Bonjour Marcus ! Pourrais-tu nous en dire un peu plus sur toi et sur les activités de TechDivision ?

Bien sûr ! Je suis Ingénieur Sécurité Senior chez TechDivision, où je dirige également notre communauté de pratique en cybersécurité. Je suis responsable de la sécurisation du cycle de vie du développement pour toutes les équipes d'ingénierie.

Quant à TechDivision : nous avons commencé comme une agence e-commerce classique, mais nous sommes devenus ce que nous appelons un facilitateur numérique. Cela signifie que nous ne nous contentons pas de lancer des boutiques, nous intégrons des sources de données, élaborons des stratégies marketing et guidons nos clients tout au long de leur transformation numérique. Aujourd'hui, nous sommes environ 140 personnes, avec environ la moitié de l'équipe travaillant en ingénierie.

Alors, comment la sécurité s'inscrit-elle dans ce tableau ?

En un mot : fondamental. Pour nous, la sécurité repose sur deux piliers : la stabilité et la confiance. Lorsque nous élaborons des stratégies numériques ou des plateformes intégrées, nous voulons être certains que les fondations sont solides. Et nous voulons que nos clients aient confiance dans le fait que nous faisons tout notre possible pour protéger leurs données.

Il nous fournit également les informations nécessaires pour prendre des décisions éclairées. Par exemple, si nous souhaitons déployer une plateforme d'authentification centralisée, nous devons d'abord en comprendre les risques. C'est ce qu'une bonne sécurité apporte : du contexte et de la clarté.

Y a-t-il eu un moment précis où vous avez réalisé : « Nous devons prendre la sécurité plus au sérieux » ?

Oui, un tournant majeur est survenu début 2022 lors des attaques TrojanOrders ciblant les installations d'Adobe Commerce (et Magento). Bien que les clients de TechDivision n'aient pas été affectés (grâce au déploiement des correctifs la même semaine), l'incident a considérablement accru la sensibilisation à l'urgence des mises à jour de sécurité en temps opportun. Cela a également entraîné un changement dans la manière dont les parties prenantes internes et les clients abordaient les correctifs de sécurité. Auparavant, certains clients repoussaient les mises à jour de sécurité importantes pendant des mois.

Plus tard, la vulnérabilité CosmicSting de 2024 a contribué à renforcer l'efficacité de nos processus améliorés, confirmant que leur approche proactive fonctionnait comme prévu.

Comment était la sécurité avant Aikido ?

Honnêtement ? Un peu chaotique. J'avais huit "security champions" répartis dans différentes équipes d'ingénierie. Chaque fois qu'une nouvelle CVE apparaissait, je devais contacter chacun d'eux pour vérifier si leurs dépôts étaient affectés. C'était chronophage et difficile à gérer.

Nous avons même commencé à développer notre propre outil interne pour suivre les vulnérabilités, mais avons finalement décidé qu'il était plus judicieux d'utiliser une solution dédiée. Nous en avons essayé quelques autres avant d'opter pour Aikido.

Qu'est-ce qui vous a poussé à chercher quelque chose de nouveau ?

Notre ancien outil, celui avec le logo de chien, aboyait beaucoup mais ne tenait pas ses promesses.

Un ensemble de facteurs. La tarification a été un déclencheur : notre outil précédent, celui avec le logo de chien, aboyait beaucoup mais ne tenait pas ses promesses. Ils ont augmenté les prix de manière significative, et cela ne nous semblait pas justifié au vu de la valeur que nous en tirions. De plus, nous avions des limitations techniques. Notre infrastructure est assez non-standard, nous n'avons donc pas pu obtenir le niveau d'intégration dont nous avions besoin.

Il y avait aussi des problèmes de produit. Leur plugin IDE plantait constamment sur les dépôts plus volumineux, et nous étions submergés de faux positifs. Cela a atteint un point où nos développeurs n'utilisaient même plus l'outil.

Et c'est là que vous avez découvert Aikido ?

Oui ! Ce qui nous a frappés, c'est qu'il semblait avoir été conçu par des développeurs, pour des développeurs. L'expérience d'onboarding était fluide, le support réactif, et les workflows étaient tout simplement logiques.

Ce qui a distingué Aikido, c'est qu'il semblait avoir été conçu par des développeurs, pour des développeurs.

Ce que j'apprécie vraiment, c'est la réduction du bruit. L'approche d'Aikido, notamment avec son analyse de la joignabilité, nous aide à filtrer les résultats non pertinents, comme les secrets dans les fichiers de test ou les dépendances inactives, afin que nous puissions nous concentrer sur les problèmes réels et exploitables. Ce niveau de précision a fait une différence notable dans l'efficacité avec laquelle nous pouvons trier les vulnérabilités.

L'analyse de la joignabilité d'Aikido nous aide à filtrer les résultats non pertinents afin que nous puissions nous concentrer sur les problèmes réels et exploitables.

Aikido a-t-il modifié votre façon de collaborer avec les clients ?

Cela n'a pas changé notre offre de services en soi, mais cela a clairement augmenté la valeur que nous apportons. Nous pouvons désormais effectuer plus de travail de sécurité en moins de temps, ce qui profite directement à nos clients.

Nous disposons également d'un package de sécurité de base que nous incluons dans nos projets, et la mise en œuvre d'Aikido renforce considérablement ce package.

Nous pouvons désormais accomplir davantage de tâches de sécurité en moins de temps, ce qui bénéficie directement à nos clients.

Quelle est votre fonctionnalité préférée ?

C'est simple : la capacité de rechercher des dépendances à travers plusieurs espaces de travail. Cela a changé la donne lors du triage des problèmes au sein des équipes d'ingénierie. Je suis également impatient de tester certaines des nouvelles fonctionnalités comme AI AutoFix et le scanning de VM. Elles pourraient facilement devenir de nouvelles fonctionnalités préférées.

Comment s'est déroulée votre expérience de collaboration avec l'équipe Aikido ?

Honnêtement, fantastique. Lorsque nous avons rencontré un problème avec le flux d'authentification, il a été corrigé en une semaine. Ce type de réactivité est rare.

Il y a une réelle transparence dans la communication, surtout sur le canal Slack partagé. On sent que l'équipe se soucie sincèrement du produit et s'efforce de l'améliorer chaque jour. C'est rafraîchissant.

On peut voir que l'équipe Aikido se soucie réellement et construit un meilleur produit chaque jour. C'est rafraîchissant.

Des réflexions finales ?

Si vous êtes une entreprise qui souhaite prendre la sécurité au sérieux sans ajouter de friction à vos équipes de développement, Aikido est un choix évident. C'est efficace, réfléchi et adapté aux développeurs. Cela nous aide à bâtir la confiance. Non seulement avec nos clients, mais aussi avec nous-mêmes.