TÉMOIGNAGE CLIENT

1- Pourriez-vous vous présenter brièvement : votre entreprise, votre poste, vos responsabilités ?

​

“Je suis Cédric Foellmi, Directeur Engineering chez ASELTA Nanographics. ASELTA est une PME de 30 personnes, spin-off du CEA, qui existe depuis plus de 10 ans maintenant. Nous faisons des logiciels extrêmement spécifiques pour les fabricants de puces et de masques lithographiques qui serviront à faire des puces.

​

Pour ma part, j’ai la responsabilité de l’équipe de développement, qui comprend environ 12-13 personnes, et mon rôle est d’organiser le développement. J’accorde beaucoup d’importance au ‘Continuous Delivery’, c’est-à-dire à notre capacité à délivrer du logiciel tout le temps, de manière fiable. Pour cela nous organisons beaucoup d’automatisation, des tests, nous avons en interne une petite équipe qui fait des campagnes dédiées de tests haut niveau. Je suis donc chargé d’organiser tout ça, les releases, le développement, les priorités dans le développement, etc.”

​

​

​

2- Pour quel type de besoin avez-vous fait appel à CyberSecura ? Quel a été le déclencheur ?

​

“Nous avons entrepris une démarche de levée de fonds il y a plusieurs mois déjà, car ASELTA a besoin de continuer à grandir et à se développer. Dans le cadre d’une levée de fonds, il est nécessaire de pouvoir prouver une certaines qualité d’infrastructure : nous avions donc un besoin d‘audit de sécurité.

Il est important de préciser que ASELTA fait du calcul intensif (HPC, pour High Performance Computing). Nous avons une petite ferme de calcul, et des données clients extrêmement sensibles qui doivent être protégées. Nous avons donc une infrastructure qui, pour des raisons de sécurité et de confidentialité, ne peut pas être sur le Cloud. Nous avons une infrastructure conséquente pour une PME de cette taille, et c’est cette infrastructure, clé pour le fonctionnement de ASELTA, qui a été auditée par CyberSecura.”

​

​

​

3- Pour quelles raisons avez-vous fait le choix de confier ces missions à CyberSecura plutôt qu’à quelqu’un d’autre ?

​

“Je connaissais un petit peu CyberSecura. J’ai eu l’occasion de travailler dans différents contextes, et j’ai croisé David Rozier, avec qui je suis resté en contact via LinkedIn. Quand nous avons cherché à quel prestataire confier cette mission, j’ai pensé qu’il valait mieux se tourner vers quelqu’un que je connaissais, et qui fasse partie du tissu grenoblois”.

​

​

​

4- Aviez-vous des craintes avant la mise en place du projet ?

​

“Oui bien sûr, et c’est d’ailleurs pour travailler sur ces craintes là que nous avons fait appel à CyberSecura. Notre principale crainte était de découvrir des choses que nous avions oublié, ou pas suffisamment bien considéré, alors même que le processus de levée de fonds avait commencé. Malgré tout, nous préférions connaitre la situation telle qu’elle était afin de pouvoir agir dessus plutôt que de fermer les yeux, et c’est pour cela que nous avons fait appel à CyberSecura, pour travailler sur cette crainte là, et pour nous rassurer quant à la sécurité de notre organisation.

 

Nous avions également la crainte de découvrir l’ampleur des correctifs à appliquer, en termes d’utilisation de ressources, de temps ou d’argent. Nous avancions vraiment dans l’inconnu.

Nos craintes étaient donc plutôt liées au résultat de l’audit, plus qu’au déroulement en lui-même.”

​

​

​

5- Quels sont les défis à relever aujourd’hui dans votre activité ?

​

“Les logiciels que nous fabriquons ont la particularité d’être utilisés dans des environnements extra sécurisés, qui ne communiquent pas avec l’extérieur. Les défis ne concernent ainsi pas directement le logiciel que l’on fabrique, même si ce dernier doit tout de même faire preuve de certaines qualités, en termes de performance, de conception etc.

Mais dans la mesure où ce logiciel n’est pas et ne sera jamais connecté à l’extérieur, il n’a pas besoin d’être aussi sécurisé que notre infrastructure en a besoin.

