TÉMOIGNAGE CLIENT

1- Pourriez-vous vous présenter brièvement : votre entreprise, votre poste et vos responsabilités ?

​

« Je suis Mathieu Dreyfus, j'occupe le poste de la Responsable Qualité Groupe pour le groupe Technidata. Le groupe Technidata est composé d'un éditeur de logiciels, Technidata SA, la maison mère, qui distribue ses logiciels sur un modèle de vente indirecte. Nous passons ainsi par un réseau de distribution, composé par nos filiales, ainsi que par des distributeurs externes. 

 

Nous fabriquons, nous développons, nous concevons, nous validons, et nous libérons des solutions logicielles destinés à la gestion d'informations médicales. Nous assurons également du support technique de nos produits. 

 

Nos clients sont des laboratoires d'analyses médicales, et souvent de grosses structures, souvent publiques

Les logiciels Technidata servent donc à gérer de l'information. À partir du moment où un patient entre dans un laboratoire d'analyses, nous allons offrir la capacité de gérer les informations liées à ce patient, les demandes d'examen, la réalisation des examens, nous allons récupérer les résultats, générer un compte-rendu, permettre au médecin de le valider, et accompagner sa mise à disposition et / ou sa consultation.

 

Nous sommes présents en Amérique du Nord, en Europe et en Asie.

 

Pour ma part, j'ai la fonction de Responsable Qualité pour le groupe. J’ai ainsi la charge du système de management de l’entreprise, système de management qui a la particularité de mélanger management de la qualité, de la traçabilité (pour les dispositifs médicaux) ainsi qu’un système de management de la sécurité de l'information, puisque nous sommes certifiés ISO 27001 depuis l'année dernière. » 

​

​

​

2- Pour quel type de besoin avez-vous fait appel à CyberSecura ? Quel a été le déclencheur ?

« Nous avons fait appel à CyberSecura dans le contexte d'un déploiement des exigences de la norme ISO 27001 dans sa version 2017. Nous avons rapidement pris conscience de la difficulté de ce projet. 

​

Chez Technidata, nous avons 30 ans d’expérience sur les systèmes de management, d'un point de vue assez qualiticien, et avec une expertise métier très particulière qu'est le management de la qualité, de la traçabilité, en lien avec les affaires médicales, avec les dispositifs médicaux.

​

Nous nous occupons donc pas mal de tout ce qui concerne les exigences générales d'un système de management. Mais lorsque nous sommes allés un peu plus spécifiquement mettre en œuvre les contrôles de l'annexe A de la norme ISO 27001, là, nous nous sommes aperçus qu'il y avait tout de même des spécificités bien particulières, et que cette norme 27001, elle a ceci de difficile qu'elle appelle des expertises métier assez profondes, et dans des coeurs de métier très différents.

​

Il faut des qualiticiens, pour faire un système de management. Il faut des ingénieurs, des administrateurs systèmes et réseaux et de la DSI, pour gérer l’infrastructure. Il faut aussi former ses développeurs de logiciels, et parce que la sécurité du développement logiciel est une préoccupation centrale.

Il y a donc eu une période de la conduite de ce projet où nous avons eu besoin d'un regard extérieur, dont on attendait deux choses.

La première, c’était de nous apporter une expertise sur ces sujets qu'on maîtrisait moins bien, et parce que la cybersécurité est un métier à part entière. 
Et la seconde, c’était de nous faire gagner du temps. 

​

En effet, il y a une chose qui nous a beaucoup frappé dans l'accompagnement CyberSecura, c'est que nous avons pu aller vite, et en particulier parce que Saghar a su nous fournir des trames documentaires qui contenaient déjà un grand nombre d’attendus, et dans lesquelles nous avons pu faire un peu notre marché. Les trames étaient assez générales, et nous avons ainsi pu les adapter facilement à notre métier, et plutôt que de tout construire depuis zéro.

​

Je suis donc convaincu que nous avons gagné beaucoup de temps dans ce projet, parce que CyberSecura est intervenu, et Saghar tout particulièrement.

​

Nous avions donc ce besoin normatif, ce besoin de certification, mais avons très vite réalisé que nous aurions besoin d’être aidés.

​

J'insiste vraiment sur cette notion-là : il y a quand même dans la norme ISO 27001 un certain nombre de contrôles qui font appel à des expertises qu'on n'a pas toujours, en interne. 

​

Et je pense que c'est aussi une des grandes plus-values de votre accompagnement, que d'être en mesure d'avoir une gestion en trois temps. Premier temps, faire un état des lieux au travers d’un audit. Deuxième temps, faire des recommandations et fournir des templates qui permettent d’avancer et d’effectuer le travail, parce que c'est quand même bien aussi au client de faire le travail. Enfin, troisième temps, faire une relecture afin de vérifier que l'ensemble est cohérent, et que toutes les recommandations ont été correctement appliquées. 

