Dans le monde compétitif de la sécurité (cloud), Aikido se distingue par des outils sur mesure pour les développeurs. L’entreprise gantoise s’impose comme le porte-drapeau belge dans l’industrie mondiale de la sécurité.
L’Aikido est un art martial japonais né au début du XXe siècle. Dans l’aikido, l’aspect philosophique est beaucoup plus central que l’aspect physique. Ses pratiquants ne le considèrent donc pas comme un sport de combat, mais plutôt comme une convergence de l’esprit et du corps.
Vous vous demandez probablement quel est le rapport avec la cybersécurité ? L’entreprise gantoise Aikido transpose les principes fondamentaux de l’art martial japonais dans les environnements informatiques. Non seulement parce que l’entreprise se concentre sur la défense, mais aussi parce qu’elle réunit les mondes de la sécurité numérique et du développement logiciel pour permettre aux développeurs d’être en harmonie avec leur environnement.
Pour et par les développeurs
La devise de l’entreprise ne fait pas dans la dentelle : « No bullsh*it security ». Johan De Keulenaer et Berg Severens nous expliquent comment Aikido tente d’éliminer les ‘artifices’ de la sécurité. « Beaucoup de nos concurrents se concentrent principalement sur les RSSI avec des produits onéreux. En conséquence, les outils sont rarement adaptés aux développeurs, qui doivent pourtant travailler avec. Aikido aide les développeurs à écrire du code sécurisé ».
Les expériences personnelles sont souvent la meilleure motivation pour créer une entreprise. « Notre fondateur Willem (Delbare, ndlr) a créé plusieurs start-ups, dont Teamleader. Il a ressenti la difficulté de construire une pile de sécurité pour les PME. Cela explique notre focus initial sur les PME employant principalement des développeurs. Nous combinons une analyse de code avancée avec l’intelligence artificielle pour réduire les faux positifs afin de filtrer jusqu’à 85% de ce qui n’est pas pertinent », déclare De Keulenaer.
La prise de conscience que le cloud n’est pas un bunker sécurisé, comme on le pensait initialement, grandit dans le monde de la sécurité. Nous demandons à Severens de mettre le doigt sur la plaie, bien que selon lui, on manquerait de doigts pour cela. « Il n’y a pas une seule erreur typique qui soit fréquemment commise. Mais l’injection SQL, par exemple, existe depuis longtemps. Cela s’accompagne souvent de modèles que l’on peut retracer dans le code ».
Analyser le code
Aikido tente de combler le fossé entre la sécurité et le développement avec des outils de sécurité qui parlent le langage des développeurs. Severens : « Notre plateforme regroupe une dizaine de fonctionnalités, dont l’analyse statique du code. Avec cela, nous examinons le code source pour rechercher des modèles de vulnérabilités. Cependant, cela peut générer de nombreux faux positifs. C’est pourquoi nous utilisons également l’IA pour examiner le contexte du code afin de filtrer autant que possible ces faux positifs et de rendre le code plus sûr de manière ciblée ».
Ainsi, nous évitons que les développeurs perdent de vue les problèmes de sécurité qui sont vraiment importants », ajoute De Keulenaer. « Aucun développeur n’est heureux lorsqu’il allume son PC le matin et voit des centaines d’alertes rouges sur son écran. Nous avons déjà réussi à réduire jusqu’à 85% de ces notifications. Nous sommes un allié de sécurité pour les développeurs ».
Le fait que nous rencontrions De Keulenaer et Severens lors d’un événement AWS à Amsterdam est plutôt une coïncidence. « Une partie de nos clients utilise l’infrastructure AWS, mais nous avons toujours été agnostiques en matière de cloud. Chaque fournisseur a sa spécificité. Récemment, nous sommes également devenus disponibles via leur marketplace, permettant aux entreprises d’activer rapidement Aikido de manière autonome et d’expérimenter notre sécurité sans fioritures en quelques secondes », déclare De Keulenaer. Grâce à des intégrations, les entreprises peuvent connecter Aikido à tous les environnements cloud et de développement courants, ainsi qu’à des applications plus générales comme Teams.
