Le défi : Ahrefs devait devenir conforme ISO27001 tout en préservant sa rapidité d’exécution et ses modes de fonctionnement.
La solution : Les services dirigés par des experts de Probo - construits sur la plateforme open-source - ont permis à Ahrefs d’atteindre la préparation ISO 27001 en un temps record tout en gardant ses équipes concentrées sur l’essentiel.
Les résultats :
- Prêt pour l’audit en quelques semaines, en avance sur le calendrier
- Économies annuelles à six chiffres comparé aux approches de conseil traditionnelles
- Charge interne minimale pour les équipes techniques et opérationnelles
À propos d’Ahrefs
Ahrefs est une entreprise technologique spécialisée en SEO et marketing basée à Singapour, fondée en 2010, surtout connue pour sa puissante de plateforme tout-en-un utilisée par les marketeurs, les agences et les entreprises pour analyser les backlinks, les mots-clés et les performances des sites web.
Bootstrappée depuis le premier jour, Ahrefs a connu une croissance constante pour atteindre environ 100 millions de dollars de revenus annuels en 2022. Son succès repose sur la possession de l’un des plus grands crawlers web au monde - traitant des billions de liens et des milliards de mots-clés - et sur la fourniture d’outils intégrés qui aident les entreprises à améliorer leur visibilité et leurs performances dans les recherches.
Ahrefs construit et exploite la plupart de son infrastructure en interne pour supporter des besoins massifs en données : l’entreprise fouille le web en continu et stocke des pétaoctets de données - plus de 500 PB (ou 500 000 TB) au moment de la rédaction - sur plus de 3 600 serveurs.
Le défi
Ahrefs n’a jamais eu besoin de certifications pour prouver son excellence technique. Mais avec sa croissance, les demandes de rapports ISO 27001 et SOC 2 de la part des clients se sont multipliées.
L’initiative était menée par Efim Mirochnik (Responsable de l’infrastructure) et Mauricio Fernandez (Ingénieur sécurité principal). Leur mandat :
Atteindre la conformité ISO 27001 et SOC 2 Type II sans ralentir l’entreprise
Ahrefs voulait :
- Renforcer la confiance de ses clients grâce à des certifications reconnues
- Conserver sa culture forte - le SMSI devait être pratique et refléter leur façon de travailler, pas un modèle générique
- Minimiser les efforts manuels pour les ingénieurs et le personnel de sécurité
- Livrer des résultats dans un calendrier ambitieux lié aux contrats entreprise
Le défi principal était d’équilibrer rapidité et rigueur, en s’assurant que chaque contrôle, politique et processus soit significatif, efficace et auditable.
Du lancement à la certification ISO 27001 complète et au rapport SOC 2, leur objectif ambitieux était d’être prêts en 6 mois.
L’approche traditionnelle ne fonctionnait pas
Ahrefs a initialement exploré les options conventionnelles : embaucher des consultants en conformité ou développer les capacités en interne. Les deux voies présentaient des inconvénients majeurs.
- Embaucher en interne prendrait des mois avant des progrès significatifs
- Les consultants externes travaillaient trop lentement et manquaient de contexte sur l’infrastructure et la culture d’Ahrefs
Efim Mirochnik :
Notre précédente collaboration avec des consultants nous avait fait passer en revue les contrôles ISO27001 pour les mettre en œuvre et poser des questions si nécessaire. Même quand nous savions quoi faire, le scope de ce qui était suffisant n’était pas claire. Pour de nombreux contrôles, il n’était même pas clair quoi demander exactement.
Notre impression était que nous devions avoir 100% de tous les contrôles mis en œuvre avant de nous tourner vers l’audit ISO27001. Nous voyions également la certification ISO 27001 comme un objectif final plutôt qu’un processus d’amélioration continue, comme l’a souligné plus tard Probo.
Nous avons engagé Probo environ 1 an après avoir commencé le parcours ISO27001 et environ 6 mois après avoir été seuls à mettre en œuvre les contrôles ISO27002 tout en manquant de conseils.
La solution de Probo : conformité dirigée par des experts à grande échelle
Après avoir évalué plusieurs options, Ahrefs a choisi Probo. Ensemble, nous avons transformé les pratiques existantes d’Ahrefs en un système de conformité prêt pour l’audit.