​

Nous avons trouvé ce phasage de projet très important, et je pense que c'est une vraie qualité de votre travail. Ce découpage a été conduit très habilement, et par ailleurs, sans poser le moindre jugement : et c’est aussi ce qui fait la qualité d'un consultant. Un consultant ne dit pas que c'est un bon choix ou un mauvais choix, et c’est ce qui a été aussi, je pense, très gagnant dans la relation.

 

Par moment, je pense très sincèrement que Saghar aurait souhaité pousser les choses, elle aurait voulu qu’on aille plus loin, et nous avons fini par dire « non », car nous devions réconcilier la recommandation formulée avec nos contraintes pragmatiques, de terrain. Nous avons dû faire un peu d’arbitrage, en tout cas prendre une position intermédiaire, position que Saghar a parfaitement respecté, et qu’elle a accompagné ! C’est un élément de la prestation qui m’a beaucoup marqué. »
 

​

​

3- Pour quelles raisons avez-vous fait le choix de confier ces missions à CyberSecura plutôt qu’à quelqu’un d’autre ?

​

« J’identifie très nettement deux raisons.

​

La première, c'est la proposition qui a été faite : avec ce découpage du projet, avec la flexibilité qui est apportée, ainsi que la possibilité de découper la prestation globale en plusieurs périodes de facturation, qui nous ont été proposés. Nous n’allons pas nous mentir, l'argent, c'est le nerf de la guerre. Nous avons donc vraiment apprécié votre capacité à accompagner, tout en facturant au plus juste ce qui était consommé, par période.

​

L’accompagnement était flexible : nous avons par exemple été en mesure de faire une pause lorsque nous en avons eu besoin. En effet, il y a eu une période durant laquelle Saghar produisait beaucoup, mais nos équipes n’arrivaient pas à intégrer toutes ces productions, elles n’arrivaient pas à se libérer suffisamment de temps pour absorber tous ces éléments correctement. 

​

À ce moment-là, David et Saghar ont alors dit « Stop, on fait une pause ». CyberSecura a continué à avancer sur d’autres éléments qui ne nécessitaient pas notre implication, et nous avons pu reprendre sereinement, dès que nous étions de nouveau prêts à poursuivre. Cette flexibilité que vous êtes prêts à offrir, je pense qu'elle a énormément de valeur et qu’il faut le souligner. 

 

La deuxième raison pour laquelle nous avons choisi de vous confier cette mission plutôt qu’à un autre prestataire, c'est la proximité, le fait que vous ne soyez pas loin, que nous puissions nous rencontrer facilement. C’est vrai, nous sommes en 2024, et beaucoup de choses se passent désormais en ligne. Cependant, la proximité est quelque chose qui marche, et nous avons beaucoup apprécié cette proximité avec CyberSecura. »

​

​

​

4- Aviez-vous des craintes avant la mise en place du projet ?

​

« Oui, je pense qu'il y en avait au moins une, mais elle est très technique.

​

En interne, certains de nos collaborateurs ont été formés sur le référentiel, et sur les techniques de sécurité. Certains collaborateurs ont donc suivi des formations en continu, ils ont mis en œuvre des méthodologies préconisées par l'état de l’art. Je pense par exemple à la méthode EBIOS-RM pour faire de l'analyse de risques sur le SMSI. 

​

Finalement la question s’est posée : globalement, nous avons déplié la méthodologie de référence, mais à la fin, nous ne savions plus quoi en faire. Finalement, ça ne mettait rien en évidence. 

​

L'analyse de risque d’un système de management de la sécurité de l’information est un morceau central. C'était en tout cas un peu l’appréhension, de se dire que nous étions coincés avec ce sujet-là. 

Finalement, nous avons été est capables d’identifier de nombreuses situations dangereuses qui se répétaient, qui semblaient être un petit peu toutes similaires, mais finalement, peut-être pas. Nous ne savions pas comment traiter tout cela !

​

Je ne sais pas si on peut vraiment parler de crainte, en tout cas c’était une préoccupation.
Dans ce cadre-là, il faut saluer le fait d'amener une expertise extérieure, ce qui aide énormément le mandant (soit celui qui poursuit une certification) à apprécier correctement où est-ce qu’il y a du risque, où est-ce qu'il y en a moins, et quelles sont les ensembles de risques que nous sommes susceptibles de mutualiser. 

 

Nous n’avions donc pas de crainte à proprement parler, mais cela a été un vrai plus que d’être en mesure d’amener cet effort de rationalisation et de mutualisation, qui a fait que nous avons été en mesure de mettre la bonne quantité d'énergie au bon endroit. »

​

​

​

5- Quels sont les principaux défis à relever aujourd'hui dans votre secteur d'activité ?

