Tag
Date
Acteur européen du paiement fractionné et des services financiers, Oney place la sécurité de l’information au cœur de la confiance client. Face à une croissance soutenue du portefeuille de projets IT, le groupe a choisi d’investir dans un outil numérique capable de garantir, projet par projet, un niveau de sécurité homogène. Le périmètre ne se limite pas au PAS (plan d’assurance sécurité) : il englobe aussi le RGPD et l’architecture, pour couvrir l’ensemble du cycle de vie des règles de sécurité.
Les pratiques existantes — tableurs, chats, e‑mails, notes et comptes rendus — n’engageaient pas les équipes et complexifiaient le suivi. À l’échelle de 200 à 300 projets par an, avec jusqu’à 1 000 utilisateurs potentiels répartis dans 12 entités et plus de 100 exigences à évaluer, la centralisation et la normalisation devenaient impératives.RE-UZ, via ses marques historiques comme Ecocup, pionnières sur le marché de l’événementiel, propose un ensemble de solutions destinées à accompagner le plus grand nombre vers un mode de consommation plus durable avec l’adoption d’un nouveau réflexe pour les contenants alimentaires : le réemploi.
Ce projet s’inscrit dans un contexte de menace soutenue : en 2024, l’ANSSI a recensé plus d’une centaine de compromissions par rançongiciels en France ; près d’une entreprise sur deux déclare au moins une cyberattaque significative la même année, et une fuite de données coûte en moyenne plusieurs millions d’euros.
Dans ce climat, Oney visait un changement d’échelle : rendre la sécurité visible, mesurable et traçable dans chaque projet, partout dans le groupe. Notre mandat : transformer des standards fragmentés en un outil métier unique, structuré autour de référentiels communs et de points de passage clairs, pour sécuriser les mises en production sans freiner la vitesse d’exécution.
Du côté des chefs de projet, la sécurité pouvait être perçue comme un frein. Les interactions avec l’équipe sécurité manquaient de fluidité ; les processus étaient lourds, sans « passages sécurité » obligés ni catalogue de solutions formalisées. Les risques restaient difficiles à matérialiser dans les arbitrages quotidiens.
Côté équipe sécurité, le constat était symétrique : suivi d’avancement ardu, dette sécurité non centralisée, absence d’outil pour faciliter la recette sécurité et manque de référentiel commun.
Notre point de départ : installer des comportements de « security by design » et faire de la sécurité un accélérateur de projet, pas un ralentisseur.
Sur le plan stratégique, l’enjeu était double : simplifier l’intégration de la sécurité dans chaque projet et en garantir la traçabilité de bout en bout. Il s’agissait d’unifier les référentiels (PAS, RGPD, architecture) et de préparer l’extension à l’échelle des 12 entités. Le succès reposait moins sur la conformité documentaire que sur des comportements mesurables : rendre les risques tangibles, standardiser les échanges, instaurer des checkpoints obligatoires et fournir des réponses réutilisables.
En ligne de mire : réduire la dette sécurité, fiabiliser les go/no‑go, et permettre aux équipes de livrer sereinement sans compromis sur le niveau de protection attendu.
Nous avons conduit une phase d’exploration terrain : entretiens avec des chefs de projet et parties prenantes clés, interviews des responsables sécurité, ateliers d’idéation, puis prototypage d’interfaces et tests utilisateurs. Cette démarche produit nous a permis de cartographier les parcours existants, d’identifier les frictions et de formuler des principes d’expérience centrés usage : clarté des exigences, progressivité, guidance et re‑utilisabilité.
Nous avons défini les points de passage sécurité, les états d’un dossier et les artefacts attendus à chaque étape. L’objectif : aligner besoins métiers et contraintes de conformité dans un outil métier qui parle le langage des équipes et qui s’insère sans heurts dans les rituels projet.
Nous avons ensuite livré une application interne — Hive — et son API sur mesure. L’interface, designée pour l’usage quotidien, s’appuie sur une pile technique robuste : Angular pour le front, MongoDB, et un module Airtable pour piloter des données publiques (référentiels de normes sécurité, RGPD…) synchronisées avec l’application.
Déployé dans l’infrastructure d’Oney, le produit passe chaque année des tests d’intrusion avec succès. Hive gère le cycle de vie des règles de sécurité, centralise les exigences et normalise les processus pour l’ensemble des entités. Résultat : un outil numérique qui standardise la pratique, accélère les échanges et fiabilise les décisions.
Hive offre aux chefs de projet une « single source of truth » pour contrôler la sécurité des logiciels déployés. Chaque projet est évalué et scoré ; derrière la note, l’utilisateur visualise immédiatement les points d’attention restants et les actions recommandées. La priorisation intégrée — Must have, Should have, Nice to have — transforme des listes d’exigences en plans d’action opérables. Les équipes se préparent plus sereinement au recettage sécurité obligatoire, avec des attentes explicites et traçables. En clair, la sécurité devient visible, actionnable et intégrée au flux de delivery plutôt qu’ajoutée en fin de course.
Au niveau organisationnel, l’application centralise l’information de sécurité et uniformise les références pour l’ensemble des entités. Les différents référentiels groupe — RGPD, compliance — sont intégrés, ce qui aligne les exigences et simplifie les contrôles. Les interactions avec l’équipe sécurité gagnent en fluidité grâce à des diagnostics guidés et à des points de passage clairs. Le suivi de la sécurité dans chaque projet devient continu, partagé et documenté. Surtout, la perception change : les métiers de la sécurité passent du rôle d’« empêcheurs de tourner en rond » à celui de partenaires qui aident les équipes à valoriser leur propre métier.
Les impacts métiers sont concrets et cumulatifs : meilleure visibilité sur les risques, dette sécurité rendue explicite, arbitrages accélérés et livraisons plus sereines. En centralisant et en normalisant, Hive réduit la variabilité des pratiques d’une entité à l’autre et prépare l’organisation à l’industrialisation des contrôles. Côté livrables, Oney dispose d’une interface prête à l’emploi, d’une API ouverte aux intégrations et d’un socle de données référentielles maintenable. Côté résultats, les comportements évoluent : la « security by design » s’installe, les échanges se structurent et la traçabilité devient un réflexe — autant de gains durables pour la sécurité et la performance.
“Avec leur approche singulière, faite d’itérations et d’échanges, Les Fabricants ont été capables de décrypter nos enjeux et de nous proposer une solution totalement adaptée à notre métier et à nos usages. C’est un vrai travail de collaboration et de partenariat qui a été accompli, avec simplicité et bonne humeur !”
Gabriel Trevissoi
Directeur associé de For Talents
Notre équipe d'experts est là pour vous aider.