CLIENT TESTIMONIAL
Cédric Foellmi,
VP Engineering at ASELTA Nanographics
"They were never stingy with explanations, and that's important because these are issues that we only partially master. I really appreciated this educational aspect, which at each stage, allowed us not only to do but also to understand what was going on."
1- Pourriez-vous vous présenter brièvement : votre entreprise, votre poste, vos responsabilités ?
“Je suis Cédric Foellmi, Directeur Engineering chez ASELTA Nanographics. ASELTA est une PME de 30 personnes, spin-off du CEA, qui existe depuis plus de 10 ans maintenant. Nous faisons des logiciels extrêmement spécifiques pour les fabricants de puces et de masques lithographiques qui serviront à faire des puces.
Pour ma part, j’ai la responsabilité de l’équipe de développement, qui comprend environ 12-13 personnes, et mon rôle est d’organiser le développement. J’accorde beaucoup d’importance au ‘Continuous Delivery’, c’est-à-dire à notre capacité à délivrer du logiciel tout le temps, de manière fiable. Pour cela nous organisons beaucoup d’automatisation, des tests, nous avons en interne une petite équipe qui fait des campagnes dédiées de tests haut niveau. Je suis donc chargé d’organiser tout ça, les releases, le développement, les priorités dans le développement, etc.”
2- Pour quel type de besoin avez-vous fait appel à CyberSecura ? Quel a été le déclencheur ?
“Nous avons entrepris une démarche de levée de fonds il y a plusieurs mois déjà, car ASELTA a besoin de continuer à grandir et à se développer. Dans le cadre d’une levée de fonds, il est nécessaire de pouvoir prouver une certaines qualité d’infrastructure : nous avions donc un besoin d‘audit de sécurité.
Il est important de préciser que ASELTA fait du calcul intensif (HPC, pour High Performance Computing). Nous avons une petite ferme de calcul, et des données clients extrêmement sensibles qui doivent être protégées. Nous avons donc une infrastructure qui, pour des raisons de sécurité et de confidentialité, ne peut pas être sur le Cloud. Nous avons une infrastructure conséquente pour une PME de cette taille, et c’est cette infrastructure, clé pour le fonctionnement de ASELTA, qui a été auditée par CyberSecura.”
3- Pour quelles raisons avez-vous fait le choix de confier ces missions à CyberSecura plutôt qu’à quelqu’un d’autre ?
“Je connaissais un petit peu CyberSecura. J’ai eu l’occasion de travailler dans différents contextes, et j’ai croisé David Rozier, avec qui je suis resté en contact via LinkedIn. Quand nous avons cherché à quel prestataire confier cette mission, j’ai pensé qu’il valait mieux se tourner vers quelqu’un que je connaissais, et qui fasse partie du tissu grenoblois”.
4- Aviez-vous des craintes avant la mise en place du projet ?
“Oui bien sûr, et c’est d’ailleurs pour travailler sur ces craintes là que nous avons fait appel à CyberSecura. Notre principale crainte était de découvrir des choses que nous avions oublié, ou pas suffisamment bien considéré, alors même que le processus de levée de fonds avait commencé. Malgré tout, nous préférions connaitre la situation telle qu’elle était afin de pouvoir agir dessus plutôt que de fermer les yeux, et c’est pour cela que nous avons fait appel à CyberSecura, pour travailler sur cette crainte là, et pour nous rassurer quant à la sécurité de notre organisation.
Nous avions également la crainte de découvrir l’ampleur des correctifs à appliquer, en termes d’utilisation de ressources, de temps ou d’argent. Nous avancions vraiment dans l’inconnu.
Nos craintes étaient donc plutôt liées au résultat de l’audit, plus qu’au déroulement en lui-même.”
5- Quels sont les défis à relever aujourd’hui dans votre activité ?
“Les logiciels que nous fabriquons ont la particularité d’être utilisés dans des environnements extra sécurisés, qui ne communiquent pas avec l’extérieur. Les défis ne concernent ainsi pas directement le logiciel que l’on fabrique, même si ce dernier doit tout de même faire preuve de certaines qualités, en termes de performance, de conception etc.
Mais dans la mesure où ce logiciel n’est pas et ne sera jamais connecté à l’extérieur, il n’a pas besoin d’être aussi sécurisé que notre infrastructure en a besoin.
