Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

25/11/2021

Témoignage

Almond accompagne RAISE dans la transformation et la sécurisation de son SI

Almond accompagne RAISE depuis plus de 2 ans dans l’évolution de son système d’information, dans ses différentes dimensions : applicatifs métiers, cloud, cybersécurité et organisation de la fonction SI. Romain Broutier, Directeur Financier du Groupe RAISE revient sur cette collaboration et témoigne des travaux engagés par les équipes de Maxime Gardereau, Partner Almond, pour mener à bien leurs projets en cours et à venir.

Qui est RAISE  ?

RAISE est une entreprise créée il y a 7 ans par Clara Gaymard et Gonzague de Blignières avec la volonté initiale d’être un pionnier dans la finance engagée et responsable. RAISE a quatre activités complémentaires d’investissement minoritaire actif : Venture (RAISE Ventures), Impact Investing Small-Cap (RAISE Impact), Développement Mid-Cap (RAISE Investissement) et Immobilier et Bureaux (RAISE REIM). Nous possédons également 2 lieux d’innovation : un à Paris – la maison RaiseLab – de 2800 m² pour faciliter les rencontres entre des grands groupes et des start-ups, et un deuxième qui va ouvrir début 2022 dans le Sud de la France, un lieu d’inspiration au milieu d’une école et d’une ferme de permaculture. Le Groupe RAISE repose sur un mécanisme de financement conjuguant rentabilité et générosité puisque les équipes d’investissement donnent 50% de leur intéressement afin de financer le Fonds de dotation RAISESHERPAS, une structure philanthropique dotée de plus de 27 M€ permettant d’accompagner, de financer et de mettre en réseau des startups afin de les aider à bâtir des aventures pérennes. RAISE, c’est 70 collaborateurs et 1,4 milliard d’euros d’actifs gérés.

Quel est ton rôle au sein de RAISE ?

Aujourd’hui, je suis le Directeur Financier Groupe. J’ai la charge de la relation avec les actionnaires, du social et de l’IT. L’IT est un soutien fondamental de l’entreprise, nous sommes les gardiens du temple pour faire en sorte que le métier de nos équipes d’investisseurs puisse se dérouler correctement.

Pourquoi as-tu fait appel à Almond initialement ?

Comme toute société de gestion qui essaie de se structurer et répondre à l’exigence de l’interne mais surtout de l’externe, que ça soit nos investisseurs ou le régulateur, nous devions nous mettre en conformité vis-à-vis du RGPD. Et Almond m’a été recommandé à ce moment-là ! Cette mission a été un franc succès puisqu’en faisant preuve de beaucoup de pédagogie, les équipes Almond se sont adaptées à notre culture et au niveau d’implication qu’exige notre métier. C’est par cette première mission qu’a débuté la relation RAISE-Almond il y a 2 ans.

Effectivement, après cette mission RGPD, tu as sollicité Almond pour construire une roadmap afin de moderniser le Système d’Information de RAISE. Nous l’avons finalisée en mars 2020, pendant le premier confinement. A cette époque nous pensions mettre la suite des projets en stand-by, mais RAISE a décidé de maintenir le cap et le planning fixés par cette roadmap. Comment expliques-tu cet optimisme et ce dynamisme chez RAISE ?

RAISE est tourné vers l’avenir, nous sommes une entreprise en croissance, +30% par an. Nous avons créé une nouvelle activité chaque année. Pour faire le parallèle avec mon rôle de directeur financier, ma mission est également d’anticiper et d’accompagner la structure pour qu’elle soit à disposition vers la croissance. Après la mission RGPD, nous avons lancé un grand appel d’offres pour trouver un infogérant à la hauteur de notre croissance : Almond nous a accompagné pour structurer cet appel d’offres et sortir des sentiers battus. Chez RAISE, nous partons du principe que tout est possible, nous avons des talents, nos collaborateurs nous poussent à regarder les tendances de demain auprès de start-ups. Almond nous a accompagné sur le volet applicatif pour permettre à RAISE de rester concentré sur ses savoir-faire. Pourquoi nous n’avons pas ralenti en 2020 ? C’était justement pour anticiper cette croissance qui allait suivre et s’adapter à cette période où il a fallu travailler à distance tout en maintenant le lien pour que nos projets continuent d’avancer. De manière concrète, nous avons structuré un Lab IT, et nous avons voulu en faire un projet d’entreprise. C’est peut-être ça la clé de ce succès de ces 2 dernières années. Au sein de ce Lab IT, nous avons associé chaque équipe interne à un référent. Au niveau de l’équipe Almond, nous avons associé une équipe stable qui connaît les besoins de RAISE et nos exigences pour avoir un dispositif solide.

Nous avons effectivement tenu à mettre en place une équipe chez RAISE pour couvrir l’ensemble des sujets et cette équipe est restée la même depuis 2 ans. Je pense que cela fait partie des facteurs clés du succès que tu évoques. Et selon toi, quelles ont été aussi les difficultés ?

