CLIENT TESTIMONIAL
Mathieu Dreyfus,
Group Quality Manager for Technidata
"The main reasons why I would recommend CyberSecura are the quality of the support, the adaptability, the ease and the expertise.
I would recommend you because you bring indisputable expertise, while taking into account what your customer expects based on their own context, while being ready to adapt to it."
1- Pourriez-vous vous présenter brièvement : votre entreprise, votre poste et vos responsabilités ?
« Je suis Mathieu Dreyfus, j'occupe le poste de la Responsable Qualité Groupe pour le groupe Technidata. Le groupe Technidata est composé d'un éditeur de logiciels, Technidata SA, la maison mère, qui distribue ses logiciels sur un modèle de vente indirecte. Nous passons ainsi par un réseau de distribution, composé par nos filiales, ainsi que par des distributeurs externes.
Nous fabriquons, nous développons, nous concevons, nous validons, et nous libérons des solutions logicielles destinés à la gestion d'informations médicales. Nous assurons également du support technique de nos produits.
Nos clients sont des laboratoires d'analyses médicales, et souvent de grosses structures, souvent publiques
Les logiciels Technidata servent donc à gérer de l'information. À partir du moment où un patient entre dans un laboratoire d'analyses, nous allons offrir la capacité de gérer les informations liées à ce patient, les demandes d'examen, la réalisation des examens, nous allons récupérer les résultats, générer un compte-rendu, permettre au médecin de le valider, et accompagner sa mise à disposition et / ou sa consultation.
Nous sommes présents en Amérique du Nord, en Europe et en Asie.
Pour ma part, j'ai la fonction de Responsable Qualité pour le groupe. J’ai ainsi la charge du système de management de l’entreprise, système de management qui a la particularité de mélanger management de la qualité, de la traçabilité (pour les dispositifs médicaux) ainsi qu’un système de management de la sécurité de l'information, puisque nous sommes certifiés ISO 27001 depuis l'année dernière. »
2- Pour quel type de besoin avez-vous fait appel à CyberSecura ? Quel a été le déclencheur ?
« Nous avons fait appel à CyberSecura dans le contexte d'un déploiement des exigences de la norme ISO 27001 dans sa version 2017. Nous avons rapidement pris conscience de la difficulté de ce projet.
Chez Technidata, nous avons 30 ans d’expérience sur les systèmes de management, d'un point de vue assez qualiticien, et avec une expertise métier très particulière qu'est le management de la qualité, de la traçabilité, en lien avec les affaires médicales, avec les dispositifs médicaux.
Nous nous occupons donc pas mal de tout ce qui concerne les exigences générales d'un système de management. Mais lorsque nous sommes allés un peu plus spécifiquement mettre en œuvre les contrôles de l'annexe A de la norme ISO 27001, là, nous nous sommes aperçus qu'il y avait tout de même des spécificités bien particulières, et que cette norme 27001, elle a ceci de difficile qu'elle appelle des expertises métier assez profondes, et dans des coeurs de métier très différents.
Il faut des qualiticiens, pour faire un système de management. Il faut des ingénieurs, des administrateurs systèmes et réseaux et de la DSI, pour gérer l’infrastructure. Il faut aussi former ses développeurs de logiciels, et parce que la sécurité du développement logiciel est une préoccupation centrale.
Il y a donc eu une période de la conduite de ce projet où nous avons eu besoin d'un regard extérieur, dont on attendait deux choses.
La première, c’était de nous apporter une expertise sur ces sujets qu'on maîtrisait moins bien, et parce que la cybersécurité est un métier à part entière.
Et la seconde, c’était de nous faire gagner du temps.
En effet, il y a une chose qui nous a beaucoup frappé dans l'accompagnement CyberSecura, c'est que nous avons pu aller vite, et en particulier parce que Saghar a su nous fournir des trames documentaires qui contenaient déjà un grand nombre d’attendus, et dans lesquelles nous avons pu faire un peu notre marché. Les trames étaient assez générales, et nous avons ainsi pu les adapter facilement à notre métier, et plutôt que de tout construire depuis zéro.
Je suis donc convaincu que nous avons gagné beaucoup de temps dans ce projet, parce que CyberSecura est intervenu, et Saghar tout particulièrement.
