CASE STUDY
ÉTUDE DE CAS

Comment Pigment a lancé ses programmes de gestion des fournisseurs et SOC 2

COMPANY
ENTREPRISE
Pigment
EMPLOYEES
EMPLOYÉS
Plus de 300
LOCATION
EMPLACEMENT
Paris, France
INDUSTRY
INDUSTRIE
Software
VANTA CUSTOMER SINCE
ANNÉES AVEC VANTA
2021
FOURNIR DES GARANTIES DE SÉCURITÉ

La reconnaissance internationale de SOC 2 Type II aide Pigment à prouver ses garanties de sécurité sur le marché mondial et rassure les clients haut de gamme qu'elle recherche.

AUTOMATISATION DES TÂCHE RÉPÉTITIVES

Vanta a aidé Pigment à passer d'une pratique de sécurité ad hoc et manuelle à une pratique cohérente et automatisée. Au lieu de créer des politiques de sécurité en partant de rien ou d'embaucher des consultants, elle a adapté les modèles de politiques de Vanta pour les reproduire rapidement et facilement.

GESTION DES RISQUES DES FOURNISSEURS

Avec la solution de gestion des risques fournisseurs, Pigment dispose d'une vue d'ensemble actualisée en permanence sur l'état de la sécurité de tous ses fournisseurs. Elle peut répondre rapidement aux demandes de sécurité, tout en accélérant le cycle de vente.

« Vanta m'a aidé à développer notre pratique de sécurité à partir de rien, et ce en un temps record. »

Quentin Berdugo
Responsable de la sécurité de l'information, Pigment
L'ENTREPRISE 

La fin des feuilles de calcul : Pigment bouscule le processus de planification de l'entreprise

Pigment a pour but d'aider les entreprises à prendre de meilleures décisions et à s'adapter au changement. Fondée en 2019, sa plateforme centralise les données, les processus et le personnel de l'entreprise en un seul endroit, éliminant ainsi les cloisonnements. Les deux fondateurs de Pigment étaient déjà des précurseurs : Éléonore Crespon, ancienne analyste financière chez Google et investisseuse chevronnée, et Romain Niccoli, serial fondateur et expert en technologie. 

En tant que structure récente au service d'entreprises leaders du secteur, comme Figma, Klarna et Poshmark, Pigment avait beaucoup à prouver, mais sa solution était attractive. La plupart des entreprises prennent des décisions stratégiques cruciales fondées sur des données inexactes, incomplètes ou cloisonnées. Pigment fournit une source unique fidèle pour ces données, où toutes les équipes peuvent facilement collaborer en temps réel, et suffisamment flexible pour s'adapter à un paysage complexe et changeant. 

Pigment a connu une croissance rapide et, à ce jour, a levé près de 250 millions de dollars en cinq ans. Depuis son siège à Paris, elle a commencé à signer d'importants contrats internationaux presque immédiatement, et compte aujourd'hui plus de 200 clients parmi les plus grandes marques.

LE DÉFI

Faire passer les pratiques de sécurité de zéro à 100 

En 2021, le portefeuille de clients de Pigment était en pleine croissance et l'entreprise devait répondre aux attentes des clients en matière de conformité, tout en développant sa propre infrastructure de sécurité. Quentin Berdugo a été embauché en tant que responsable de la sécurité de l'information de Pigment. Sa priorité était d'obtenir la certification SOC 2, cadre de sécurité le plus recherché par les entreprises SaaS.

« Lorsque j'ai rejoint Pigment, les normes de sécurité certifiées étaient essentielles pour débloquer des opportunités de vente », explique Quentin. « Nos vendeurs étaient submergés de questionnaires de sécurité auxquels ils n'étaient pas en mesure de répondre. Nous devions démontrer la maturité de notre programme de sécurité et rassurer nos clients en leur prouvant que leurs données financières sensibles étaient entre de bonnes mains. »

‍Quentin a commencé par étudier en détail les questionnaires de sécurité soumis par les clients. Il a ainsi pu définir les priorités lors de l'élaboration de la feuille de route de Pigment en matière de sécurité : l'authentification unique (SSO), l'authentification multifactorielle (MFA) et le cryptage se sont révélés être des éléments essentiels. Il souhaitait également renforcer la sécurité de l'environnement informatique de l'entreprise. 