​

« J’identifie très spontanément un pilier central, qui est que, en notre qualité d’éditeur de logiciels, nous nous devons d'offrir à nos clients l'état de l'art attendu en termes de développement sécurisé. Nous nous devons de leur fournir ce qu'on fait de mieux dans le consensus international, en termes de pratiques de développement sécurisé. Ça, c’est notre priorité. Il s’agit d’un besoin extrêmement clair, et formulé par l'ensemble de nos clients (qui je le rappelle, agissent dans le secteur de la santé, un secteur très touché par les cyberattaques).

​

Ainsi, notre responsabilité d'éditeurs est d’être au rendez-vous, et de mettre en place les bonnes pratiques de développement logiciel sécurisé. C’est donc le premier attendu, le premier défi. 

​

Le second grand défi dans notre secteur d’activité, c’est de maintenir notre système d'information en conditions opérationnelles et de sécurité. Et cela ne s'invente pas ! Pour répondre à ce défi, il faut un plan de backup (i.e. sauvegarde) qui tient la route, il faut un plan de reprise informatique qui tient la route, il faut une formation du personnel qui tient la route, il faut des documents qui tiennent la route. 

​

Finalement, le maintien en conditions opérationnelles et de sécurité est un véritable chantier, un véritable défi de tous les jours. Je dirais donc que c’est le second grand défi : garantir sa conformité et sa sécurité à l'instant T. Et pour cela, il faut être en mesure d’avoir un regard un peu honnête sur nos propres pratiques, afin de nous dire « OK, nous sommes certifiés, c'est super. Mais tous, nous savons qu’ici, là et là, nous avons encore des marges de progression. »

​

Et c’est également pour cela que nous travaillons encore avec CyberSecura après cette prestation de sécurité.  »

 

​

​

6- Comment décririez-vous le travail de CyberSecura, son équipe, en quelques mots seulement ?

​

« Alors je retiendrais tout d’abord l'expertise. Je retiendrais également la proximité. Nous sommes partis sur une prestation plutôt longue, qui s’est étalée dans le temps. Nous nous sommes beaucoup parlé, nous avons entretenu une forme assumée de proximité. 

​

Donc, l’expertise, la proximité, et la flexibilité, encore une fois. C’est vraiment quelque chose qui m’a beaucoup plu ! J’ai su dire à Saghar (et ce n’est pas toujours facile dans une relation contractuelle) « Saghar nous n’y arrivons plus, tu délivres, tu délivres, mais sous sommes sous l’eau, et nous avons besoin de ralentir ».

C’est quelque chose qu’elle a su entendre. Cette manière de s'adapter à notre propre calendrier tout en tenant compte de nos réalités opérationnelles a été une vraie plus-value de ce projet ! »

​

​

​

7- Quels sont les résultats de cette collaboration ?

​

« Les résultats sont supers, puisque nous sommes allés à l’audit de certification initial au mois de juin. Nous n’étions pas tous complètement tranquilles, mais finalement le travail a payé puisque nous avons été certifiés deux mois après !

​

Il s’agit d’une position de qualiticien, mais on peut rapidement se dire « aussi longtemps qu’on n’est pas prêts, on n’y va pas ». Ce qui est une approche tout à fait respectable ! Je pense même qu’elle peut conduire à des certifications initiales sans non-conformité. 

​

Nous, nous avions une approche radicalement différente, qui était de se dire « nous voulons la certification 2023, et nous allons y aller vite. ». Nous allons simplement faire en sorte qu’il n'y ait aucune non-conformité majeure, parce que celles-là font obstacle à une certification. Cependant, nous n’étions pas effrayés à l’idée d’avoir quelques non-conformités mineures à corriger, puisque notre priorité était d’obtenir cette certification.

Donc le meilleur résultat de cette collaboration c’est celui-ci, c’est ce certificat dont nous sommes très fiers, et qui donne des gages de solidité et de sérieux envers nos clients et nos partenaires ! CyberSecura nous a donc emmené là où nous souhaitions aller : vers une certification ISO 27001 dans l’année 2023. »

​

​

​

8- Quels éléments avez-vous le plus apprécié dans la solution apportée par CyberSecura ?

​

« Je dirais l'optimisation des ressources que nous avons consommées en interne. Nous avons beaucoup apprécié le fait que Saghar (et donc CyberSecura) ait cette capacité d’amener de la documentation clé en main. Alors attention, la clé en main c'est dangereux, ça ne va à personne, c’est un peu l’histoire du vêtement à taille unique. C'est super joli, mais ça ne va vraiment bien à personne. 