Nous avions donc ce besoin normatif, ce besoin de certification, mais avons très vite réalisé que nous aurions besoin d’être aidés.
J'insiste vraiment sur cette notion-là : il y a quand même dans la norme ISO 27001 un certain nombre de contrôles qui font appel à des expertises qu'on n'a pas toujours, en interne.
Et je pense que c'est aussi une des grandes plus-values de votre accompagnement, que d'être en mesure d'avoir une gestion en trois temps. Premier temps, faire un état des lieux au travers d’un audit. Deuxième temps, faire des recommandations et fournir des templates qui permettent d’avancer et d’effectuer le travail, parce que c'est quand même bien aussi au client de faire le travail. Enfin, troisième temps, faire une relecture afin de vérifier que l'ensemble est cohérent, et que toutes les recommandations ont été correctement appliquées.
Nous avons trouvé ce phasage de projet très important, et je pense que c'est une vraie qualité de votre travail. Ce découpage a été conduit très habilement, et par ailleurs, sans poser le moindre jugement : et c’est aussi ce qui fait la qualité d'un consultant. Un consultant ne dit pas que c'est un bon choix ou un mauvais choix, et c’est ce qui a été aussi, je pense, très gagnant dans la relation.
Par moment, je pense très sincèrement que Saghar aurait souhaité pousser les choses, elle aurait voulu qu’on aille plus loin, et nous avons fini par dire « non », car nous devions réconcilier la recommandation formulée avec nos contraintes pragmatiques, de terrain. Nous avons dû faire un peu d’arbitrage, en tout cas prendre une position intermédiaire, position que Saghar a parfaitement respecté, et qu’elle a accompagné ! C’est un élément de la prestation qui m’a beaucoup marqué. »
3- Pour quelles raisons avez-vous fait le choix de confier ces missions à CyberSecura plutôt qu’à quelqu’un d’autre ?
« J’identifie très nettement deux raisons.
La première, c'est la proposition qui a été faite : avec ce découpage du projet, avec la flexibilité qui est apportée, ainsi que la possibilité de découper la prestation globale en plusieurs périodes de facturation, qui nous ont été proposés. Nous n’allons pas nous mentir, l'argent, c'est le nerf de la guerre. Nous avons donc vraiment apprécié votre capacité à accompagner, tout en facturant au plus juste ce qui était consommé, par période.
L’accompagnement était flexible : nous avons par exemple été en mesure de faire une pause lorsque nous en avons eu besoin. En effet, il y a eu une période durant laquelle Saghar produisait beaucoup, mais nos équipes n’arrivaient pas à intégrer toutes ces productions, elles n’arrivaient pas à se libérer suffisamment de temps pour absorber tous ces éléments correctement.
À ce moment-là, David et Saghar ont alors dit « Stop, on fait une pause ». CyberSecura a continué à avancer sur d’autres éléments qui ne nécessitaient pas notre implication, et nous avons pu reprendre sereinement, dès que nous étions de nouveau prêts à poursuivre. Cette flexibilité que vous êtes prêts à offrir, je pense qu'elle a énormément de valeur et qu’il faut le souligner.
La deuxième raison pour laquelle nous avons choisi de vous confier cette mission plutôt qu’à un autre prestataire, c'est la proximité, le fait que vous ne soyez pas loin, que nous puissions nous rencontrer facilement. C’est vrai, nous sommes en 2024, et beaucoup de choses se passent désormais en ligne. Cependant, la proximité est quelque chose qui marche, et nous avons beaucoup apprécié cette proximité avec CyberSecura. »
4- Aviez-vous des craintes avant la mise en place du projet ?
« Oui, je pense qu'il y en avait au moins une, mais elle est très technique.
En interne, certains de nos collaborateurs ont été formés sur le référentiel, et sur les techniques de sécurité. Certains collaborateurs ont donc suivi des formations en continu, ils ont mis en œuvre des méthodologies préconisées par l'état de l’art. Je pense par exemple à la méthode EBIOS-RM pour faire de l'analyse de risques sur le SMSI.
Finalement la question s’est posée : globalement, nous avons déplié la méthodologie de référence, mais à la fin, nous ne savions plus quoi en faire. Finalement, ça ne mettait rien en évidence.