LA SOLUTION

Utiliser Vanta pour obtenir SOC 2, gérer les risques liés aux fournisseurs et établir la confiance

L'équipe d'ingénierie avait déjà acheté Vanta, la plateforme de gestion de la confiance de Pigment, mais elle n'avait pas encore exploré toutes ses capacités. Dès que Quentin a rejoint l'équipe, il a commencé à utiliser la plateforme Vanta sur tous les ordinateurs portables de l'entreprise, pour un contrôle continu de la conformité. Il a également connecté Vanta au fournisseur d'identité de Pigment, ce qui lui a permis d'identifier les lacunes du processus d'intégration des employés.  

« Vanta fut d'une grande aide. En plus de me soutenir, ils me montraient systématiquement où je me trompais, grâce à leur large éventail de contrôles automatisés et d'intégrations dans les autres systèmes gérés par Pigment », poursuit Quentin. Il a rapidement embauché deux personnes dans l'équipe informatique pour gérer les opérations et développer les systèmes, et une personne dans l'équipe de sécurité pour l'aider à consolider les politiques et les processus. Toutefois, c'est à lui qu'incombait la responsabilité finale de veiller à ce que la sécurité de Pigment soit optimale.

{{quote-2}}

« Lorsque vous vous rendez compte qu'il vous manque une politique, il est très utile de partir d'un modèle Vanta pour combler cette lacune. Plutôt que de rédiger les politiques une à une ou d'engager un consultant, vous avez tout ce dont vous avez besoin pour lancer votre cadre de gouvernance », précise Quentin.

Quentin voulait obtenir le SOC 2 le plus rapidement possible. Pigment en avait fait une priorité commerciale. Les clients potentiels voulaient s'assurer que leurs données critiques seraient protégées, et SOC 2 serait une preuve tangible de l'engagement de Pigment en matière de sécurité. De toutes les normes de sécurité, SOC 2 était la plus attendue par les clients.

Grâce à Vanta, Quentin a pu leur donner satisfaction. En l'espace d'un an, Pigment a obtenu les attestations SOC 2 de type I et II. « Avec Vanta, vous ne partez pas de zéro. Vous êtes accompagné pas à pas dans la mise en place du processus afin de pouvoir vous l'approprier. C'est comme un intermédiaire entre l'audité et l'auditeur. Cela m'a fait gagner beaucoup de temps et m'a apporté une certaine tranquillité d'esprit. Nous étions sûrs de réussir », ajoute Quentin.

Pigment travaillant avec plus de 100 fournisseurs, Quentin a constaté que l'évaluation manuelle de leurs garanties de sécurité était un processus long et désorganisé. La solution de gestion des risques fournisseurs de Vanta lui a donné une vue d'ensemble complète des fournisseurs de Pigment, de leurs profils de risque, de leurs catégories et de l'état d'avancement de l'examen de sécurité. Il a pu voir comment chaque fournisseur avait été automatiquement classé (risque faible, moyen ou élevé), en fonction de facteurs tels que l'accès aux données sensibles et à l'infrastructure clé. Cela a permis à Quentin de concentrer le contrôle préalable sur les fournisseurs qui en ont le plus besoin. 

