CLIENT
TESTIMONIAL
Denis Chincholle, Head of Information Systems, Town of Vif
"It is essentially the personalisation of the response that we appreciated. CyberSecura understood that as a local authority we have specific problems and that the means had to be adapted to our budgets, our organisation and our way of working [...]. We really felt like we were talking as equals, which is very interesting and we feel understood and heard."
1- Pourriez-vous vous présenter brièvement : votre entreprise, votre poste, vos responsabilités ?
"Je suis Denis Chincholle, responsable depuis 13 ans des systèmes d’informations de la mairie de Vif, établissement public communal. La commune compte 8 400 habitants, et nous gérons les données d’environ 200 utilisateurs."
2- Pour quel type de besoin avez-vous fait appel à CyberSecura ? Quel a été le déclencheur ?
"Nous avons subi une attaque de crypto-locker sur l’un des postes de travail de la collectivité (un serveur a également été impacté). Dans la mesure où nous traitons de nombreuses données personnelles, nous avons fait appel à la société CyberSecura afin qu’ils réalisent un audit de notre système d’information.
Suite à cet audit, la collectivité a décidé de se faire accompagner pendant 3 ans par l’équipe de CyberSecura afin de renforcer notre sécurité digitale."
3- Pour quelles raisons avez-vous fait le choix de confier ces missions à CyberSecura plutôt qu’à quelqu’un d’autre ?
"Ce choix tient essentiellement à la proximité : proximité géographique, mais aussi humaine.
En effet Grenoble et Vif sont deux communes voisines, il était donc plus simple pour nous de contracter avec CyberSecura.
Mais les aspects “petite structure”, et cette proximité humaine nous ont également beaucoup plu : nous n’avons pas le sentiment d’être un simple numéro chez CyberSecura, comme cela peut être le cas dans des structures beaucoup plus importantes.
C’est finalement ces aspects qui nous ont poussé à choisir CyberSecura pour cet accompagnement.
​
Dans la mesure où nous sommes satisfaits du travail réalisé, nous souhaitons reconduire notre engagement initial de trois ans pour trois ans supplémentaires. Cette décision sera donc débattue fin 2021."
4- Aviez-vous des craintes avant la mise en place du projet ?
"Nous n’avions pas de craintes particulières à signer un contrat avec CyberSecura.
Cependant, certains doutes ont été exprimés en interne, concernant les conclusions de l’audit. En effet, avant l’audit, nous avions déjà pris conscience de certains points faibles et nous avions anticipé que plusieurs changements et adaptations seraient nécessaires.
Ce que nous avons donc surtout craint ce sont plus les conséquences humaines mais également financières de l’audit plus que l’audit lui-même."
5- Quels sont les défis à relever aujourd’hui dans votre activité ?
"Le principal enjeu, pour nombres de collectivités et même d’entreprises, est la conduite du changement dans les modes d’organisation.
Il est primordial d’intégrer la sécurité dans la conduite des opérations dès la genèse d’un projet afin qu’elle s’intègre de manière la plus naturelle possible.
Il est souvent acquis dans les pratiques communes que lors d’un entretien physique entre deux personnes, les échanges doivent pouvoir se faire en toute confidentialité. En revanche, on a tendance à oublier que lorsqu’on travaille, cela doit également rester confidentiel.
Il est indispensable d’avoir de bonnes infrastructures, mais par-dessus tout, de bonnes pratiques. Les utilisateurs doivent savoir utiliser ces infrastructures mises à disposition par la collectivité de façon correcte, et en respectant les procédures en place.
​
C’est selon moi l’élément le plus challengeant."
6- Comment décririez-vous le travail de CyberSecura, son équipe, en quelques mots seulement ?
"Je dirais accompagnement, bienveillance, et expertise."
7- Quels sont les résultats de cette collaboration ?
"Nous n’avons pas été attaqués à nouveau par un ou plusieurs crypto-lockers mais nous sommes bien conscients qu’aucune sécurité n’est parfaite et il est probable qu’un jour nous découvrions une nouvelle faille laissant apparaitre un risque grave pour les données des usagers.