L'analyse de risque d’un système de management de la sécurité de l’information est un morceau central. C'était en tout cas un peu l’appréhension, de se dire que nous étions coincés avec ce sujet-là.
Finalement, nous avons été est capables d’identifier de nombreuses situations dangereuses qui se répétaient, qui semblaient être un petit peu toutes similaires, mais finalement, peut-être pas. Nous ne savions pas comment traiter tout cela !
Je ne sais pas si on peut vraiment parler de crainte, en tout cas c’était une préoccupation.
Dans ce cadre-là, il faut saluer le fait d'amener une expertise extérieure, ce qui aide énormément le mandant (soit celui qui poursuit une certification) à apprécier correctement où est-ce qu’il y a du risque, où est-ce qu'il y en a moins, et quelles sont les ensembles de risques que nous sommes susceptibles de mutualiser.
Nous n’avions donc pas de crainte à proprement parler, mais cela a été un vrai plus que d’être en mesure d’amener cet effort de rationalisation et de mutualisation, qui a fait que nous avons été en mesure de mettre la bonne quantité d'énergie au bon endroit. »
5- Quels sont les principaux défis à relever aujourd'hui dans votre secteur d'activité ?
« J’identifie très spontanément un pilier central, qui est que, en notre qualité d’éditeur de logiciels, nous nous devons d'offrir à nos clients l'état de l'art attendu en termes de développement sécurisé. Nous nous devons de leur fournir ce qu'on fait de mieux dans le consensus international, en termes de pratiques de développement sécurisé. Ça, c’est notre priorité. Il s’agit d’un besoin extrêmement clair, et formulé par l'ensemble de nos clients (qui je le rappelle, agissent dans le secteur de la santé, un secteur très touché par les cyberattaques).
Ainsi, notre responsabilité d'éditeurs est d’être au rendez-vous, et de mettre en place les bonnes pratiques de développement logiciel sécurisé. C’est donc le premier attendu, le premier défi.
Le second grand défi dans notre secteur d’activité, c’est de maintenir notre système d'information en conditions opérationnelles et de sécurité. Et cela ne s'invente pas ! Pour répondre à ce défi, il faut un plan de backup (i.e. sauvegarde) qui tient la route, il faut un plan de reprise informatique qui tient la route, il faut une formation du personnel qui tient la route, il faut des documents qui tiennent la route.
Finalement, le maintien en conditions opérationnelles et de sécurité est un véritable chantier, un véritable défi de tous les jours. Je dirais donc que c’est le second grand défi : garantir sa conformité et sa sécurité à l'instant T. Et pour cela, il faut être en mesure d’avoir un regard un peu honnête sur nos propres pratiques, afin de nous dire « OK, nous sommes certifiés, c'est super. Mais tous, nous savons qu’ici, là et là, nous avons encore des marges de progression. »
Et c’est également pour cela que nous travaillons encore avec CyberSecura après cette prestation de sécurité. »
6- Comment décririez-vous le travail de CyberSecura, son équipe, en quelques mots seulement ?
« Alors je retiendrais tout d’abord l'expertise. Je retiendrais également la proximité. Nous sommes partis sur une prestation plutôt longue, qui s’est étalée dans le temps. Nous nous sommes beaucoup parlé, nous avons entretenu une forme assumée de proximité.
Donc, l’expertise, la proximité, et la flexibilité, encore une fois. C’est vraiment quelque chose qui m’a beaucoup plu ! J’ai su dire à Saghar (et ce n’est pas toujours facile dans une relation contractuelle) « Saghar nous n’y arrivons plus, tu délivres, tu délivres, mais sous sommes sous l’eau, et nous avons besoin de ralentir ».
C’est quelque chose qu’elle a su entendre. Cette manière de s'adapter à notre propre calendrier tout en tenant compte de nos réalités opérationnelles a été une vraie plus-value de ce projet ! »
7- Quels sont les résultats de cette collaboration ?
« Les résultats sont supers, puisque nous sommes allés à l’audit de certification initial au mois de juin. Nous n’étions pas tous complètement tranquilles, mais finalement le travail a payé puisque nous avons été certifiés deux mois après !
