Comment Aikido Security a construit une plateforme de sécurité « sans conneries » pour les entreprises européennes

En mars, Aikido Security est officiellement devenu le fournisseur de logiciels de sécurité de Visma. L'accord a non seulement réuni deux entreprises européennes, mais a également permis à une startup qui existe depuis un peu plus d'un an de décrocher un client avec plus de 2 milliards d'euros de chiffre d'affaires et 1,7 million de clients dans le monde.

« Une entreprise comme Visma qui nous fait confiance témoigne de la qualité et de la maturité de notre produit », a déclaré Roeland Delrue, co-fondateur et COO/CRO d'Aikido Security, dans un communiqué.

Le secteur de la sécurité est généralement dominé par les startups technologiques américaines et israéliennes. Willem Delbare, co-fondateur et PDG/CTO d'Aikido Security, affirme qu'il est rare qu'une entreprise européenne de cybersécurité conclue un client de cette taille.

Delbare et Delrue ont cofondé Aikido Security avec Felix Garriau en 2022 et la startup vient d'annoncer une levée de 17 millions de dollars dans le cadre d'un tour de table de série A. Il a levé un financement total de 24,6 millions de dollars et vise à apporter une sécurité « sans conneries » aux développeurs. Cependant, les racines de cette startup de sécurité ont été posées de manière non conventionnelle et son histoire est celle d'un excellent produit répondant aux besoins du secteur de la sécurité.

La sécurité est importante

Willem Delbare Aïkido Sécurité
Willem Delbare est le co-fondateur et PDG/CTO d'Aikido Security | Crédit d’image : Sécurité de l’Aïkido

La sécurité est importante. Qu'il s'agisse d'un immeuble d'habitation ou de la suite logicielle que vous construisez, la sécurité est primordiale. Cependant, le secteur de la sécurité est manuel et la mise en place de tous les processus peut s'avérer difficile. Alors qu'il gérait la sécurité dans son ancienne entreprise, Delbare a non seulement remarqué à quel point la plupart des processus de sécurité étaient manuels, mais également la difficulté associée à l'acquisition de connaissances autour de ceux-ci.

Pour lui, ce n'était pas seulement une expérience douloureuse mais aussi quelque chose qui pouvait être productif. Cette exposition à des processus inefficaces dans le paysage de la sécurité, alimentés par des outils coûteux et à faible valeur ajoutée, a poussé Delbare à résoudre ce problème.

« J'en ai utilisé un grand nombre et ils souffrent tous des mêmes problèmes. Ils vous surchargent de faux positifs, vous envoient des notifications et rendent le tri difficile », dit-il.

Une fois le problème identifié, Delbare s'associe à Delrue et Garriau et le trio travaille sur la première version bêta de l'Aïkido. Delrue me dit qu'ils savaient que leur premier produit devait être génial et qu'« il devait apporter une valeur véritable et différenciante ».

Selon les cofondateurs d’Aikido Security, c’est là le point de départ de leur histoire. En tant qu'entreprise PLG, elle devait créer un excellent produit, mais en tant que fournisseur de sécurité, elle devait également créer une couche de confiance qui encouragerait ses partenaires à connecter leur base de code et leur cloud à l'Aïkido en ligne.

Delrue ajoute qu'ils ont travaillé « très dur » pour mettre en ligne la première version bêta de l'Aïkido. Une fois la première version lancée, certains partenaires se sont alignés pour tester et ont ensuite travaillé sur leurs commentaires. «Cela a conduit à une véritable création de valeur et à une adéquation rapide entre les produits et le marché», précise-t-il.

Mais la confiance est restée un facteur et pour gagner la confiance de leurs clients, ils ont commencé par un « centre de confiance » sur leur site Web. Ils ont ensuite travaillé sur la conformité (ISO27001 et SOC2), la preuve sociale, et ont même obtenu des avis d'investisseurs crédibles, et se sont concentrés sur la vérification en ligne.

Cependant, la startup gantoise affirme que trouver et embaucher les bonnes personnes a été plus difficile que de créer le produit. Delrue dit qu'il leur a fallu quelques mois pour constituer l'équipe, puis qu'ils ont passé six à neuf mois productifs avec l'équipe de base. À partir de là, il dit qu’ils ont pu élargir davantage l’équipe en augmentant leur tournée de semences.