L’important est cependant que tous les collaborateurs prennent conscience de ce risque, qu’ils réalisent que la collectivité gère des données personnelles ne lui appartenant pas et qu’ils se rendent compte de l’importance de la confidentialité.
​
En ce qui concerne les résultats de cette collaboration, de nombreux points ont été améliorés du point de vue de la sécurisation des réseaux. Nous avons aujourd’hui la conviction que les données traitées sont mieux sécurisées qu’avant l’intervention de CyberSecura il y a deux ans.
C’est la raison pour laquelle nous souhaitons prolonger cette collaboration car la cybersécurité est un travail de longue haleine, qui nécessite beaucoup de temps."
8- Quels éléments avez-vous le plus apprécié dans la solution apportée par CyberSecura ?
"C’est essentiellement la personnalisation de la réponse que nous avons appréciée.
CyberSecura a bien compris qu’en tant que collectivité nous avons des problématiques spécifiques et que les moyens devaient être adaptés à nos budgets, notre organisation et à nos façons de travailler (bien que ces dernières doivent évoluer).
​
Nous avons particulièrement apprécié le fait d’échanger avec des gens en capacité de s’adapter. L’équipe de CyberSecura ne nous a pas parlé de cryptographie de haut niveau bien qu’ils en soient capables, car ils ont immédiatement compris que notre besoin n’était pas là. Nous avons réellement eu l’impression de parler d’égal à égal, ce qui est très intéressant et nous avons le sentiment d’être compris et entendus."
9- Quel conseil donneriez-vous aux organisations confrontées au même challenge que vous ?
"J’aurais trois conseils à donner : la sensibilisation des collaborateurs, la mise en place d’un socle technique opérationnel et performant et l’intégration de la sécurité dans les nouveaux projets.
​
La sensibilisation des collaborateurs est un point primordial. Il est indispensable de mettre en place un plan de formation efficace, adapté aux différentes fonctions et secteurs d’activité mais aussi aux besoins du personnel.
Il est nécessaire de savoir d’où l’on part : l’audit du système d’informations de départ est vraiment capital et doit permettre de se fixer des macro-objectifs (dans six mois avoir atteint tel objectif, dans un an atteint tel objectif…).
​
Il est important d’intégrer les aspects de cybersécurité dans les nouveaux projets, lors d’achat de nouveaux logiciels, par exemple. Cela peut parfois représenter une difficulté car nous sommes un service support informatique. Nous travaillons donc pour d’autres services, ayant surtout une volonté de production.
Par exemple, les services techniques veulent produire des projets de construction, de rénovation ; l’urbanisme a quant à lui besoin de traiter des dossiers, de fait la cybersécurité n’est pas leur principale problématique.
Pourtant, lorsqu’on intègre un nouveau processus il faut le faire de manière “cybersécurité compatible”, et c’est une obligation qui peut être contraignante. Cependant, c’est une étape indispensable, il vaut mieux prévenir que guérir. Un projet ayant intégré de la cybersécurité dès le début sera beaucoup plus facile à sécuriser lors de la phase opérationnelle."
10- Conseilleriez-vous CyberSecura autour de vous ? Pour quelle(s) raison(s) ?
1- Could you briefly introduce yourself: your company, your position, your responsibilities?
"I am Denis Chincholle, who has been in charge of the information systems of the town of Vif, a municipal public institution, for 13 years. The commune has 8,400 inhabitants, and we manage the data of about 200 users."
​​
​​​
2- For what type of need did you call upon CyberSecura? What was the trigger?
"We suffered a crypto-locker attack on one of the community's workstations (a server was also affected). As we process a lot of personal data, we called on CyberSecura to carry out an audit of our information system.
Following this audit, the local authority decided to be accompanied for 3 years by the CyberSecura team in order to reinforce our digital security."
​
​​​
​​
3- Why did you choose to entrust these missions to CyberSecura rather than to someone else?
"This choice was essentially based on proximity: geographical proximity, but also human proximity.
Grenoble and Vif are two neighbouring towns, so it was easier for us to contract with CyberSecura.