Il s’agit d’une position de qualiticien, mais on peut rapidement se dire « aussi longtemps qu’on n’est pas prêts, on n’y va pas ». Ce qui est une approche tout à fait respectable ! Je pense même qu’elle peut conduire à des certifications initiales sans non-conformité.
Nous, nous avions une approche radicalement différente, qui était de se dire « nous voulons la certification 2023, et nous allons y aller vite. ». Nous allons simplement faire en sorte qu’il n'y ait aucune non-conformité majeure, parce que celles-là font obstacle à une certification. Cependant, nous n’étions pas effrayés à l’idée d’avoir quelques non-conformités mineures à corriger, puisque notre priorité était d’obtenir cette certification.
Donc le meilleur résultat de cette collaboration c’est celui-ci, c’est ce certificat dont nous sommes très fiers, et qui donne des gages de solidité et de sérieux envers nos clients et nos partenaires ! CyberSecura nous a donc emmené là où nous souhaitions aller : vers une certification ISO 27001 dans l’année 2023. »
8- Quels éléments avez-vous le plus apprécié dans la solution apportée par CyberSecura ?
« Je dirais l'optimisation des ressources que nous avons consommées en interne. Nous avons beaucoup apprécié le fait que Saghar (et donc CyberSecura) ait cette capacité d’amener de la documentation clé en main. Alors attention, la clé en main c'est dangereux, ça ne va à personne, c’est un peu l’histoire du vêtement à taille unique. C'est super joli, mais ça ne va vraiment bien à personne.
Cependant, c’est parce que vous avez su amener jusqu'à nous un certain nombre de documents prêts à l’usage, et qui n‘avaient plus qu’à être adaptés, nous avons gagné un temps considérable.
Cette certification ISO 27001 consomme une quantité de ressources hallucinante : des ressources humaines, matérielles, des investissements, de la modernisation des infrastructures.
Et lorsqu’on voit ce que coûte la sécurité, nous sommes contents de nous dire que chaque euro investi apporte le bon niveau de rendement.
C’est donc un élément que nous avons particulièrement apprécié : cette capacité de nous proposer des documentations prêtes à l’emploi et afin de nous faire économiser des ressources importantes. »
9- Inversement, y a-t-il des éléments qui vous ont manqué, des solutions que vous n'avez pas trouvé dans nos offres ? Comment aurions-nous pu nous améliorer ?
« Lorsqu’on fait du consulting, il y a un risque selon moi, c’est de finir par graviter « hors sol ».
Lorsqu’on fait du consulting, on n’a pas forcément les deux pieds, les deux mains dans le ciment, dans la structure, et nos métiers, nos livrables sont de nature très différente ! Votre métier, c’est d’accompagner. Notre métier, c’est de délivrer.
Je pense que parfois, vous livrez le summum de l’expertise, l’état de l’art, ce qu’il y a de mieux, bien que cela n’ait pas vraiment de réalité opérationnelle chez nous. On le voit par exemple avec les trames documentaires que vous amenez : vous nous proposez ce qu’il y a de mieux, mais nous sommes obligés de réaliser des « coupes » puisque beaucoup d’éléments n’ont pas de réalité opérationnelle dans notre organisation.
Si vous travaillez pour une petite structure, une jeune structure, une start-up ou une toute petite PME, qui veut aller vite et qui n'a aucune culture de ce que sont les systèmes de management : vous seriez parfaits ! Vous pouvez alors leur proposer du clé en main et leur expliquer : « c'est ça qu'il faut mettre en œuvre. ».
Cependant, lorsque le client est une plus grosse structure, et lorsque le client a déjà sa culture d’entreprise, a déjà des grandes équipes, plusieurs départements, etc. : il y a un moment où il faut adapter, parce que les meilleures pratiques ne permettent pas toujours de s’intégrer rapidement à ce que l’organisation a déjà mis en place.
Je pense donc que c’est un élément qu’il ne faut pas le perdre de vue. Évidement que c’est votre mission d’amener le meilleur. Mais je pense aussi que, comme vous avez su le faire, il faut aussi garder à l’esprit que ces meilleures pratiques ont parfois besoin d’être adaptées au contexte des organisations avec lesquelles vous travaillez. »
10- Quel conseil donneriez-vous aux entreprises confrontées aux mêmes défis, faisant face aux mêmes challenges que vous ?