Par contre, en interne, les enjeux sur l’infrastructure que nous utilisons sont divers : il y a tout d’abord les attaques potentielles auxquels nous devons pouvoir faire face, puisqu’il est tout à fait possible que nous faisions l’objet d’attaque d’espionnage industriel par exemple. De plus, nous pouvons également mentionner l’enjeu de la confidentialité des données, puisque nos clients nous confient des données parfois sensibles, des données qui représentent leur propriété intellectuelle : il est donc primordial que ces informations ne puissent pas fuiter vers l’extérieur.”
6- Comment décririez-vous le travail de CyberSecura en quelques mots seulement ?
“Je dirais ‘pédagogue’. C’est vraiment la qualité que je retiens, aussi bien de la part de Saghar, de David que des autres consultants. Ils n’ont jamais été avares d’explications, et c’est important car ce sont des enjeux qu’on ne maitrise que partiellement. J’ai beaucoup apprécié cet aspect pédagogique, qui à chaque étape, nous permettait non seulement de faire mais aussi de comprendre ce qu'il se passait.”
7- Quels sont les résultats de cette collaboration ?
“Alors je parlerai de deux résultats.
Le premier résultat, c’est l’obtention d’un audit officiel qu’on a pu inclure dans la data room pour la levée de fonds. Cela a nécessité un vrai travail itératif : tout ne s’est pas fait du premier coup. CyberSecura nous a fournit un premier résultat purement technique, en identifiant certaines failles critiques à corriger avant de faire le rapport final.
Et c’est là le deuxième résultat : ce rapport final technique réalisé par CyberSecura, rapport qui nous sert de feuille de route, avec une liste détaillée des correctifs à mettre en place.
Le premier résultat est donc l’audit officiel qui nous était indispensable dans le cadre de notre levée de fonds, et le second résultat que je mentionnerai est le rapport technique de l’audit, qui nous permet de continuer à avancer sur ces enjeux de cybersécurité et de protection des données en interne.”
8- Quels éléments avez-vous le plus apprécié dans la solution apportée par CyberSecura ?
“Les éléments que nous avons le plus apprécié ont été la pédagogie des équipes, le fait que l’entreprise soit du bassin grenoblois, et la réactivité des équipes. Comme toute startup qui cherche à lever des fonds, nous avons eu besoin parfois d’avancer assez vite sur certains sujets, et CyberSecura a toujours été à l’écoute et très réactif. C’est parfois clé pour permettre à la startup d’être en bonne position au bon moment.”
9- Quel(s) conseil(s) donneriez vous aux entreprises confrontées au même problème / ayant le même projet que vous ?
“Je leur conseillerais de ne jamais sous-estimer l’importance de la cybersécurité et de la protection des données. Tout le monde sait que c’est important, mais tout le monde n’agit pas forcément en conséquence, ce qui est très dommage, car pour un budget tout à fait raisonnable il est possible d'initier une démarche.
CyberSecura sait aussi s’adapter, dans ce monde du logiciel, où tout est itératif. On peut alors avoir cette démarche itérative, qui s’intègre parfaitement dans le travail quotidien des organisations. C’est quelque chose dont on ne se rend pas compte, mais il est vraiment nécessaire d’intégrer ces aspects de gouvernance de la sécurité aux posts de développeurs.
Je leur conseillerais donc d’intégrer cette démarche de cybersécurité dans la démarche d’amélioration continue de leur entreprise ou organisation.”
10- Conseilleriez-vous CyberSecura autour de vous ? Pour quelle(s) raison(s) ?
1- Could you briefly introduce yourself : your company, your position, your responsibilities?
"I am Cédric Foellmi, Engineering Director at ASELTA Nanographics. ASELTA is an SME of 30 people, a spin-off of the CEA, which has been in existence for more than 10 years now. We make extremely specific software for chip manufacturers and lithographic masks that will be used to make chips.
For my part, I am responsible for the development team, which consists of about 12-13 people, and my role is to organise the development. I attach a lot of importance to 'Continuous Delivery', i.e. our ability to deliver software all the time, reliably. To achieve this, we organise a lot of automation and testing, and we have a small internal team that carries out dedicated high-level testing campaigns. So I'm in charge of organising all that, the releases, the development, the priorities in the development, etc."
2- For what type of need did you call upon CyberSecura? What was the trigger?
"We started fundraising several months ago because ASELTA needs to continue to grow and develop. In the context of fundraising, it is necessary to be able to prove a certain quality of infrastructure: we therefore needed a security audit.