Nous n’avons pas vraiment rencontré de difficulté, mais nous aurions peut-être pu faire certaines choses différemment. Pour l’exemple du Lab IT, la clé de réussite d’un projet est d’associer les collaborateurs dans cette transformation. Mais à côté de ça, nous aurions peut-être dû senioriser dans nos équipes pour qu’elles se sentent encore plus impliquées. C’est ce que nous sommes en train de faire aujourd’hui.

Quels ont été les apports et la valeur ajoutée d’Almond ? Qu’as-tu apprécié dans notre collaboration ?

Travailler avec un consultant peut parfois s’apparenter à un sprint. Mais avec Almond, nous avons eu le sentiment d’une collaboration durable. Nous avons commencé ce marathon ensemble dès le début, et Almond a été là au quotidien, dans les COPIL mensuels pour les avancées du projet, afin de remonter les points de difficulté et pour proposer les solutions à y apporter. Cela a été la clé de la réussite, car la roadmap était dense. Nous avons traité les sujets applicatif, infrastructure, cybersécurité, RGPD, et très certainement d’autres demain. Vous avez toujours été à nos côtés et à l’écoute, de la Direction Générale d’une part, et aussi des collaborateurs, ce qui nous a permis en 2 ans de doubler la taille de l’entreprise.

Aujourd’hui, as-tu le sentiment que le sujet du SI et les enjeux liés à la transformation IT sont plus présents au sein du Comité de Direction RAISE ?

Le SI est un enjeu majeur puisqu’aujourd’hui, grâce à notre forte croissance, nous avons créé tout un écosystème avec les sociétés du CAC40 et de grandes familles françaises, actionnaires chez nous. Cela signifie que nous mettons en relation des individus, des sociétés, mais aussi de la data, et il faut en prendre le contrôle. Sans système d’information, nous ne pouvons pas la mettre en valeur. L’investissement que nous faisons depuis 2 ans va dans cette direction, pour servir toujours mieux nos entreprises dans lesquelles nous investissons ainsi que nos investisseurs qui nous ont fait confiance.

Nous arrivons au bout d’un cycle après ces 2 années, et en tant qu’Almond, nous sommes très fiers de vous avoir accompagnés dans votre croissance. Quelle est la suite pour RAISE ?

Pour l’instant, nous ne souhaitons toujours pas de DSI en interne chez RAISE. En revanche, pour établir la feuille de route à venir sur la maîtrise de la data et comment la mettre en valeur, je pense que dans les prochaines semaines, nous allons réfléchir à internaliser une fonction dont nous n’avons encore pas vraiment déterminé le terme. IT Manager ? Digital Manager ? IT and Digital Manager ? La data est une mine d’or qu’il faut pouvoir exploiter de telle manière à créer un collectif plus efficace. Notre mission de demain sera de construire une feuille de route avec ce recrutement, et pourquoi pas continuer à profiter du soutien de Almond pour en établir le profil et nous aider à le recruter.

L'équipe projet

équipe projet RAISE Almond

Voir les derniers témoignages

21 juin 2023
Découvrez le témoignage DE Pierre Gelgon, Team Leader - AMOA & Sécurité chez Déessi. Il nous livre son témoignage sur l’accompagnement d’Almond à la certification ISO 27001.
12 juin 2023
Almond accompagne APRIL sur des missions de mobilisation des Services SOC et CERT avec détection d'attaques, collecte des données & mobilisation de dispositif de réponses sur incidents.
15 mai 2023
Découvrez l'approche des offres cybersécurité d'Almond à travers les solutions Microsoft Defender. 
21 avril 2023
Découvrez le podcast d'Anass Rouass, Campus Manager chez Almond.
15 novembre 2022
Retrouvez l'interview de Dominique Assing, Partner au sein d’Almond Suisse dans l’émission CyberEtik diffusée par TV Léman Bleu SA.
26 septembre 2022
Découvrez le témoignage en deux parties de notre client AG2R La Mondiale sur la mission réalisée par Almond, d’instruction de la sécurité dans les projets.
15 février 2022
Découvrez l’interview de Céline Germouty, chef d'établissement du lycée Notre Dame, dans le cadre de la mission d'audit maturité cybersécurité d'Almond.
13 janvier 2022
Découvrez l’interview de Pierre-Charles Bertineau, CTO chez KIPLIN, qui nous fait part de son expérience dans le cadre d’un accompagnement SSI et une mise en conformité RGPD par Almond.
14 décembre 2021
Découvrez l'interview de Bruno Meneuvrier, RSSI chez Aviti, qui nous fait part de son expérience dans le cadre de l'accompagnement à la certification ISO 27001 par Almond.
15 novembre 2021
Découvrez le témoignage de notre client Mazars sur l’audit interne 27001 externalisé : un levier pour le progrès

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou « Distributed Denial of Service » est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/