Salut Marcus ! Peux-tu nous parler un peu de toi et de ce que fait TechDivision ?
Bien sûr ! Je suis ingénieur principal en sécurité chez TechDivision, où je dirige également notre communauté de pratique en matière de cybersécurité. Je suis responsable de la sécurisation du cycle de développement au sein de toutes les équipes d'ingénieurs.
En ce qui concerne TechDivision, nous avons commencé comme une agence de commerce électronique classique, mais nous nous sommes transformés en ce que nous appelons un facilitateur numérique. Cela signifie que nous ne nous contentons pas de lancer des boutiques, mais que nous intégrons des sources de données, élaborons des stratégies de marketing et accompagnons nos clients tout au long de leur transformation numérique. Aujourd'hui, nous comptons environ 140 personnes, dont la moitié travaille dans l'ingénierie.
Quelle est donc la place de la sécurité dans ce tableau ?
En un mot : fondamentale. Pour nous, la sécurité tient à deux choses : la stabilité et la confiance. Lorsque nous élaborons des stratégies numériques ou des plateformes intégrées, nous voulons être sûrs que les fondations sont solides. Et nous voulons que nos clients soient convaincus que nous faisons tout ce qui est en notre pouvoir pour assurer la sécurité de leurs données.
Elle nous donne également les informations dont nous avons besoin pour prendre des décisions éclairées. Par exemple, si nous voulons déployer une plateforme d'authentification centralisée, nous devons d'abord comprendre les risques. C'est ce qu'apporte une bonne sécurité. Contexte et clarté.
Y a-t-il eu un moment précis où vous vous êtes rendu compte que vous deviez prendre la sécurité plus au sérieux ?
Oui, un tournant décisif s'est produit au début de l'année 2022 lors des attaques de TrojanOrders visant les installations d'Adobe Commerce (et de Magento). Bien que les clients de TechDivision n'aient pas été affectés (grâce au déploiement des correctifs la même semaine), l'incident a considérablement sensibilisé à l'urgence des mises à jour de sécurité en temps opportun. Il a également entraîné un changement dans la manière dont les parties prenantes internes et les clients abordent les correctifs de sécurité. Auparavant, certains clients repoussaient les mises à jour de sécurité importantes pendant des mois.
Plus tard, la vulnérabilité du CosmicSting 2024 a contribué à renforcer l'efficacité de nos processus améliorés, confirmant que leur approche proactive fonctionnait comme prévu.
Comment était la sécurité avant l'Aïkido ?
Honnêtement ? Un peu chaotique. J'avais huit champions de la sécurité répartis dans différentes équipes d'ingénieurs. Chaque fois qu'un nouveau CVE apparaissait, je devais contacter chacun d'entre eux pour vérifier si leurs dépôts étaient affectés. Cela prenait beaucoup de temps et était difficile à gérer.
Nous avons même commencé à construire notre propre outil interne pour suivre les vulnérabilités, mais nous avons finalement décidé qu'il était plus logique d'utiliser une solution dédiée. Nous en avons essayé plusieurs avant d'opter pour Aikido.
Qu'est-ce qui vous a poussé à chercher quelque chose de nouveau ?
Notre outil précédent, celui avec le logo du chien, a beaucoup aboyé mais n'a pas tenu ses promesses.
Un mélange de choses. Le prix a été l'un des éléments déclencheurs : notre outil précédent, celui avec le logo du chien, aboyait beaucoup mais ne tenait pas ses promesses. Il a augmenté ses prix de manière significative et cela ne semblait pas justifié par rapport à la valeur que nous obtenions. En outre, nous avions des limitations techniques. Notre infrastructure n'étant pas standard, nous ne pouvions pas obtenir le niveau d'intégration dont nous avions besoin.
Il y avait aussi des problèmes de produit. Leur plugin IDE n'arrêtait pas de planter sur des dépôts plus importants, et nous étions noyés dans les faux positifs. Nous en sommes arrivés à un point où nos développeurs n'utilisaient même plus l'outil.
Et puis vous avez découvert l'Aïkido ?
Oui ! Ce qui nous a frappés, c'est que nous avons eu l'impression que l'outil avait été conçu par des développeurs, pour des développeurs. L'expérience d'intégration s'est déroulée en douceur, l'assistance a été réactive et les flux de travail ont été logiques.
Aikido se distingue par le fait qu'il donne l'impression d'avoir été conçu par des développeurs, pour des développeurs.
Une chose que j'apprécie vraiment est la réduction du bruit. L'approche d'Aikido, en particulier avec son analyse d'accessibilité, nous aide à filtrer les résultats non pertinents, comme les secrets dans les fichiers de test ou les dépendances inactives, afin que nous puissions nous concentrer sur les problèmes réels et exploitables. Ce niveau de précision a fait une différence notable dans l'efficacité avec laquelle nous pouvons trier les vulnérabilités.
L'analyse d'accessibilité d'Aikido nous aide à filtrer les résultats non pertinents afin de nous concentrer sur les problèmes réels et exploitables.
L'aïkido a-t-il changé la façon dont vous travaillez avec vos clients ?
Cela n'a pas changé notre offre de services en soi, mais cela a définitivement augmenté la valeur que nous offrons. Nous pouvons désormais effectuer plus de travaux de sécurité en moins de temps, ce qui profite directement à nos clients.
Nous avons également un ensemble de mesures de sécurité de base que nous incluons dans les projets et la présence de l'aïkido renforce considérablement cet ensemble de mesures.
Nous pouvons désormais effectuer davantage de travaux de sécurité en moins de temps, ce qui profite directement à nos clients.
Quelle est votre caractéristique préférée ?
C'est facile : la possibilité de rechercher des dépendances dans plusieurs espaces de travail. Cela a changé la donne lorsqu'il s'agit de trier les problèmes au sein des équipes d'ingénieurs. Je suis également impatient de tester certaines des nouvelles fonctionnalités telles que AI AutoFix et l l'analyse des VM. Elles pourraient facilement devenir mes nouvelles favorites.
Comment s'est déroulée votre expérience de travail avec l'équipe d'Aïkido ?
Honnêtement, c'est fantastique. Lorsque nous avons rencontré un problème avec le flux d'authentification, il a été résolu en moins d'une semaine. Ce type de réactivité est rare.
Il y a une réelle ouverture dans la communication, en particulier dans le canal Slack partagé. Vous pouvez voir que l'équipe se soucie vraiment et construit un meilleur produit chaque jour. C'est rafraîchissant.
Vous pouvez voir que l'équipe d'Aikido se préoccupe réellement et construit un meilleur produit chaque jour. C'est rafraîchissant.
Dernières réflexions ?
Si vous êtes une entreprise qui veut prendre la sécurité au sérieux sans ajouter de friction à vos équipes de développement, Aikido est une évidence. Il est efficace, réfléchi et convivial pour les développeurs. Il nous aide à construire la confiance. Non seulement avec nos clients, mais aussi avec nous-mêmes.
Si vous êtes une entreprise qui veut prendre la sécurité au sérieux sans ajouter de friction à vos équipes de développement, Aikido est une évidence. Il est efficace, réfléchi et convivial pour les développeurs. Il nous aide à construire la confiance. Non seulement avec nos clients, mais aussi avec nous-mêmes.
.svg){kind=logo}
%201.svg)
