Timefold développe des logiciels d'optimisation de la planification des effectifs. Leur moteur open core, le Timefold Solver, s'attaque aux problèmes de planification NP-difficiles. De plus, ils proposent des API prêtes à l'emploi pour des cas d'utilisation tels que la planification des équipes d'employés, l'optimisation des tournées de services sur le terrain, et l'optimisation des tournées de collecte/livraison, ainsi qu'une plateforme SaaS qui offre une vision plus approfondie de la performance de la planification.
Alors que Timefold accélérait le travail lié à l'ISO et progressait vers la certification SOC 2, l'équipe souhaitait une visibilité continue sur la sécurité de l'ensemble de son stack, sans ralentir les ingénieurs ni faire de la sécurité un goulot d'étranglement.
En un coup d'œil
- Personnes interrogées : Pieter De Schepper (VP Ingénierie), Jenne (Ingénieur en fiabilité des sites et sécurité)
- Pourquoi Aikido : Préparation à l'ISO et accélération de la certification SOC 2 grâce à la surveillance continue de la sécurité
- Avant Aikido : GitHub Dependabot + revues de PR rigoureuses
Outils : GitHub (dépôts), Vanta (rapports de conformité) - Couverture Aikido : dépôts, conteneurs, configuration cloud (Google Cloud), domaines, reporting (licences), scan Kubernetes
Défi : La visibilité de la sécurité ne correspondait pas à la vitesse de la conformité
Timefold a toujours considéré la sécurité comme faisant partie intégrante de l'ingénierie. Ils disposaient déjà de revues de PR rigoureuses, de développeurs expérimentés et de Dependabot pour les alertes de dépendances.
Mais à mesure que les exigences de conformité augmentaient, ils ont rencontré une lacune courante : la visibilité. Dependabot a aidé, mais il n'offrait pas une vue permanente sur tout ce qu'ils exécutent. Ils avaient besoin d'un moyen plus clair de répondre rapidement aux questions fondamentales : quelles dépendances sont utilisées où, quelles versions sont déployées, et ce qui nécessite réellement une attention lorsqu'une nouvelle vulnérabilité est découverte.
Parallèlement, la sécurité ne pouvait pas devenir un goulot d'étranglement. Timefold souhaitait une meilleure couverture sans ajouter de friction au processus ni dépendre d'un petit groupe pour tout surveiller manuellement.
Solution : Scan continu sur l'ensemble du stack, en moins d'une journée
Aikido est intervenu au moment idéal. Timefold recherchait activement des outils de sécurité pour soutenir le travail lié à l'ISO et accélérer la préparation à la certification SOC 2.
Ce qui a frappé, c'est la rapidité avec laquelle ils sont passés de l'évaluation à une couverture réelle. Selon Jenne, la configuration a été rapide et indolore.
“Nous avons intégré le scan dans la CI en moins d'une journée.”
Timefold travaille principalement avec GitHub, et Aikido s'intègre naturellement à ce workflow. Ils ont activé le scan sur leurs dépôts clés, activé les vérifications de pull request et étendu la couverture au-delà du code et des dépendances au reste de leur environnement.
Aujourd'hui, Timefold utilise Aikido pour scanner les dépôts, les conteneurs, les projets Google Cloud pour les risques de configuration, et les domaines externes, y compris les endpoints GraphQL. Ils utilisent également le reporting, y compris le reporting des licences, ce qui s'est avéré particulièrement utile lors de la due diligence de levée de fonds.
Résultat : Moins de réduction du bruit, des mises à niveau plus rapides, une couverture plus claire
Pour Timefold, la plus grande amélioration a été opérationnelle : passer des examens périodiques à la surveillance continue.
Au lieu de réagir uniquement lorsque Dependabot signale quelque chose, ils ont désormais une vue d'ensemble plus claire de ce qui fonctionne sur l'ensemble de la pile et une manière plus cohérente de prioriser les vulnérabilités. Cela a augmenté la rapidité et la fréquence des mises à niveau des packages lorsque des problèmes sont découverts.
La réduction du bruit a également été importante. Moins de faux positifs signifie que les ingénieurs ne perdent pas de temps à trier et peuvent se concentrer sur les risques réels.
“La réduction du bruit est énorme. Elle réduit les faux positifs afin que les ingénieurs puissent se concentrer sur l'essentiel.”
Aikido a également aidé Timefold à réagir rapidement aux divulgations majeures de l'écosystème. Un exemple a été la vulnérabilité de contournement de l'authentification Next.js. Timefold n'a pas été fortement impacté car Next.js n'était utilisé que pour le frontend et l'authentification backend s'appliquait toujours, mais c'était tout de même le genre de problème qu'ils voulaient identifier et résoudre rapidement.
Côté conformité, Timefold est désormais conforme SOC 2, utilisant la couverture continue d'Aikido en complément des outils de conformité existants comme Vanta.
Résumé
Timefold n'avait pas besoin d'une plateforme de sécurité qui exigeait de l'attention. Ils avaient besoin d'une solution qui maintient discrètement la sécurité en ordre, soutient le travail de conformité et permet aux ingénieurs de rester productifs.
Pour Pieter, c'est le résultat idéal :
“Aikido est là, mais nous ne le remarquons pas. Et c'est ce que j'apprécie.”
Aikido fonctionne en arrière-plan, les équipes restent concentrées et la sécurité s'améliore sans devenir un goulot d'étranglement.