Les développeurs reçoivent des centaines d’alertes de sécurité non pertinentes. La sécurité ne devrait pas ralentir les développeurs, mais les faire avancer.
Johan De Keulenaer, Responsable des Partenariats chez Aikido
Déplacement vers la gauche
Aikido utilise elle-même l’IA pour rendre la sécurité du code plus efficace, mais Severens est conscient que l’IA peut être une arme à double tranchant pour les développeurs. « Il est aujourd’hui plus difficile de déterminer si un code a été écrit par l’IA ou par des développeurs humains. Le coût du développement diminue, pour nous mais certainement aussi pour les attaquants. Tant les défenseurs que les assaillants utiliseront l’IA, ce qui pourrait conduire à davantage d’attaques. Le marché croît rapidement grâce à l’IA ».
« Nous proposons les outils pour intégrer l’IA de manière sécurisée dans un environnement de développement », poursuit Severens. « Les développeurs ont moins besoin de perdre du temps sur les alertes, mais nous pouvons également générer des propositions automatiques pour résoudre les vulnérabilités et éliminer la ‘dette’ technique. Nous utilisons ces outils pour réduire les hallucinations par rapport aux LLM ‘prêts à l’emploi' ».
De Keulenaer est d’accord avec son collègue. « C’est une course au coude à coude. Nous évoluons d’une sécurité manuelle vers une sécurité automatisée. Un bon exemple est l’intégration avec Cursor AI, avec laquelle nous pouvons sécuriser le code au moment où il est écrit. Aikido fonctionne comme un moteur invisible qui signale lorsque quelque chose ne va pas. Le cercle est ainsi complet. Nous avons grandi à partir du marché des PME, mais les grandes entreprises sont également convaincues ».
« Nous voulons résoudre les problèmes potentiels dans le code le plus tôt possible dans le processus de développement », déclare Severens. « Mais ce n’est pas toujours pratiquement réalisable et c’est pourquoi nous proposons également de l’autre côté du spectre une sorte de pare-feu pour sécuriser votre application. C’est en cela que nous sommes assez uniques. Nous mettons pour ainsi dire une cloche sur votre code. C’est intéressant pour réduire le risque de vulnérabilités. »
Apple dans un monde Linux
Les ambitions d’Aikido sont globales, mais l’entreprise n’a pas oublié ses origines. Dans un monde en rapide évolution, Aikido, en tant qu’acteur belge, peut justement avoir un atout pour rivaliser dans une industrie dominée par les entreprises américaines. « Pour de nombreuses entreprises, ce sera un choix conscient de savoir si elles veulent une solution américaine, israélienne ou européenne », déclare De Keulenaer.
lire aussi
Made in Belgium : un label de qualité pour la sécurité ?
Aikido n’a pas encore atteint son plafond, De Keulenaer en est fermement convaincu. « Les choses vont incroyablement vite pour nous. Nous n’avons été lancés qu’en 2023. Grâce à des tours d’investissement, nous avons levé 25 millions d’euros pour soutenir notre croissance internationale. Maintenant, nous voulons devenir un acteur mondial. Un concurrent direct vient d’être racheté pour 23 milliards de dollars », déclare De Keulenaer, faisant référence à l’acquisition de Wiz par Google.
« Le fait que nous soyons une entreprise belge et européenne peut être un argument de vente », conclut également Severens. « Le marché est très fragmenté et nous pensons avoir trouvé le créneau en offrant une solution tout-en-un qui est conviviale et pour laquelle vous n’avez pas besoin d’un doctorat. Dans un monde Linux, nous sommes l’Apple ».
Dans un monde Linux, nous sommes l’Apple.
Berg Severens, Ingénieur IA chez Aikido