« Le premier conseil que je donnerai est qu’il ne faut en aucun cas sous-estimer le temps et les ressources que consomme la mise en place de ces certifications (je pense à la certification ISO 27001 tout particulièrement, mais c’est également vrai pour toutes les actions de conformité et de sécurité).
Il faut prendre en compte le fait que le maintien en conditions de sécurité et le maintien de conditions opérationnelles, ce sont des investissements considérables !
Je leur recommanderais donc de ne surtout pas sous-estimer les efforts que cela représente, ainsi que les investissements associés.
Se mettre en conformité à l’état de l'art, que ce soit dans le domaine de la sécurité ou de la conformité au RGPD, c’est beaucoup de temps, beaucoup d'argent et des compétences bien spécifiques.
Cette norme a ça de difficile, c'est qu'elle requiert des compétences métiers extrêmement diverses. Cela requiert de mettre tout le monde autour d'une table afin d'apprendre à parler de même langage, et c’est véritablement un exercice en soi ! »
11- Conseilleriez-vous CyberSecura autour de vous ? Pour quelles raisons ?
1- Could you briefly introduce yourself: your company, your position and your responsibilities?
"I'm Mathieu Dreyfus, Group Quality Manager for the Technidata group. The Technidata group is made up of a software publisher, Technidata SA, the parent company, which distributes its software using an indirect sales model. We use a distribution network made up of our subsidiaries and external distributors.
We manufacture, develop, design, validate and release software solutions for managing medical information. We also provide technical support for our products.
Our customers are medical analysis laboratories, and often large, often public, organisations.
Technidata software is used to manage information. From the moment a patient enters an analysis laboratory, we offer the ability to manage the information linked to this patient, the examination requests, the performance of the examinations, we retrieve the results, generate a report, enable the doctor to validate it, and support its availability and/or consultation.
We are present in North America, Europe and Asia.
I'm Quality Manager for the Group. I'm in charge of the company's management system, which is unique in that it combines quality management, traceability (for medical devices) and an information security management system, as we have been ISO 27001 certified since last year."
2- For what type of need did you call on CyberSecura? What was the trigger?
"We called on CyberSecura to help us roll out the requirements of the 2017 version of ISO 27001. We quickly realised how difficult this project would be.
At Technidata, we have 30 years' experience in management systems, from a quality point of view, and with very specific business expertise in quality management and traceability, linked to medical affairs and medical devices.
So we deal quite a lot with the general requirements of a management system. But when we went to work a little more specifically on implementing the controls in Annex A of the ISO 27001 standard, we realised that there were some very specific features, and that the 27001 standard is difficult because it requires quite in-depth expertise in very different core businesses.
You need quality specialists to set up a management system. You need engineers, systems and network administrators and IT managers to manage the infrastructure. You also need to train your software developers, because software development security is a key concern.
So there was a period during the project when we needed an outside perspective, and we were looking for two things. The first was to provide us with expertise in subjects that we were less familiar with, and because cybersecurity is a business in its own right. And the second was to save us time.
One of the things that really struck us about CyberSecura's support was that we were able to move quickly, and in particular because Saghar was able to provide us with document templates that already contained a large number of expectations, and in which we were able to do a bit of shopping around. The frameworks were fairly general, so we were able to adapt them easily to our business, rather than building everything from scratch.
So I'm convinced that we saved a lot of time on this project, because CyberSecura was involved, and Saghar in particular.
So we had this need for standards, this need for certification, but we very quickly realised that we would need help.
I really want to emphasise this point: the ISO 27001 standard includes a number of controls that call on expertise that we don't always have in-house.
And I think that being able to manage in three stages is also one of the great added values of your support.
The first step is to take stock of the situation through an audit. The second step is to make recommendations and provide templates that will enable the work to move forward and be carried out, because it's also up to the customer to do the work. Finally, the third stage involves proofreading to check that everything is consistent and that all the recommendations have been correctly applied.
We found this project phasing very important, and I think it's a real quality of your work. This division was carried out very skilfully, and without the slightest judgement: and that's another quality of a consultant.
A consultant doesn't say that it's a good choice or a bad choice, and that's what I think has also been very winning in the relationship. At times, I sincerely believe that Saghar would have liked to push things further, she would have liked us to go further, and we ended up saying 'no', because we had to reconcile the recommendation we made with our pragmatic, on-the-ground constraints. We had to do a bit of arbitration, or at least take an intermediate position, a position that Saghar respected perfectly, and which she supported!