It is important to specify that ASELTA does High Performance Computing (HPC). We have a small computing farm, and extremely sensitive customer data that needs to be protected. We therefore have an infrastructure which, for reasons of security and confidentiality, cannot be in the cloud. We have a substantial infrastructure for an SME of this size, and it is this infrastructure, which is key to ASELTA's operation, that was audited by CyberSecura."
3- Why did you choose to entrust these missions to CyberSecura rather than to someone else?
"I knew a little bit about CyberSecura. I had the opportunity to work in different contexts, and I came across David Rozier, with whom I kept in touch via LinkedIn. When we were looking for a service provider for this mission, I thought it would be better to turn to someone I knew, and who was part of the Grenoble fabric."
4- Did you have any fears before the project was set up?
"Yes, of course, and it was to work on these fears that we called in CyberSecura. Our main fear was that we would discover things that we had forgotten, or not considered well enough, even though the fundraising process had begun. However, we preferred to know the situation as it was so that we could act on it rather than turn a blind eye.
That's why we turned to CyberSecura, to work on that fear and to reassure us about the security of our organisation.
We were also afraid of discovering the extent of the patches to be applied, in terms of use of resources, time or money. We were really moving into the unknown.
So our fears were more related to the outcome of the audit, rather than the process itself."
5- What are the challenges in your business today?
"The software we make has the particularity of being used in extra-secure environments, which do not communicate with the outside world. The challenges do not directly concern the software that we make, even though it must still demonstrate certain qualities, in terms of performance, design, etc.
But since this software is not and will never be connected to the outside world, it does not need to be as secure as our infrastructure needs to be.
On the other hand, internally, the stakes on the infrastructure we use are various: first of all, there are the potential attacks we have to be able to face, since it is quite possible that we are subject to industrial espionage attacks for example. In addition, we can also mention the issue of data confidentiality, since our customers entrust us with data that is sometimes sensitive, data that represents their intellectual property: it is therefore essential that this information cannot leak to the outside world."
6- How would you describe the work of CyberSecura, its team, in just a few words?
"I would say 'educational'. That's the quality I really remember, both from Saghar, David and the other consultants. They were never stingy with explanations, and that's important because these are issues that we only partially master. I really appreciated this educational aspect, which at each stage, allowed us not only to do but also to understand what was going on."
7- What are the results of this collaboration?
"So I'll talk about two results.
The first result is that we obtained an official audit that we were able to include in the data room for the fundraising. This required real iterative work: not everything was done at once. CyberSecura provided us with a first purely technical result, identifying certain critical flaws to be corrected before making the final report.
And this is the second result: this final technical report produced by CyberSecura, which serves as a roadmap for us, with a detailed list of fixes to be put in place.
So the first result is the official audit that was essential for us in the context of our fundraising, and the second result that I will mention is the technical report of the audit, which allows us to continue to move forward on these cybersecurity and data protection issues internally."
8- What did you like most about CyberSecura's solution?
"The elements that we appreciated most were the teams' pedagogy, the fact that the company is based in the Grenoble area, and the teams' responsiveness. Like any startup looking to raise funds, we sometimes needed to move forward quite quickly on certain subjects, and CyberSecura was always ready to listen and very reactive. This is sometimes key to getting the startup in the right position at the right time."
9- What advice would you give to organisations facing the same challenge as you?
"I would advise them never to underestimate the importance of cyber security and data protection. Everyone knows it's important, but not everyone acts on it, which is a great shame, because for a very reasonable budget it is possible to get started.
CyberSecura also knows how to adapt, in this software world, where everything is iterative. We can then have this iterative approach, which is perfectly integrated into the daily work of organisations. It's something you don't realise, but it's really necessary to integrate these security governance aspects into the developers' posts.
So I would advise them to make this cybersecurity approach part of their company or organisation's continuous improvement approach."
10- Would you recommend CyberSecura to others? For what reason(s)?
"Yes, for the reasons mentioned: it is a Grenoble-based company, there are many companies in Grenoble specialising in software, for whom cybersecurity issues are crucial. So I would recommend CyberSecura for their pedagogy, as well as for this iterative way of working."
All CyberSecura's team thanks Cédric Foellmi for his testimonial!
If necessary, we can put you in touch with a ASELTA Nanographics representative so that you can ask all your questions about our services.