Entretien avec David Rozier, co-fondateur de CyberSecura et consultant senior en protection des données personnelles et protection des données de santé
TE : Pouvez-vous, en quelques mots, nous présenter votre activité ?
DR : CyberSecura est une entreprise basée à Grenoble, dans l’Isère. Nous proposons des services et de l’accompagnement aux entreprises, dans les domaines de la cybersécurité et de la conformité réglementaire au RGPD.
Nous travaillons donc sur les enjeux de protection des données et des systèmes numériques, en prenant en compte l’aspect cybersécurité (sécurité des applications, des infrastructures réseaux, des activités quotidiennes de l’entreprises) mais également l’aspect réglementaire vis-à-vis du RGPD.
L’élément clé de notre positionnement sur le marché est cette relation d’accompagnement que nous souhaitons pouvoir proposer au plus grand nombre. Nous sommes convaincus que les domaines de la cybersécurité et de la conformité réglementaire au RGPD sont des enjeux qui nécessitent un accompagnement constant et dans la durée, pour une sécurisation pérenne. Nous proposons ainsi des services de DPO (Data Protection Officer) et RSSI (Responsable de la Sécurité des Systèmes d’Information) externalisés à temps partagé, pour accompagner les entreprises dans cette sécurisation pérenne, et accompagner également les équipes internes dans leur montée en compétences.
Ces prestations de fonctions externalisées sont très pertinentes pour les plus petites entreprises, qui n’ont ni les moyens (humains et/ou financiers) d’internaliser cette fonction pour l’instant, ou qui n’en n’ont pas le besoin tout de suite, compte tenu de leur petite taille. Cette offre de service leur permet ainsi d’accéder à des expertises en cybersécurité et en conformité au RGPD à un coût maitrisé.
Nous tenons également à permettre aux TPE, PME et start-ups d’accéder à des prestations de cybersécurité et de conformité réglementaire de qualité. Nos prestations d’accompagnement à temps partagé et nos offres réservées aux plus petites entreprises nous permettent d’adresser ces petites structures, pour répondre au mieux à leurs besoins spécifiques.
TE : En quoi votre offre de services est-elle différente de l’offre concurrente ?
DR : Le principal élément de différenciation de notre offre sur le marché, est que nous sommes l’un des rares prestataires de services informatiques à aborder ces enjeux de protection des données de manière aussi holistique, en prenant en compte les aspects de sécurité techniques des données (sécurisation des infrastructures réseaux, des produits et objets connectés) mais également les aspects règlementaires, et de gouvernance de la sécurité en entreprise.
Nous avons en interne des expertises très complémentaires, en cybersécurité, en protection des données personnelles et en conformité réglementaire au RGPD, qui nous permettent d’aborder les enjeux de protection des données des entreprises de manière très complète.
Le deuxième élément de différentiation dans notre offre de service est le fait que nous soyons une petite entreprise. Cet aspect « petite structure » est d’ores et déjà très apprécié par nos clients. Cette taille nous permet en effet d’être d’autant plus réactifs, disponibles et présents, et cela nous permet ainsi plus de proximité avec nos clients.
“Le principal élément de différenciation de notre offre sur le marché, est que nous sommes l’un des rares prestataires de services informatiques à aborder ces enjeux de protection des données de manière aussi holistique…”
Ces deux différentiateurs clés nous permettent de proposer des offres pensées pour optimiser la valeur ajoutée de nos travaux pour nos clients, qui sont souvent de petites entreprises.
Une des valeurs socle de notre éthique professionnelle est également de toujours nous assurer que nos clients reçoivent une valeur ajoutée maximum pour leur investissement. Ainsi, nous ne vendons aucune prestation qui ne nous semblerait pas utile, nous challengeons toujours les besoins clients, et refusons de nous engager sur des prestations qui nous semblent peu utiles ou à faible valeur ajoutée.
TE : Quels sont les usages et/ou les références associées dont vous êtes le plus fiers ?
DR : La référence qui selon nous illustre le mieux l’utilisation optimisée qu’un client ait fait de nos prestations de service est probablement l’accompagnement que nous avons auprès de MT2i. MT2i est un service de santé au travail qui travaille pour 7 000 entreprises et traite ainsi quotidiennement les données de près de 83 000 salariés. Leur besoin en protection des données est donc très fort. Nous les accompagnons ainsi à travers nos services de DPO (Data Protection Officer) et RSSI (Responsable de la Sécurité des Systèmes d’Information) externalisés à temps partagé.
Saghar Estehghari, la deuxième co-fondatrice de CyberSecura, cumule plus de 9 ans d’expérience en tant que consultante experte en cybersécurité chez petits et grands comptes. Je suis également DPO pour un établissement hospitalier, le CHU de Grenoble-Alpes.