​

Par contre, en interne, les enjeux sur l’infrastructure que nous utilisons sont divers : il y a tout d’abord les attaques potentielles auxquels nous devons pouvoir faire face, puisqu’il est tout à fait possible que nous faisions l’objet d’attaque d’espionnage industriel par exemple. De plus, nous pouvons également mentionner l’enjeu de la confidentialité des données, puisque nos clients nous confient des données parfois sensibles, des données qui représentent leur propriété intellectuelle : il est donc primordial que ces informations ne puissent pas fuiter vers l’extérieur.”

​

​

​

6- Comment décririez-vous le travail de CyberSecura en quelques mots seulement ?

​

“Je dirais ‘pédagogue’. C’est vraiment la qualité que je retiens, aussi bien de la part de Saghar, de David que des autres consultants. Ils n’ont jamais été avares d’explications, et c’est important car ce sont des enjeux qu’on ne maitrise que partiellement. J’ai beaucoup apprécié cet aspect pédagogique, qui à chaque étape, nous permettait non seulement de faire mais aussi de comprendre ce qu'il se passait.”

​

​

​

7- Quels sont les résultats de cette collaboration ?

​

“Alors je parlerai de deux résultats.

​

Le premier résultat, c’est l’obtention d’un audit officiel qu’on a pu inclure dans la data room pour la levée de fonds. Cela a nécessité un vrai travail itératif : tout ne s’est pas fait du premier coup. CyberSecura nous a fournit un premier résultat purement technique, en identifiant certaines failles critiques à corriger avant de faire le rapport final.

​

Et c’est là le deuxième résultat : ce rapport final technique réalisé par CyberSecura, rapport qui nous sert de feuille de route, avec une liste détaillée des correctifs à mettre en place.

​

Le premier résultat est donc l’audit officiel qui nous était indispensable dans le cadre de notre levée de fonds, et le second résultat que je mentionnerai est le rapport technique de l’audit, qui nous permet de continuer à avancer sur ces enjeux de cybersécurité et de protection des données en interne.”

​

​

​

8- Quels éléments avez-vous le plus apprécié dans la solution apportée par CyberSecura ?

​

“Les éléments que nous avons le plus apprécié ont été la pédagogie des équipes, le fait que l’entreprise soit du bassin grenoblois, et la réactivité des équipes. Comme toute startup qui cherche à lever des fonds, nous avons eu besoin parfois d’avancer assez vite sur certains sujets, et CyberSecura a toujours été à l’écoute et très réactif. C’est parfois clé pour permettre à la startup d’être en bonne position au bon moment.”

​

​

​

9- Quel(s) conseil(s) donneriez vous aux entreprises confrontées au même problème / ayant le même projet que vous ? 

​

“Je leur conseillerais de ne jamais sous-estimer l’importance de la cybersécurité et de la protection des données. Tout le monde sait que c’est important, mais tout le monde n’agit pas forcément en conséquence, ce qui est très dommage, car pour un budget tout à fait raisonnable il est possible d'initier une démarche.

CyberSecura sait aussi s’adapter, dans ce monde du logiciel, où tout est itératif. On peut alors avoir cette démarche itérative, qui s’intègre parfaitement dans le travail quotidien des organisations. C’est quelque chose dont on ne se rend pas compte, mais il est vraiment nécessaire d’intégrer ces aspects de gouvernance de la sécurité aux posts de développeurs.

Je leur conseillerais donc d’intégrer cette démarche de cybersécurité dans la démarche d’amélioration continue de leur entreprise ou organisation.”

​

​

​

10- Conseilleriez-vous CyberSecura autour de vous ? Pour quelle(s) raison(s) ?

 

“Oui volontiers, pour les raisons évoquées : il s’agit d’une entreprise grenobloise, il y a à Grenoble beaucoup d’entreprises spécialisées dans le logiciel, pour qui les enjeux de cybersécurité sont cruciaux. Je recommanderais donc CyberSecura pour leur pédagogie, ainsi que pour cette manière de travailler itérative.”