Dites adieu aux vulnérabilités

Intégration de la sécurité de l'aïkidoIntégration de la sécurité de l'aïkido
L'Aïkido facilite l'inscription avec SSO pour GitHub, GitLab, Azure DevOps, etc. | Crédit d’image : Sécurité de l’Aïkido

Quand j’ai demandé à Delbare comment fonctionnait la sécurité de l’Aikido ? Sa réponse m'a trébuché. Il qualifie cela de « assez simple » et ajoute que l’Aïkido peut être mis en place en quelques minutes seulement. En tant que développeur, tout ce que vous avez à faire est de créer un compte avec les outils que vous utilisez pour votre git, notamment GitHub, GitLab, Azure DevOps, etc. Aikido exploite le SSO de ces outils de gestion git pour une configuration facile et affirme que cela rend l'utilisateur la gestion et l'accès sont beaucoup plus faciles.

Lorsque vous vous inscrivez sur Aikido, vous donnez à la plateforme accès aux bases de code que vous souhaiteriez faire scanner. La plate-forme est conçue pour analyser le code pour six types différents de vulnérabilités. Des dépendances, secrets et problèmes SAST aux problèmes IaC, logiciels obsolètes et logiciels malveillants, Aikido analyse minutieusement votre code. Même si le risque de licence ne constitue pas une vulnérabilité, l'Aïkido recherche également tout risque associé.

Cela ne s'arrête pas là. « L'Aïkido peut analyser l'ensemble de votre pile de développement. (code, cloud, conteneurs et domaines), si vous les ajoutez, vous pouvez couvrir entièrement la sécurité des applications de votre application, du code au cloud », explique Delbare.

En termes simples, Aikido est une plate-forme de sécurité basée sur le cloud qui analyse votre code à la recherche de toutes les vulnérabilités typiques que l'on peut rencontrer dans une application Web. Voici les 10 différents types de scans effectués par l’Aïkido :

  • Gestion de la posture cloud (CSPM) : Détecte les risques liés à l’infrastructure cloud chez les principaux fournisseurs de cloud.
  • Analyse des dépendances open source (SCA) : Surveille en permanence votre code pour détecter les vulnérabilités connues, les CVE et autres risques.
  • Détection des secrets : Vérifiez votre code pour détecter les clés API, mots de passe, certificats, clés de chiffrement divulgués et exposés, etc.
  • Analyse de code statique (SAST) : Analyse votre code source pour détecter les risques de sécurité avant qu'un problème puisse être fusionné.
  • Infrastructure en tant que numérisation de code (IaC) : Analyse l'infrastructure en tant que code Terraform, CloudFormation et Kubernetes pour détecter les erreurs de configuration.
  • Analyse d'image de conteneur : Analyse le système d'exploitation de votre conteneur à la recherche de packages présentant des problèmes de sécurité.
  • Surveillance des surfaces (DAST) : Teste dynamiquement le frontal de votre application Web pour détecter les vulnérabilités grâce à des attaques simulées. Construit sur ZAP.
  • Analyse des licences open source : Surveille vos licences pour détecter les risques tels que la double licence, les conditions restrictives, la mauvaise réputation, etc.
  • Détection de logiciels malveillants dans les dépendances : Empêche les packages malveillants d’infiltrer votre chaîne d’approvisionnement logicielle. Propulsé par Phylum.
  • Logiciel obsolète : Vérifiez si les frameworks et runtimes que vous utilisez ne sont plus maintenus.

En plus de rechercher ces 10 types, Aikido Security permet également à ses utilisateurs de connecter leur propre scanner pour importer et trier automatiquement les résultats de leur pile de scanners actuelle. Alors que les applications de sécurité détectent et trient généralement tout dans un silo, Aikido Security rassemble tout cela dans un seul tableau de bord afin qu'un développeur puisse avoir un aperçu complet de toutes les vulnérabilités possibles.

La sécurité des applications simplifiée

Félix Garriau Aïkido SécuritéFélix Garriau Aïkido Sécurité
Félix Garriau est le co-fondateur et CMO d'Aikido Security | Crédit d’image : Sécurité de l’Aïkido

« Nous rendons la sécurité des applications simple, accessible et abordable », déclare Garriau.

Pour les co-fondateurs d'Aikido Security, le véritable problème dans le paysage des logiciels de sécurité est que de nombreux outils de cybersécurité sont trop complexes et rendent très chronophage l'examen de tous les résultats de sécurité et leur correction. L'Aïkido veut être une antithèse à ce paysage sécuritaire en facilitant la recherche des problèmes importants.

Avec plus de 3 000 organisations utilisant l’Aikido et plus de 300 abonnés payants, l’Aikido a réussi à convaincre les entreprises de son idée de sécurité. Garriau explique que la plupart de leurs clients utilisent sa plateforme pour sécuriser les logiciels qu'ils écrivent et apprécient la plateforme, car elle leur permet de simplifier leurs processus et de tout conserver au même endroit.