This was one aspect of the service that really impressed me."
3- Why did you choose to entrust these missions to CyberSecura rather than to someone else?
"I can see two very clear reasons for this.
The first is the proposal that was made: with this breakdown of the project, with the flexibility that is provided, as well as the possibility of dividing the overall service into several billing periods, which were proposed to us. We're not going to lie to ourselves: money is the sinews of war. So we really appreciated your ability to provide support, while invoicing as accurately as possible for each period.
The support was flexible: for example, we were able to take a break when we needed to.
There was a period when Saghar was producing a lot, but our teams weren't able to integrate all these productions, and they couldn't free up enough time to absorb all these elements properly.
At that point, David and Saghar said "Stop, we're taking a break". CyberSecura continued to make progress on other issues that didn't require our involvement, and we were able to resume calmly as soon as we were ready to continue again. I think the flexibility that you are prepared to offer is extremely valuable and should be emphasised.
The second reason why we chose to entrust this mission to you rather than to another service provider is proximity, the fact that you are not far away and that we can meet easily. It's true, we're in 2024, and a lot of things now happen online. However, proximity is something that works, and we very much appreciated this proximity with CyberSecura."
4- Did you have any fears before setting up the project?
"Yes, I think there was at least one, but it's a very technical one.
Internally, some of our staff have been trained in the standards and in security techniques.
Some of our staff have taken ongoing training courses, and have implemented the methodologies recommended by the state of the art. I'm thinking, for example, of the EBIOS-RM method for carrying out ISMS risk analysis.
In the end, the question arose: overall, we unfolded the reference methodology, but in the end, we didn't know what to do with it. In the end, it didn't highlight anything.
The risk analysis of an information security management system is a central piece. In any case, we were a bit apprehensive, thinking that we were stuck with this subject.
In the end, we were able to identify a number of recurring dangerous situations, which seemed to be somewhat similar, but in the end, maybe not. We didn't know how to deal with it all!
I don't know if we can really talk about fear, but in any case it was a concern.
In this context, the fact that we bring in outside expertise is to be applauded, as it helps the principal (i.e. the party seeking certification) enormously to correctly assess where there is risk, where there is less, and what sets of risks we are likely to be able to pool.
So we weren't really worried, but it was a real bonus to be able to rationalise and pool our efforts, which meant that we were able to put the right amount of energy in the right place."
5- In your opinion, what are the challenges facing your business today?
"I can readily identify a central pillar, which is that, as a software publisher, we have a duty to offer our customers the expected state of the art in terms of secure development. We owe it to them to provide the best that the international consensus has to offer in terms of secure development practices. That's our priority. This is an extremely clear need, expressed by all our customers (who, I would remind you, operate in the healthcare sector, a sector that is very hard hit by cyber attacks).
So our responsibility as software publishers is to meet this need and implement best practice in secure software development. So that's the first expectation, the first challenge.
The second major challenge in our sector is to maintain our information system in operational and security conditions. And that can't be invented! To meet this challenge, you need a backup plan that works, an IT recovery plan that works, staff training that works, and documents that work.
Finally, maintaining operational and security conditions is a real job, a real daily challenge. So I would say that this is the second major challenge: guaranteeing compliance and security at any given moment.
And to do that, we need to be able to take an honest look at our own practices, so that we can say "OK, we're certified, that's great. But we all know that here, there and everywhere, we still have room for improvement".
And that's why we're still working with CyberSecura after this security service."
6- How would you describe the work carried out by CyberSecura and its team, in just a few words?
" So first of all, I would say expertise. I would also mention the proximity. We embarked on a rather long service, which was spread out over time. We spoke to each other a lot, and we maintained a certain closeness.
So, once again, expertise, proximity and flexibility. I really liked that! I was able to say to Saghar (and this isn't always easy in a contractual relationship) "Saghar, we can't do it any more, you deliver, you deliver, but we're underwater and we need to slow down".
That's something she was able to hear. This way of adapting to our own timetable while taking into account our operational realities was a real added value of this project!"
7- What are the results of this collaboration?
