscrivait dans une initiative plus large visant à améliorer notre cycle de vie de développement logiciel sécurisé. Elle comprenait des formations supplémentaires, un programme de security champions et bien plus encore.
Avant Aikido, nous utilisions un ensemble d'outils open source en complément de certains produits commerciaux. Nous voulions simplifier les choses et trouver une solution qui rendrait la sécurité plus simple et plus cohérente tout au long du SDLC.
« L'approche developer-friendly d'Aikido et ses fonctionnalités de réduction du bruit ont immédiatement retenu notre attention. »
Qu'est-ce qui a distingué Aikido lors de l'évaluation ?
L'approche developer-friendly et les fonctionnalités qui aident à réduire le bruit. Notre objectif était de donner les moyens aux équipes produit, et les nombreuses fonctionnalités d'Aikido qui aident à réduire le bruit inutile des résultats, combinées à une interface utilisateur (UI) qui simplifie la navigation et le traitement des résultats, sont ce qui nous a vraiment marqué.
Quelle a été la facilité d'intégration d'Aikido dans vos workflows de développement ?
L'intégration d'Aikido dans nos outils existants a été un jeu d'enfant. Il prenait en charge toutes nos plateformes dès le départ, et la configuration n'a pris que quelques minutes. Zéro friction.
Comment s'est déroulée votre expérience de collaboration avec l'équipe Aikido ?
Réponse rapide et transparence. Chaque fois que nous avons rencontré un problème, nous avons reçu une réponse le jour même ; et plus d'une fois, ils ont livré un correctif le jour même.
Quelle est votre fonctionnalité préférée ?
La réduction du bruit, sans aucun doute. Mon objectif est de minimiser le temps que nos ingénieurs consacrent à la gestion des vulnérabilités, et Aikido nous aide à faire exactement cela. Nous avons constaté une réduction du bruit de 75 % grâce à Aikido jusqu'à présent.
« Nous avons constaté une réduction du bruit de 75 % grâce à Aikido. »
Pouvez-vous nous en dire un peu plus sur la manière dont Aikido est intégré à votre SDLC ?
Aikido s'intègre directement à notre CI/CD, Jira et Slack. Pour les problèmes confirmés, nous pouvons rapidement créer des tickets Jira, et les alertes Slack informent les bonnes équipes en fonction des dépôts. C'est simple, visible et cela maintient tout le monde aligné.
Comment Aikido a-t-il changé la manière dont Supermetrics aborde la sécurité et la gestion des vulnérabilités ?
Cela nous a aidés à centraliser et automatiser les flux de travail de sécurité clés. Les ingénieurs peuvent se concentrer sur le développement pendant que nous maintenons une visibilité et un contrôle complets sur nos dépôts et images.
Y a-t-il eu des moments où Aikido a fait gagner du temps à votre équipe ou réduit les risques ?
La surveillance des malwares open source a été un énorme gain de temps. Avant Aikido, nous parcourions manuellement les rapports pour trouver les packages à risque, puis nous recherchions dans nos dépôts si nous étions affectés. Maintenant, c'est entièrement automatisé et beaucoup moins sujet aux erreurs.
Comment Aikido prend-il en charge les exigences réglementaires et de protection des données ?
Le large éventail de fonctionnalités d'Aikido garantit que toutes les analyses sont activées et que la conformité aux politiques est facile à vérifier. Cela nous donne l'assurance que nous sommes toujours prêts pour les audits et que nous tenons les promesses que nous faisons à nos clients.
Comment résumeriez-vous l'impact d'Aikido ?
La facilité d'utilisation d'Aikido, l'étendue de ses fonctionnalités et ses capacités de réduction du bruit facilitent grandement la mise à l'échelle d'un programme de sécurité produit.
Le résumé
Supermetrics utilise désormais un workflow AppSec axé sur les développeurs, plus rapide, plus clair et plus facile à gérer. Avec 75 % de réduction du bruit, des intégrations instantanées et une automatisation sur Jira, Slack et CI/CD, la sécurité s'adapte désormais aussi facilement que leurs opérations de données.
