Depuis fin 2023, Predictice est engagé dans un ambitieux projet : obtenir la certification ISO 27001, la norme de référence en matière de sécurité des systèmes d’information. Pour piloter ce chantier stratégique, l’entreprise a recruté William Naze en tant que DevSecOps. Infrastructure, sécurité, conformité... Il nous raconte son quotidien, les coulisses du projet et ce que cela change concrètement pour nos clients.
Bonjour William. Peux-tu te présenter en quelques mots et nous parler de ton parcours avant de rejoindre Predictice ?
Bonjour Vivien. Je m'appelle William Naze et j'ai intégré Predictice en septembre 2024 en tant que DevSecOps (Development - Security - Operations), avec la volonté de monter en compétence et en maturité sur des aspects infrastructure et sécurité. Ce qui m'a motivé dans le fait de rejoindre les équipes de Predictice, c'est qu'il s'agissait d'une création de poste. Autrement dit, il y avait tout à faire !
À l'origine, j'ai suivi un cursus d'ingénieur système. Puis, j'ai réalisé des formations qui m'ont permis de devenir DevOps, il y a environ dix ans. Enfin, il y a cinq ans, je me suis spécialisé sur des aspects sécurité. J'ai passé une certification ISO 27001 niveau "implémenteur" qui certifie que je suis apte à apporter des projets de certification ISO 27001. J'ai alors pu évoluer pour devenir DevSecOps et avoir des responsabilités sur la partie sécurité, à la fois dans des startups et des grandes entreprises.
Peux-tu nous décrire ton rôle de DevSecOps chez Predictice ?
Mon périmètre d'intervention est large. Sur la partie DevOps, je suis en charge de tous les sujets infrastructure : résilience, développement, évolution, architecture. J'interviens aussi sur les sujets support, maintenance, quand il y a des problématiques identifiées en production ou sur la performance.
Sur la partie automatisation, je suis compétent sur le déploiement en continu, la mise en production, la mise à jour. Cela signifie que je fais en sorte qu'une fois qu'un développeur a réalisé son code, ce soit automatiquement déployé dans les infrastructures de développement une fois les tests réalisés.
Je m'occupe aussi de la sécurité de l'infrastructure, ce qui englobe les aspects réglementation et normes de sécurité que Predictice a identifié. Dans ce cadre, je réponds à des questionnaires et j'interviens sur des ateliers ou des réunions avec des prospects ou des clients, lorsqu'il existe des interrogations relatives à la sécurité.
Globalement, mon rôle consiste à faire en sorte que l'on maintienne un certain niveau de sécurité dans notre infrastructure, de m'assurer que l'on n'a pas de vulnérabilités, de failles identifiées. Le cas échéant, je suis à même d'intervenir.
Quelles sont les bonnes pratiques que Predictice applique pour garantir la confidentialité et l’intégrité des données des utilisateurs ?
Nous avons mis énormément de choses en place pour montrer à nos clients que tout le cycle de vie de la donnée est sécurisé. Autrement dit, que n'importe qui ne peut pas y accéder et que cette donnée est toujours disponible.
Chez Predictice, on s'assure que les données soient chiffrées, quelque soit leur état (au repos ou en transit) et l'authentification forte permet que seules les personnes autorisées puissent y accéder. On fait aussi en sorte qu'en cas de défaillances de notre "cloud provider", nous puissions assurer la continuité de l'activité et la continuité de l'accès à la donnée.
Nous mettons tout en oeuvre pour que l'intégrité, la confidentialité et la disponibilité des données soit assurée dans toutes les circonstances.
Pour résumer, nous mettons tout en oeuvre pour que l'intégrité, la confidentialité et la disponibilité des données soit assurée dans toutes les circonstances. La sécurité ne se décrète pas, elle s'organise.
Predictice est en passe d’obtenir la certification ISO 27001. Peux-tu nous expliquer ce que cela signifie concrètement ?
Predictice a entamé la démarche de mise en conformité avec la norme ISO 27001 fin 2023, soit plusieurs mois avant mon arrivée. La direction et les équipes techniques ont commencé par prendre connaissance des nombreuses exigences spécifiées dans la norme pour tâcher de se mettre en conformité. Pour ce faire, l'entreprise a engagé un certain nombre de moyens, notamment la souscription à des outils tels que Vanta, qui nous permet de piloter nos obligations et d’impliquer toute l’entreprise.
Début 2025, nous avons lancé le SMSI qui cadre la sécurité de l'information au sein de l'entreprise.
Lorsque j'ai rejoint Predictice, j'ai commencé par faire un état des lieux des chantiers réalisés, et de voir ce qui pouvait être amélioré ou corrigé. Puis, début 2025, nous avons lancé le SMSI (Système de Management de la Sécurité de l'Information) qui cadre la sécurité de l'information au sein de l'entreprise, met en place certaines étapes obligatoires.
Chez Predictice, avons déployé beaucoup de solutions, d'outils d'audit, de sécurité, de conformité. Nous nous sommes appuyés sur des normes de référence comme les normes NIST. Ces dernières donnent des recommandations sur lesquelles nous pouvons nous appuyer pour connaître notre niveau de maturité et de sécurité au niveau de l'infrastructure. Nous avons alors revu pas mal de process, de documentation, de procédures. Le SMSI ne s'arrête jamais réellement, il évolue en continu.