But we also liked the "small structure" aspect and this human proximity: we don't have the feeling of being just a number at CyberSecura, as it can be the case in much larger structures.
It is finally these aspects that pushed us to choose CyberSecura for this support.
As we are satisfied with the work done, we would like to extend our initial three-year commitment for another three years. This decision will therefore be discussed at the end of 2021."
​
​
​​​
4- Did you have any fears before the project was set up?
"We did not have any particular concerns about signing a contract with CyberSecura.
However, some doubts were expressed internally, concerning the conclusions of the audit. Indeed, before the audit, we were already aware of certain weak points and we had anticipated that several changes and adaptations would be necessary.
What we feared most were the human and financial consequences of the audit rather than the audit itself."
​
​​​
​​
5- What are the challenges in your business today?
"The main challenge, for many local authorities and even companies, is the management of change in organisational methods.
It is essential to integrate safety into the management of operations from the very beginning of a project so that it becomes as natural as possible.
It is often accepted in common practice that during a physical meeting between two people, exchanges must be completely confidential. On the other hand, we tend to forget that when we are working, it should also be confidential.
Good infrastructure is essential, but above all, good practice. Users must know how to use the infrastructure provided by the community in a correct way, and in accordance with the procedures in place.
This is the most challenging element in my opinion."
​​​
​​
​​
6- How would you describe the work of CyberSecura, its team, in just a few words?
"I would say support, caring, and expertise."
​
​
​​​
7- What are the results of this collaboration?
"We have not been attacked again by one or more crypto-lockers, but we are well aware that no security is perfect and it is likely that one day we will discover a new flaw that poses a serious risk to users' data.
What is important is that all employees are aware of this risk, that they realise that the community is managing personal data that does not belong to it and that they realise the importance of confidentiality.
As far as the results of this collaboration are concerned, many points have been improved in terms of network security. We are now convinced that the data processed is more secure than before CyberSecura's intervention two years ago.
This is why we want to continue this cooperation, because cyber security is a long-term task that takes a lot of time."
​
​​​
​
8- What did you like most about the CyberSecura solution?
"It is essentially the customization of the response that we appreciated.
CyberSecura understood that as a local authority we have specific problems and that the means had to be adapted to our budgets, our organisation and our ways of working (although these must evolve).
We particularly appreciated the fact that we were talking to people who were able to adapt. The CyberSecura team did not talk to us about high-level cryptography, although they were capable of doing so, as they immediately understood that this was not what we needed. We really felt like we were talking as equals, which is very interesting and we feel like we were understood and heard."
​
​​​
​
9- What advice would you give to organisations facing the same challenge as you?
"I would give three pieces of advice: raise awareness among employees, set up an operational and efficient technical base and integrate security into new projects.
Employee awareness is a key point. It is essential to put in place an effective training plan, adapted to the different functions and sectors of activity, but also to the needs of the personnel.
It is necessary to know where we are starting from: the audit of the initial information system is really crucial and should enable macro-objectives to be set (in six months' time having achieved such and such an objective, in one year's time having achieved such and such an objective, etc.).
It is important to integrate cybersecurity aspects into new projects, when purchasing new software, for example. This can sometimes be a problem because we are an IT support service. We therefore work for other departments, which are mainly concerned with production.
For example, the technical services want to produce construction and renovation projects; the town planning department needs to process files, so cybersecurity is not their main problem.
However, when a new process is integrated, it must be done in a "cybersecurity compatible" way, and this is an obligation that can be restrictive. However, it is an essential step, and prevention is better than cure. A project that has integrated cybersecurity from the start will be much easier to secure during the operational phase."
​​
​
10- Would you recommend CyberSecura to others? For what reason(s)?
"Yes, and I have already done so. I have been contacted by other communities who have asked me who I was working with on this topic. They were very interested in CyberSecura's approach and some of them intend to contact CyberSecura for auditing or support services in cybersecurity. I will gladly continue to recommend CyberSecura to others."
If necessary, we can put you in touch with a town of Vif representative so that you can ask all your questions about our services.