​

Cependant, c’est parce que vous avez su amener jusqu'à nous un certain nombre de documents prêts à l’usage, et qui n‘avaient plus qu’à être adaptés, nous avons gagné un temps considérable.

Cette certification ISO 27001 consomme une quantité de ressources hallucinante : des ressources humaines, matérielles, des investissements, de la modernisation des infrastructures.

Et lorsqu’on voit ce que coûte la sécurité, nous sommes contents de nous dire que chaque euro investi apporte le bon niveau de rendement.

​

C’est donc un élément que nous avons particulièrement apprécié : cette capacité de nous proposer des documentations prêtes à l’emploi et afin de nous faire économiser des ressources importantes. »

​

​

​

​

​

9- Inversement, y a-t-il des éléments qui vous ont manqué, des solutions que vous n'avez pas trouvé dans nos offres ? Comment aurions-nous pu nous améliorer ?

​

« Lorsqu’on fait du consulting, il y a un risque selon moi, c’est de finir par graviter « hors sol ». 
Lorsqu’on fait du consulting, on n’a pas forcément les deux pieds, les deux mains dans le ciment, dans la structure, et nos métiers, nos livrables sont de nature très différente ! Votre métier, c’est d’accompagner. Notre métier, c’est de délivrer.

​

Je pense que parfois, vous livrez le summum de l’expertise, l’état de l’art, ce qu’il y a de mieux, bien que cela n’ait pas vraiment de réalité opérationnelle chez nous. On le voit par exemple avec les trames documentaires que vous amenez : vous nous proposez ce qu’il y a de mieux, mais nous sommes obligés de réaliser des « coupes » puisque beaucoup d’éléments n’ont pas de réalité opérationnelle dans notre organisation.

​

Si vous travaillez pour une petite structure, une jeune structure, une start-up ou une toute petite PME, qui veut aller vite et qui n'a aucune culture de ce que sont les systèmes de management : vous seriez parfaits ! Vous pouvez alors leur proposer du clé en main et leur expliquer : « c'est ça qu'il faut mettre en œuvre. ».

​

Cependant, lorsque le client est une plus grosse structure, et lorsque le client a déjà sa culture d’entreprise, a déjà des grandes équipes, plusieurs départements, etc. : il y a un moment où il faut adapter, parce que les meilleures pratiques ne permettent pas toujours de s’intégrer rapidement à ce que l’organisation a déjà mis en place.

​

Je pense donc que c’est un élément qu’il ne faut pas le perdre de vue. Évidement que c’est votre mission d’amener le meilleur. Mais je pense aussi que, comme vous avez su le faire, il faut aussi garder à l’esprit que ces meilleures pratiques ont parfois besoin d’être adaptées au contexte des organisations avec lesquelles vous travaillez. »
 

 

​
 

10- Quel conseil donneriez-vous aux entreprises confrontées aux mêmes défis, faisant face aux mêmes challenges que vous ?

​

« Le premier conseil que je donnerai est qu’il ne faut en aucun cas sous-estimer le temps et les ressources que consomme la mise en place de ces certifications (je pense à la certification ISO 27001 tout particulièrement, mais c’est également vrai pour toutes les actions de conformité et de sécurité).

Il faut prendre en compte le fait que le maintien en conditions de sécurité et le maintien de conditions opérationnelles, ce sont des investissements considérables !

​

Je leur recommanderais donc de ne surtout pas sous-estimer les efforts que cela représente, ainsi que les investissements associés. 

​

Se mettre en conformité à l’état de l'art, que ce soit dans le domaine de la sécurité ou de la conformité au RGPD, c’est beaucoup de temps, beaucoup d'argent et des compétences bien spécifiques.

​

Cette norme a ça de difficile, c'est qu'elle requiert des compétences métiers extrêmement diverses. Cela requiert de mettre tout le monde autour d'une table afin d'apprendre à parler de même langage, et c’est véritablement un exercice en soi ! »

​

​

​

 

11- Conseilleriez-vous CyberSecura autour de vous ? Pour quelles raisons ?

​

« Oui tout à fait, et parce que c’est une super équipe, de gens tous aussi sympa les uns que les autres. Les échanges avec David et Saghar ont toujours été très fluides, très agréables. 

Saghar est venue dans nos locaux plusieurs fois, elle a rencontré nos équipes et cela a toujours très bien fonctionné. 

​

Les raisons principales pour lesquelles je recommanderais CyberSecura, c’est la qualité de cet accompagnement, l'adaptabilité, la facilité et l’expertise.

Je vous recommanderais car vous amenez une expertise indiscutable, tout en prenant en compte ce qu'attend votre client en fonction de son propre contexte, tout en étant prêts à vous y adapter. »