À ce jour, nous avons réalisé un audit interne en avril 2025 et un audit final début juillet. Le projet est en bonne voie, nous devrions en savoir plus très bientôt !
En quoi cette certification va-t-elle changer les choses pour Predictice et ses clients / prospects ?
Aujourd'hui, Predictice est déjà en conformité avec les exigences de la norme ISO 27001. En matière de sécurité, nous avons atteint un niveau de maturité et d'exigence élevé. D'ailleurs, nos clients ont conscience que l'on respecte les exigences de la norme, au travers des questionnaires de sécurité qu'ils nous soumettent. Mais respecter les exigences ne suffit pas : il faut pouvoir apporter une garantie.
La sécurité de l'information est déjà assurée : la certification ISO 27001 est donc surtout un enjeu de visibilité.
Obtenir la certification ISO 27001 permet de prouver que l'entreprise satisfait à toutes les exigences. C'est essentiel pour nos clients, mais aussi pour nos prospects. Etre certifié les rassure, même avant les premiers échanges, que nous prenons la sécurité au sérieux chez Predictice. Pour résumer, la sécurité de l'information est déjà assurée : la certification ISO 27001 est donc surtout un enjeu de visibilité, d'autant que cette norme est très reconnue.
Comment sensibilises-tu les autres équipes (marketing, sales, produit, etc.) aux enjeux de sécurité dans l'entreprise ?
La direction générale de Predictice est très impliquée dans le processus de sécurité de l'information et dans l'obtention de cette certification. Le fait que la direction elle-même soir moteur sur la sécurité en communiquant de manière périodique change la donne, puisque de mon côté, je n'ai jamais senti la nécessité de d'effectuer beaucoup d'ateliers ou de relances de communication.
Chez Predictice, et cela n'a pas été le cas dans toutes les entreprises dans lesquelles j'ai travaillé, la sécurité n'est pas un sujet qui est à la marge.
Chez Predictice, et cela n'a pas été le cas dans toutes les entreprises dans lesquelles j'ai travaillé, la sécurité n'est pas un sujet qui est à la marge. Par exemple, quand il y a eu le lancement du SMSI, la direction a communiqué à l'ensemble des collaborateurs en expliquant en quoi la norme ISO 27001 consistait et quels étaient ses impacts sur les salariés, les clients et l'ensemble des intervenants dans l'entreprise. De mon côté, je n'ai eu qu'à formaliser tout cela.
Après la certification ISO 27001, quel sera ton futur défi ?
La norme vit, tout comme notre infrastructure. Etre certifié, c'est difficile, mais le plus dur, c'est de le rester. En effet, chaque année, il faut prouver que l'entreprise a fait évoluer son infrastructure, ses procédures, sa documentation. L'obtention de la certification n'est pas valable à vie, mais seulement trois ans.
Tous les ans, un audit de suivi est réalisé avant un audit complet la troisième année. Notre travail va consister à améliorer constamment la sécurité de l'infrastructure pour rester conforme aux exigences de la norme. Predictice a également d'autres objectifs en matière de certifications, sur lesquels je vais entamer des processus.
Comment décrirais-tu la culture d'entreprise chez Predictice ?
Ce que je ressens, c'est qu'il existe une vraie implication de tout le monde, une vraie curiosité. Lorsque nous avons présenté ce projet de sécurité, toutes les équipes (techniques et commerciales) se sont intéressées à ces questions, même celles qui n'avaient pas d'appétence sur le sujet.
Les équipes comprennent que l’ISO 27001 est un levier de confiance, pas une contrainte.
Le respect des normes de sécurité implique nécessairement des contraintes. Pour autant, je n'ai senti aucune réticence à appliquer les nouveaux processus. Tout le monde joue le jeu. C'est exactement ce que je recherchais en rejoignant Predictice. Les équipes comprennent que l’ISO 27001 est un levier de confiance, pas une contrainte.
Enfin, à titre personnel, j'ai l'avantage de travailler avec l'ensemble des équipes de Predictice : de la team tech aux sales, en passant par la direction. C'est une vraie chance d'échanger avec de multiples profils au sein de l'entreprise.
Quelles sont tes activités en dehors du travail ?
Je suis un passionné de sport, je cours quasi-quotidiennement. Je suis aussi passionné de moto et j'aime traverser l'Europe pour découvrir de nouveaux paysages. La musique a également une grande place dans ma vie, je fais partie d'un groupe dans lequel je suis chanteur et musicien.
Un conseil à donner à ceux qui aimeraient devenir DevSecOps ?
Le quotidien d'un DevSecOps est chargé puisque le scope est large. Je conseillerais donc à ceux que cela pourrait effrayer de ne pas être freinés par cet aspect s'ils aiment le métier, puisque ce type de poste est très enrichissant et stimulant intellectuellement.
Le DevSecOps a un énorme avantage à mon sens : il a une vue globale pour définir les process et les appliquer, et a un autre regard par rapport au RSSI (Responsable Sécurité des Systèmes d'information). Le métier de DevSecOps a encore de belles années devant lui, puisque les normes sont de plus en plus nombreuses et de plus en plus exigeantes. Foncez !
Content Marketing Officer - Predictice
Appelez au 