MT2i a ainsi accès à des consultants experts en cybersécurité et en protection des données de santé et conformité au RGPD.
TE : Quels sont les bénéfices/ROI qu’il en a retirés?
DR : Le principal bénéfice pour MT2i est la sérénité d’esprit. Dans son témoignage client, Frédérique Guede, Responsable Organisation Opérationnelle (le témoignage est disponible sur notre site internet) nous explique que ces missions étaient auparavant gérées en interne, par des collaborateurs n’ayant pas toujours les compétences techniques requises.
Ils savent aujourd’hui que les aspects de cybersécurité, de protection des données personnelles et de conformité réglementaire au RGPD sont pris en main par des consultants experts, que rien n’est laissé au hasard, et cela leur a permit de se re-centrer sur leur cœur de métier.
TE : Pouvez-vous nous parler des relations que vous entretenez avec les éditeurs de logiciels avec qui vous avez des partenariats ?
DR : Actuellement, en termes de partenaires technologiques, nous collaborons avec Drata, un éditeur américain d’une solution logicielle de gouvernance de la sécurité.
Nous avons en effet un très faible nombre de partenariats technologiques, car il nous semble important de pouvoir rester neutre dans les recommandations que nous émettons auprès de nos clients. Drata fait aujourd’hui exception car il a très peu d’équivalent sur le marché, et il est positionné sur une thématique bien précise : la gestion de la gouvernance de sécurité en entreprise, et l’accompagnement à des certifications de sécurité (SOC 2, ISO 27001, etc.).
Bien sûr, nos clients ne sont en aucun cas influencés vers une solution partenaire plutôt que vers une autre solution qui pourrait s’avérer pertinente.
“Nous avons en effet un très faible nombre de partenariats technologiques, car il nous semble important de pouvoir rester neutre dans les recommandations que nous émettons…”
En ce qui concerne notre écosystème de partenaires en général, nous travaillons à nouer des partenariats avec différents clusters, associations, groupements d’entreprises ou incubateurs de la région, afin de leur proposer nos services de DPO et RSSI externalisés à temps partagé, de manière « groupée ». L’idée étant que, plus les entreprises d’une même association, d’un même cluster, sont nombreuses à faire appel à nos services de DPO et RSSI externalisés, plus la réduction du taux journalier moyen est importante. Pour l’instant, nous avons pu officialiser ce partenariat avec l’Association d’entreprise RELEVE-Champfeuillet ainsi qu’avec l’incubateur de start-ups Tarmac.
Cette offre permet ainsi aux entreprises d’une même association, d’un même cluster, de bénéficier d’un accompagnement expert, à un coût maîtrisé.
TE : Avec quels partenaires technologiques ou stratégiques « souverains » collaborez-vous ?
DR : Nous collaborons régulièrement avec Astra Porta, une start-up Marseillaise. Astra Porta est un cabinet de conseils sur les enjeux du numériques et de la conformité réglementaire. L’entreprise a également développé son propre outil de mesure d’audience de sites internet, respectueux du RGPD et des recommandations de la CNIL : Abla Analytics.
Bien que nous ayons des expertises très similaires, nous avons eu l’occasion de collaborer sur divers projets, pour lesquels Astra Porta n’avait pas suffisamment de ressources (en cybersécurité) en interne.
Cependant, plutôt que de nous arcbouter sur l’existence ou l’inexistence de solutions souveraines, notre stratégie est plutôt de prêter attention à l’alignement entre les enjeux de protection de certaines données, et les solutions utilisées pour les manipuler.
TE : Quels sont les autres services périphériques ou complémentaires que vous proposez au marché en propre ou via des partenaires ?
DR : Nous proposons en effet divers services périphériques gratuits, pour sensibiliser le grand public et les entreprises aux enjeux de cybersécurité et de protection des données, ou afin de permettre aux plus petites entreprises de découvrir nos services.
Ainsi, nous proposons d’intervenir gratuitement pour des webinars d’éducation et de sensibilisation du grand public ou des professionnels, et nous déplaçons pour des évènements présentiels, afin de prendre la parole sur ces enjeux de cybersécurité et de protection des données.
Nous proposons également des diagnostics flash aux TPE, PME et start-ups. Ces diagnostics durent 1 heure, et ils permettent aux plus petites entreprises de connaitre leurs enjeux prioritaires en termes de conformité et de sécurité.
Pour les start-ups et les TPE, nous proposons des diagnostics flash en conformité au RGPD et en sécurité applicative. Pour les PME, nous proposons des diagnostics flash un peu plus poussés, afin d’évaluer l’état de leur gouvernance en sécurité, ou la sécurité de leurs infrastructures informatiques. Ces diagnostics sont offerts et sans engagement.
Ces services périphériques sont tous présentés sur notre site internet.
TE : David Rozier, nous vous remercions
|