Bonjour Daan ! Pouvez-vous nous parler de Tellent et du rôle que vous y jouez ?

Je m'appelle Daan Goumans et je suis responsable de la sécurité de l'information et chef d'équipe informatique chez Tellent. Je travaille dans cette entreprise depuis environ trois ans et demi. Je m'occupe principalement de la gestion des risques et de l'aspect stratégique des contrôles de sécurité, tandis que mon équipe gère les opérations quotidiennes de nos principaux outils commerciaux tels que le courrier, les communications internes et les points de terminaison des utilisateurs. 

Notre équipe d'ingénieurs compte entre 90 et 100 personnes, y compris les chefs de produit. Ensemble, nous construisons et maintenons la plateforme RH de Tellent, qui combine le recrutement (ATS), les RH de base (SIRH) et les outils de performance et de croissance en un seul système. Ce qui nous distingue, c'est la flexibilité de commencer avec ce dont vous avez besoin et d'évoluer au fil du temps, ainsi que plus de 200 intégrations et une personnalisation poussée du flux de travail.

"La sécurité et la conformité sont des piliers essentiels de notre stratégie de produits. Nos clients comptent sur nous pour protéger les données sensibles relatives à l'embauche et aux employés."

Comment la sécurité et la conformité ont-elles influencé votre stratégie produit ?

Le traitement de données sensibles nous oblige à respecter des normes strictes en matière de sécurité et de conformité. Nous sommes régulièrement audités selon les normes ISO 27001 et SOC 2 Type 2, et nous effectuons des tests de pénétration dans le cadre de notre stratégie. Nous voulons également que nos clients répondent à leurs propres exigences, c'est pourquoi nous avons intégré des fonctionnalités telles que le contrôle d'accès basé sur les rôles, la rétention configurable des données et les flux de travail automatisés pour les prendre en charge.

Qu'est-ce qui vous a amené à commencer à évaluer l'Aïkido ?

Il n'y a pas eu d'incident majeur qui nous a amenés à évaluer l'Aikido. Nous avons toujours essayé d'être proactifs dans l'amélioration de la sécurité. Un partenaire dans le domaine de la sécurité nous a dit qu'il avait consolidé ses solutions dans Aikido et qu'il était très satisfait des résultats. Nous nous sommes penchés sur la question et avons réalisé qu'elle pouvait nous aider à mieux superviser tous les actifs en un seul endroit. 

Avant Aikido, nos outils ne couvraient pas les langages de programmation spécifiques (nous utilisions Dependabot) ou ne résolvaient qu'une partie du problème. Certains créaient du bruit au lieu de conseils exploitables, tandis que d'autres n'offraient pas un bon retour sur investissement.

"Nous avions besoin d'un outil qui nous offrirait une couverture complète, moins de bruit et plus d'informations exploitables en un seul endroit.

Quels étaient les défis à relever à l'époque ?

Lors de notre fusion, nous avons dû intégrer de nouvelles bases de code, des environnements en nuage et des intégrations tierces. Nos outils existants n'ont pas pu suivre le rythme ou l'ampleur de la tâche. De plus, la croissance de notre clientèle s'est accompagnée d'une augmentation des exigences en matière de conformité. Pour prouver que nous contrôlions la situation, nous avons mis en place un système de gestion de la sécurité de l'information certifié ISO 27001. Aikido a facilité la démonstration de la conformité à la direction, aux auditeurs, aux clients et aux prospects, car il couvre tous les aspects techniques à partir d'une seule plateforme.

Qu'est-ce qui est ressorti de l'Aïkido lors de l'évaluation ?

Trois éléments se sont distingués au cours de l'évaluation : une large couverture des nuages, des langages de programmation et des registres dans une interface unique ; des vulnérabilités prétraitées afin que nous puissions nous concentrer sur les résultats critiques avec des conseils exploitables plutôt que du bruit ; et des fonctions de rapport et de surveillance qui ont permis de démontrer facilement la valeur de la solution aux responsables de haut niveau.

"Les rapports sur les tendances dans le temps facilitent la présentation des progrès à la direction générale et mettent en évidence le travail accompli par l'ingénierie.

Comment s'est déroulée la procédure d'intégration ?

Nous sommes passés de la signature à la mise en place de tout le système en l'espace d'un mois environ. Notre directeur technique a dirigé la mise en œuvre, ce qui a nécessité un effort opérationnel minimal de la part du reste de l'équipe. 

L'équipe d'Aikido a toujours répondu rapidement, et pour toutes les décisions qui nécessitaient de peser le pour et le contre, ils ont clairement expliqué nos options. Nous nous sommes principalement débrouillés en utilisant la documentation disponible, et en cas de besoin, l'assistance n'était qu'à un message de Slack.

Comment Aikido s'est-il intégré dans vos flux de travail ?

Tout s'est déroulé sans problème. Nous n'avons pas eu besoin de modifier notre produit sur le plan technique. Il s'intègre à ClickUp, de sorte que les nouveaux problèmes de haute gravité et de gravité critique apparaissent automatiquement sur notre tableau de suivi des projets de sécurité. Notre directeur technique peut alors les assigner aux bonnes équipes, ce qui permet de maintenir les priorités claires et de réduire le bruit pour les développeurs. 

"Grâce aux intégrations Slack et ClickUp, nous sommes passés d'alertes hebdomadaires à des alertes en temps réel".

Nous utilisons également les rapports d'Aikido lors de nos réunions mensuelles sur la sécurité avec les dirigeants et les cadres supérieurs. Le fait de pouvoir suivre les nouveaux problèmes par rapport aux problèmes résolus d'un mois sur l'autre nous aide à orienter la stratégie et à allouer des ressources en fonction des besoins.

Quels résultats tangibles avez-vous obtenus depuis que vous avez adopté l'Aïkido ?

Aikido a complètement éliminé le temps de préparation des audits. Désormais, lors d'un audit, il nous suffit d'ouvrir la plateforme et de montrer comment les intégrations sont configurées, ce qui nous donne l'assurance de maîtriser la situation. L'automatisation des tickets n'a pas réduit le temps total passé sur les problèmes de sécurité, mais elle a transformé la façon dont le temps est utilisé. Grâce à un meilleur filtrage et à une meilleure hiérarchisation, les développeurs se concentrent uniquement sur ce qui est le plus important, et la direction bénéficie d'une visibilité en temps réel au lieu d'attendre des rapports manuels.

"Avant Aikido, la collecte de toutes les informations relatives à la sécurité était fastidieuse. Aujourd'hui, la surveillance, la rédaction de rapports et la prise de décisions stratégiques sont beaucoup plus simples".

Comment résumeriez-vous l'impact de l'Aïkido sur Tellent ?

Aikido nous a aidés à consolider nos scanners de sécurité, à améliorer la collaboration avec la direction et à obtenir une supervision plus claire de tous les systèmes. Il nous a donné la confiance nécessaire pour expérimenter et aller plus vite, sachant qu'une couche supplémentaire de sécurité veille sur nous.

"Aikido nous a permis d'être proactifs plutôt que réactifs, avec un seul endroit pour la surveillance, le rapport et l'action.