Il ajoute : « Avec l'Aïkido, ils n'ont pas besoin d'outils séparés qui peuvent devenir un véritable désastre et générer de nombreuses notifications en double. »

L'Aïkido est également utilisé par les clients pour se conformer. Garriau explique que lorsque vous devenez conforme (SOC2, ISO27001, etc.), vous devez généralement mettre en œuvre des SLA pour les vulnérabilités. Grâce à la fonction de tri automatique d'Aikido, la startup affirme que ses clients ont pu gagner énormément de temps qui aurait autrement été perdu à trier les faux positifs.

Il faut dire que la possibilité de télécharger et de partager un rapport d'audit a aidé les clients d'Aikido non seulement à passer l'évaluation de Meta Developer Security, mais également à stimuler les ventes.

AWS à construire et à faire évoluer

Comme de nombreuses startups de sécurité, Aikido s'appuie également sur Amazon Web Services (AWS) pour créer et faire évoluer sa plateforme. Delbare affirme que choisir AWS était une décision logique puisque les cofondateurs avaient beaucoup d'expérience avec la plateforme de services cloud d'Amazon.

« J'ai déjà créé plusieurs entreprises SaaS prospères sur AWS. Cela nous aide à évoluer plus rapidement en tant que startup », ajoute-t-il.

Alors que Delbare affirme que la force d'AWS réside dans la simplicité avec laquelle une startup peut évoluer sur la plate-forme, Garriau ajoute que l'intégration est une autre force. Garriau explique qu'ils ne sont actuellement pas répertoriés sur le marché AWS et qu'ils s'efforcent d'en faire partie cette année.

Il affirme qu'AWS Marketplace offre le type de portée utile pour une startup naissante comme Aikido Security. Alors que la startup belge collabore avec l'équipe de startup d'AWS pour assister à des événements et se connecter aux sociétés de capital-risque pertinentes, il y voit une opportunité de libérer encore plus de potentiel.

« Nous voyons beaucoup de potentiel dans l'intégration directe dans AWS Marketplace », déclare Garriau. Il ajoute : « Nous pensons que cela simplifiera la facturation pour certains clients et nous aidera à nous faire connaître auprès de milliers de clients AWS. »

En tant que jeune startup construisant une plateforme cloud native, Aikido est consciente du potentiel d'échelle offert par AWS et l'a même exploité. Aujourd’hui, l’entreprise cherche à faire évoluer sa plate-forme non seulement en faisant partie de l’écosystème cloud, mais aussi en devenant partie intégrante du marché où prospèrent les fournisseurs basés sur le cloud.

Focus sur le paysage européen de la cybersécurité

Roeland Delrue Aïkido SécuritéRoeland Delrue Aïkido Sécurité
Roeland Delrue est le co-fondateur et CRO d'Aikido Security | Crédit d’image : Sécurité de l’Aïkido

Avec des législations telles que NIS2 et DORA, l’Europe a affirmé son autorité en tant que leader en matière de législation sur la cybersécurité. Cependant, les pirates informatiques continuent de devenir plus avancés, ce qui entraîne une augmentation des coûts liés au piratage année après année. Delrue affirme que les entreprises européennes font de leur mieux pour assurer la sécurité de leur entreprise et sont de plus en plus conscientes de l'importance d'investir dans la sécurité.

Pour ces entreprises européennes, Aikido veut être la société de sécurité européenne en laquelle elles peuvent avoir confiance et vise ainsi à devenir un acteur clé dans le paysage européen de la cybersécurité. Pour y parvenir, Aikido compte désormais 20 employés, dont environ la moitié sont des développeurs qui construisent le produit. La startup investit massivement dans son produit tout en développant ses efforts de vente et de marketing.

Elle est également parfaitement consciente de l’impact de l’IA sur son activité. Delbare considère l'IA comme une arme à double tranchant dans laquelle elle peut aider les développeurs à écrire du code, mais le fait souvent en compromettant la sécurité. « Même le Copilot de GitHub s'est avéré capable d'écrire du code avec des failles de sécurité », observe-t-il.

Dans un environnement où l’IA devient un copilote pour les développeurs et les aide à écrire du code, Delbare voit les scanners de sécurité comme l’Aikido devenir encore plus importants. Il voit également l’opportunité d’exploiter l’IA pour la recherche en matière de sécurité. Delrue affirme que son succès immédiat dépend de la commercialisation du produit et de l'augmentation de sa base d'utilisateurs et de clients. Cette orientation pourrait faire d’Aikido Security un gagnant dans le paysage européen de la cybersécurité.


Vous cherchez des histoires plus inspirantes comme celle-ci ? Rejoignez l'AWS Summit Stockholm pour entrer en contact avec les leaders du secteur et les meilleures startups régionales, découvrez où les investisseurs placent leurs paris et plongez-vous dans l'excellence technique. Inscrivez-vous maintenant pour élever votre parcours de startup !