Quentin Berdugo, CISO at Pigment

« Notre liste de fournisseurs ne cesse de s'allonger et d'évoluer. Nous devons rester à leur écoute tout en disposant de ressources limitées. Vanta nous aide à hiérarchiser notre gestion des risques de manière rationnelle », déclare Quentin. « La gestion des risques des fournisseurs m'aide à garder le contrôle sur tous nos fournisseurs et à voir en un seul coup d'œil ceux qui ont besoin d'une mise à jour. J'ai aussi commencé à utiliser l'onglet Découverte pour vérifier si des fournisseurs ou des systèmes informatiques fantômes étaient utilisés au sein de notre entreprise. »

Pigment a naturellement besoin de démontrer à ses clients qu'elle dispose d'une sécurité irréprochable. Pour ce faire, elle utilise le Trust Center de Vanta. Le hub centralisé de Pigment contient toutes les informations de sécurité pertinentes, y compris un aperçu en temps réel de l'état de leurs contrôles de sécurité, qui est facilement partageable avec les clients et les prospects. 

Il contient les détails de toutes les normes qu'ils respectent, y compris SOC 2, RGPD et CCPA, ainsi que des réponses en libre-service aux questions les plus courantes posées par les prospects et les clients existants. Les parties prenantes peuvent accéder à la documentation de sécurité dont elles ont besoin en un clic. Toutes les informations sensibles sont protégées par des contrôles d'accès granulaires, des accords de confidentialité par clic et des filigranes.

En présentant son dispositif de sécurité en temps réel, Pigment reçoit moins de questionnaires de sécurité. Son cycle de vente est également raccourci. Ses vendeurs disposent désormais d'une interface unique qui leur permet de déléguer facilement le contrôle préalable à la sécurité à l'équipe de support des ventes. 

« Le Trust Center permet à certains de nos prospects et de nos clients d'effectuer leur contrôle de sécurité en libre-service », explique Quentin. « Dans certains cas, ils ne voient pas la nécessité d'envoyer un questionnaire, de poser des questions plus spécifiques ou de demander des documents supplémentaires. Cela nous permet de développer nos opérations commerciales et d'éviter les frictions inutiles au sein du cycle de vente. Je pense que nos clients sont tout aussi satisfaits de ne pas avoir à participer à une réunion pour répondre à des questions que nous aurions pu anticiper.

L'IMPACT

Une phase d'hypercroissance qui ne montre pas de signe de ralentissement 

Avec Vanta, Pigment a dynamisé sa pratique de sécurité et a obtenu les normes SOC 2 type I et II en moins d'un an. Et ce n'est qu'un début.

À mesure que l'entreprise investit dans des partenariats et des canaux de vente pour monter en gamme, l'examen de la sécurité par les prospects croît également. Pigment voit grand et Quentin prévoit d'utiliser encore plus Vanta, à mesure qu'il renforce son équipe de sécurité et développe ses programmes de sécurité et de conformité.

Plus Pigment grandit, plus Vanta lui permettra de surveiller de manière transparente ses fournisseurs, existants et nouveaux. Elle lui permettra également de procéder à des révisions trimestrielles des droits d'accès et de gérer les privilèges de toutes les personnes qui interagissent avec ses données et ses applications.

{{quote-3}}

« Vanta était l'outil clé en main dont j'avais besoin pour rester au fait de mes priorités et m'assurer que rien ne m'échappait. Il a pu alléger une grande partie des tâches fastidieuses tout en assurant le bon déroulement des opérations. Ainsi, j'ai pu me concentrer sur l'élaboration de notre programme de sécurité et l'amélioration de notre posture. »

Quentin Berdugo
Responsable de la sécurité de l'information, Pigment

« Vanta continue d'évoluer avec nous, et je prévois de faire encore beaucoup de choses avec la plateforme. J'apprécie leur volonté de changer, de tirer des leçons des retours des utilisateurs et de répondre aux besoins individuels d'une entreprise pour l'aider à réussir. »

Quentin Berdugo
Responsable de la sécurité de l'information, Pigment

Get compliant and
build trust, fast.

Se mettre en conformité et instaurer la confiance, rapidement.

Two wind turbines on a white background.