Salut Daan ! Pouvez-vous nous parler de Tellent et de votre rôle au sein de l'entreprise ?
Je m'appelle Daan Goumans, et je suis Responsable de la Sécurité de l'Information et Chef d'équipe IT chez Tellent. Je suis dans l'entreprise depuis environ 3,5 ans. Mon objectif principal est la gestion des risques et l'aspect stratégique des contrôles de sécurité, tandis que mon équipe gère les opérations quotidiennes de nos outils métier essentiels tels que la messagerie, les communications internes et les points d'accès utilisateurs.
Notre équipe d'ingénierie compte environ 90 à 100 personnes, y compris les chefs de produit. Ensemble, nous construisons et maintenons la plateforme RH de Tellent, qui combine des outils de recrutement (ATS), de gestion des RH (SIRH) et de performance et croissance en un seul système. Ce qui nous distingue, c'est la flexibilité de commencer avec ce dont vous avez besoin et de vous développer au fil du temps, avec plus de 200 intégrations et une personnalisation étendue des flux de travail.
« La sécurité et la conformité sont des piliers essentiels de notre stratégie produit. Nos clients comptent sur nous pour protéger les données sensibles de recrutement et d'employés. »
Comment la sécurité et la conformité ont-elles façonné votre stratégie produit ?
La gestion des données sensibles implique de respecter des normes strictes de sécurité et de conformité. Nous sommes régulièrement audités pour ISO 27001, SOC 2 Type 2, et effectuons des tests d'intrusion dans le cadre de notre stratégie. Nous voulons également que nos clients répondent à leurs propres exigences, c'est pourquoi nous avons intégré des fonctionnalités telles que le contrôle d'accès basé sur les rôles, la rétention de données configurable et des workflows automatisés pour les accompagner.
Qu'est-ce qui vous a amené à évaluer Aikido ?
Il n'y a pas eu d'incident majeur qui nous ait poussés à évaluer Aikido. Nous avons toujours cherché à être proactifs en matière d'amélioration de la sécurité. Un partenaire dans le domaine de la sécurité nous a dit qu'il avait consolidé ses solutions dans Aikido et qu'il était très satisfait des résultats. Nous avons examiné la solution par nous-mêmes et avons réalisé qu'elle pourrait nous aider à obtenir une meilleure vue d'ensemble de tous nos actifs en un seul endroit.
Avant Aikido, nos outils manquaient soit de couverture pour certains langages de programmation (nous utilisions Dependabot), soit ne résolvaient qu'une partie du problème. Certains généraient du bruit au lieu de conseils exploitables, tandis que d'autres n'offraient pas un bon retour sur investissement.
« Nous avions besoin de quelque chose qui nous offrirait une couverture complète, moins de bruit et plus d'informations exploitables en un seul endroit. »
Quels défis rencontriez-vous à l'époque ?
Lors de notre fusion, nous avons dû intégrer de nouvelles bases de code, des environnements cloud et des intégrations tierces. Nos outils existants ne pouvaient pas suivre le rythme ni l'étendue. De plus, à mesure que notre base de clients augmentait, les exigences de conformité augmentaient également. Pour prouver que nous étions en contrôle, nous avons mis en œuvre un système de gestion de la sécurité de l'information certifié ISO 27001. Aikido a facilité la démonstration de la conformité auprès de la direction, des auditeurs, des clients et des prospects, car il couvrait tous les aspects techniques à partir d'une seule plateforme.
Qu'est-ce qui a distingué Aikido lors de l'évaluation ?
Trois points se sont démarqués lors de l'évaluation : une couverture étendue des clouds, des langages de programmation et des registres au sein d'une interface unique ; des vulnérabilités pré-traitées nous permettant de nous concentrer sur les découvertes critiques avec des conseils exploitables plutôt que sur le bruit ; et des fonctionnalités de reporting et de supervision facilitant la démonstration de valeur aux dirigeants de niveau C.
« Les rapports de tendances au fil du temps facilitent la présentation des progrès à la direction et mettent en évidence le travail accompli par les équipes d'ingénierie. »
Comment s'est déroulé le processus d'onboarding ?
Il nous a fallu environ un mois entre la signature et la mise en place de tout. Notre CTO a dirigé l'implémentation, ce qui a requis un effort opérationnel minimal de la part du reste de l'équipe.
L'équipe Aikido a toujours été très réactive, et pour toute décision nécessitant de peser le pour et le contre, elle nous a clairement expliqué nos options. Nous nous sommes principalement débrouillés avec la documentation disponible, et si besoin, le support était à portée de message Slack.
Comment Aikido s'est-il intégré à vos workflows ?
Très facilement. Nous n'avons eu besoin d'aucune modification technique de notre produit. Il s'intègre avec ClickUp, de sorte que les nouveaux problèmes de gravité élevée et critique apparaissent automatiquement sur notre tableau de backlog de projet de sécurité. Notre directeur technique peut ensuite les attribuer aux bonnes équipes, ce qui maintient les priorités claires et réduit le bruit pour les développeurs.
« Avec les intégrations Slack et ClickUp, nous sommes passés de résumés d'alertes hebdomadaires à des alertes en temps réel. »
Nous utilisons également les rapports d'Aikido lors de nos réunions de sécurité mensuelles avec la direction générale et de niveau C. Le fait de pouvoir suivre les problèmes nouveaux par rapport aux problèmes résolus mois après mois nous aide à orienter la stratégie et à allouer les ressources là où c'est nécessaire.
Quels résultats concrets avez-vous constatés depuis l'adoption d'Aikido ?
Aikido a complètement éliminé le temps de préparation des audits. Désormais, lors de tout audit, nous ouvrons simplement la plateforme et montrons comment les intégrations sont configurées, ce qui nous donne une assurance instantanée de notre maîtrise. La gestion automatisée des tickets n'a pas réduit le temps total consacré aux problèmes de sécurité, mais elle a transformé la manière dont le temps est utilisé. Grâce à un meilleur filtrage et une meilleure priorisation, les développeurs se concentrent uniquement sur ce qui compte le plus, et la direction obtient une visibilité en temps réel au lieu d'attendre des rapports manuels.
“Avant Aikido, la collecte de toutes les informations de sécurité était fastidieuse. Désormais, la supervision, le reporting et la prise de décision stratégique sont beaucoup plus simples.”
Comment résumeriez-vous l'impact d'Aikido sur Tellent ?
Aikido nous a aidés à consolider nos scanners de sécurité, à améliorer la collaboration avec la direction et à obtenir une supervision plus claire de tous les systèmes. Cela nous a donné la confiance nécessaire pour expérimenter et avancer plus vite, sachant que nous disposons d'une couche de sécurité supplémentaire qui veille.
“Aikido nous a permis d'être proactifs plutôt que réactifs, avec un seul endroit pour la supervision, le reporting et l'action.”