1. Conception de SMSI personnalisé
Plutôt que d’imposer des processus externes, nous avons documenté comment les choses fonctionnaient déjà.
Cela est devenu la fondation du Système de Management de la Sécurité de l’Information (SMSI) d’Ahrefs : léger, pratique et évolutif.
2. Support intégré
Probo a travaillé étroitement avec les équipes d’infrastructure et de sécurité d’Ahrefs pour examiner les risques, les politiques et les preuves d’audit - garantissant la conformité sans surcharge inutile.
3. Impulsion dans la bonne direction
Personne ne commence parfaitement, et la perfection n’était pas l’objectif. Nous nous sommes concentrés à combler des lacunes réelles, aligner la documentation avec la pratique, et maintenir chaque changement avec un objectif précis.
Résultats
1. Conformité rapide
Calendrier traditionnel : 6 à 12 mois pour la préparation
Calendrier Ahrefs + Probo : 10 semaines pour être prêt pour l’audit, 13 semaines pour être certifié ISO 27001
Ahrefs est devenu certifié ISO 27001 et conforme SOC 2 en moins de la moitié du temps habituel - sans ralentir l’ingénierie ou la livraison de produits.
2. Conservation des ressources internes
L’équipe de Probo a géré la majeure partie du travail opérationnel - cartographie des contrôles, gestion des preuves, validation des politiques, évaluation des fournisseurs et coordination avec les auditeurs - afin que les équipes internes d’Ahrefs puissent rester concentrées sur le produit et l’infrastructure.
Efim Mirochnik :
Nous sommes restés concentrés sur nos sujets, avons travaillé sur nos processus et n’avons pas été dérangés par les tâches fastidieuses de conformité. Probo a pris en charge le gros du travail et nous a maintenus sur la bonne voie. De plus, l’équipe de Probo nous a donné de précieux conseils sur la mise en œuvre de certaines choses pratiques et utiles qui nous manquaient, pas seulement cocher une case de conformité.
3. Retours financiers
Le projet a généré un impact financier mesurable :
- Réduction de 70-80% des honoraires de consultants par rapport à un engagement traditionnel de type Big 4
- Coût interne minimal, car Probo a exploité les flux de travail et outils existants
- La certification a été délivrée il y a seulement quelques semaines, et elle aide déjà l’équipe sales dans la prospection et a permis d’éviter de nombreux désabonnement de clients
Pourquoi ça a marché
Ahrefs avait déjà une solide discipline en matière de sécurité et d’ingénierie. Le rôle de Probo était de formaliser ce qui fonctionnait, automatiser ce qui pouvait l’être, et simplifier ce qui n’ajoutait pas de valeur.
Les deux équipes partageaient les mêmes principes : avancer vite, rester rigoureux, et éviter les processus inutiles.
Avec la certification ISO 27001, Ahrefs continue de travailler avec Probo pour renforcer cette base.
- Période d’observation SOC 2 Type II en cours
- Extension à ISO 42001 (gouvernance de l’IA) et RGPD
Bryan Frimin - CTO de Probo :
Construire nos services sur notre propre plateforme open-source nous aide à aller au-delà de ce que les plateformes GRC traditionnelles ou un cabinet de consulting peuvent offrir. Au fur et à mesure qu’Ahrefs et Probo évoluent, nous sommes en mesure d’être profondément intégrés à leurs besoins spécifiques, de fournir des conseils prospectifs plutôt qu’une simple conformité réactive.
L’avantage Probo
Efim Mirochnik :
Probo est un véritable partenaire. Ils ont adapté la conformité et la sécurité à nos tâches quotidiennes, ont pris en charge le gros du travail et nous ont permis d’avancer plus vite que prévu.
Alors qu’Ahrefs poursuit sa trajectoire pour devenir non seulement une plateforme SEO mais une plateforme marketing complète, Probo s’assure que la conformité n’est pas un obstacle.
L’expérience d’Ahrefs montre que la bonne approche de la conformité supprime les frictions au lieu d’en ajouter.
Bien fait, ce n’est pas un obstacle - c’est un catalyseur de croissance et de confiance.