"The results are great, as we went for the initial certification audit in June. We weren't all completely relaxed about it, but in the end the hard work paid off, as we were certified two months later!
It's a quality control position, but we can quickly say to ourselves "as long as we're not ready, we're not going". Which is a perfectly respectable approach! I even think that it can lead to initial certification without non-conformity.
We had a radically different approach, which was to say "we want certification in 2023, and we're going to get there quickly". We're simply going to make sure that there are no major non-conformities, because those are an obstacle to certification. However, we weren't afraid of the idea of having a few minor non-conformities to correct, because our priority was to get this certification.
So the best result of this collaboration is this certificate, of which we are very proud, and which provides a guarantee of solidity and seriousness to our customers and partners! CyberSecura took us where we wanted to go: towards ISO 27001 certification by 2023."
8- What did you appreciate the most in the solution provided by CyberSecura?
"I'd say the optimisation of the resources we used internally. We really appreciated the fact that Saghar (and therefore CyberSecura) were able to provide turnkey documentation.
But be warned, turnkey solutions are dangerous, they don't suit anyone, it's a bit like the story of the one-size-fits-all garment. It looks great, but it doesn't really fit anyone.
However, because you were able to provide us with a number of ready-to-use documents that just needed to be adapted, we saved a considerable amount of time. ISO 27001 certification consumes a staggering amount of resources: human and material resources, investment and infrastructure modernisation.
And when you see what security costs, we're happy to say that every euro invested brings the right level of return.
So that's one thing we particularly appreciated: the ability to offer us ready-to-use documentation that saves us significant resources. "
9- Conversely, were there any elements that you missed, any solutions that you didn't find in our offerings? How could we have improved?
"When you're in consulting, there's a risk, in my opinion, that you end up gravitating "off the ground".
When you're doing consulting, you don't necessarily have both feet and both hands in the cement, in the structure, and our businesses and our deliverables are very different in nature! Your job is to provide support. Our job is to deliver.
I think that sometimes you deliver the ultimate in expertise, the state of the art, the best there is, even though it doesn't really have an operational reality for us.
We can see this, for example, with the document templates you provide: you offer us the very best, but we are obliged to make 'cuts' because many of the elements have no operational reality in our organisation.
If you work for a small organisation, a young organisation, a start-up or a very small SME, which wants to move fast and has no culture of what management systems are: you'd be perfect! You can then offer them a turnkey solution and explain to them: "this is what we need to implement.
However, when the customer is a larger organisation, and when the customer already has its own corporate culture, large teams, several departments, etc., there comes a time when you have to adapt, because best practice does not always allow you to integrate quickly into what the organisation has already put in place. There comes a time when you have to adapt, because best practice doesn't always fit in quickly with what the organisation already has in place.
So I think that's something you have to keep in mind. Of course it's your job to bring out the best. But I also think that, as you have done, you need to bear in mind that these best practices sometimes need to be adapted to the context of the organisations you work with."
10- What advice would you give to companies facing the same problem / having the same project as you?
"The first piece of advice I'd give is that you should never underestimate the time and resources involved in setting up these certifications (I'm thinking of ISO 27001 certification in particular, but this is also true for all compliance and security initiatives).
You have to bear in mind that maintaining security and operational conditions is a considerable investment!
I would therefore advise them not to underestimate the effort involved, and the associated investment.
Complying with the state of the art, whether in the field of security or GDPR compliance, takes a lot of time, a lot of money and very specific skills.
The difficult thing about this standard is that it requires extremely diverse business skills. It means getting everyone around the table to learn to speak the same language, and that's a real exercise in itself!"
11- Would you recommend CyberSecura to others? Yes / No, for what reason(s)?
"Yes, absolutely, and because it's a great team of people, all as nice as each other. The exchanges with David and Saghar have always been very fluid and pleasant.
Saghar came to our offices several times, met our teams and it always worked very well.
The main reasons why I would recommend CyberSecura are the quality of the support, the adaptability, the ease and the expertise.
I would recommend you because you bring indisputable expertise, while taking into account what your customer expects in terms of its own context, while being ready to adapt to it."
All CyberSecura's team thanks Mathieu Dreyfus for his testimonial!
If necessary, we can put you in touch with a Technidata representative so that you can ask all your questions about our services.