Sécurité Applicative & Conformité
Réflexes OWASP depuis les années Zend, sécurité réseau acquise au BTS, droit des contrats IT et RGPD au Master et en CTO. Lire un contrat à enjeu de sécurité et durcir un SaaS qui transporte des données financières ou personnelles.
Chaque segment représente une période (parcours ou réalisation) où la compétence a été mobilisée. La couleur et la taille du point final reflètent le niveau atteint sur cette période.
Ma définition
La sécurité applicative et la conformité, c'est pour moi concevoir un logiciel qui ne fuit pas, ne permet pas d'accès latéral, et ne brise pas les attentes d'un régulateur. Ça couvre OWASP Top 10, sécurité réseau, droit des contrats IT, RGPD. Ce n'est pas un add-on qu'on branche en fin de projet, c'est une discipline qu'on installe dès la phase wireframe - sinon la dette de sécurité devient existentielle au premier audit externe sérieux.
Je travaille sur 3 couches que je tiens en parallèle. Code : OWASP Top 10 internalisé sur 8 références portfolio (PSR, SaaS comptable, Magento, ESB), audit dépendances, secret scanning, threat-modeling sur chaque feature qui touche credentials, paiement ou KYC. Système : segmentation réseau, IAM délimité par rôle, vault credentials, isolation par partenaire via APIM. Conformité : RGPD, négociation contractuelle directe (DPA, SCCs, SLA, réversibilité) que je mène sans dépendre d'un juriste externe sur les négociations courantes. Baseline réseau posée par le BTS Informatique de Gestion et entretenue par 11 ans de production.
En 2026, le paysage réglementaire européen impose un saut de maturité : la transposition NIS2 en France est en phase finale d'adoption (loi attendue mi-2026, 15 000 entités concernées, audits réguliers à partir du Q4 2026), avec une fenêtre de reporting d'incident de 24 heures strictement applicable. Les détails sont disponibles sur le suivi officiel de la Commission européenne et, côté français, sur la page officielle de l'ANSSI sur la directive NIS 2 qui détaille le périmètre, les obligations et le calendrier d'accompagnement. En parallèle, l'AI Act entre en pleine applicabilité, et le mandat français e-facturation 2026-2027 ajoute une couche de conformité fiscale aux SaaS comptables. Le CTO CSSLP/CISSP-ready devient un profil recruté en priorité sur les industries régulées (santé, finance, immobilier institutionnel).
Mes éléments de preuve
Anecdote 1 : Sécuriser la plateforme PSR de bout en bout
La plateforme PSR du Groupe Pichet était une API publique recevant des leads partenaires depuis une dizaine de portails immobiliers externes - chaque lead contenait des données personnelles (nom, email, téléphone, projet immobilier) soumises au RGPD, et chaque credential mal géré ouvrait potentiellement la porte à un détournement de leads vers la concurrence. La protection ne pouvait pas être un add-on, elle devait être dans le design initial.
J'ai imposé une isolation des credentials par partenaire via Microsoft APIM (clés API uniques par portail, permissions délimitées par scope, rotation systématique via le cycle de vie APIM). Pour les flux RGPD, HTTPS exclusif, pas de stockage persistant intermédiaire des leads (le CRM commercial reste le seul référentiel), validation au gateway sur le format et la taille des payloads, et rejet immédiat des requêtes malformées. J'ai mené un audit de sécurité formel en 2023 qui a abouti à un renforcement des contrôles d'accès et à la mise à jour des règles pare-feu. En parallèle, j'ai outillé une isolation par rôle sur les credentials internes pour que chaque opérateur n'ait accès qu'aux portails dont il était responsable.
Audit 2023 validé sans non-conformité majeure, confiance partenaire maintenue sur 3 ans, et zéro incident sécurité sur l'ensemble de l'exploitation - ce qui a permis d'élargir progressivement le périmètre partenaire sans repasser par une nouvelle phase d'évangélisation interne.
Ce projet a installé chez moi une revue sécurité comme cycle récurrent plutôt que comme événement ponctuel. Aujourd'hui, sur chaque mission ACCENSEO qui touche à des données régulées, je rejoue le même pattern : threat-modeler dès la phase wireframe, isolation par rôle dès le design, audit externe au moins une fois par an. C'est ce qui permet de défendre des contrats SLA en face d'un client critique sans avoir à tout justifier à chaque vague.
Anecdote 2 : Concevoir la sécurité du SaaS comptable autour de données régulées
Le SaaS comptable d'ACCENSEO traite ce qu'il y a de plus sensible : données bancaires Open Banking DSP2 (3 providers connectés en parallèle), KYC client, écritures comptables soumises à audit, e-facturation 2026-2027 réglementée par la DGFiP. Avant même de développer une feature, j'ai lancé un audit de sécurité des plateformes concurrentes : il a révélé plusieurs failles critiques chez les acteurs établis (IDOR permettant de voir les données d'un autre client, failles KYC sur la vérification d'identité). Je ne pouvais pas reproduire ces erreurs.
J'ai construit la sécurité avant le code applicatif. Threat model IDOR + KYC posé sur chaque feature qui touche à des données client, contrôle d'accès par 6 rôles différenciés (Admin, Collaborateur, Consultant, Comptable, Comptabilité, Banque) câblé via Better Auth avec MFA complet (email, TOTP, SMS) et jetons de connexion comptable dédiés. Côté flux régulés, j'ai branché l'EDI Teledec (partenaire agréé DGFiP) pour les téléclarations TVA / IS / CFE / DAS2 / PAS, intégré l'Open Banking DSP2 sur 3 providers (GoCardless/Nordigen, Bridge, Qonto) avec respect strict des consentements. Pour la facturation électronique, j'ai construit le pipeline DGFiP v3.1 dès 2025 avant le mandat 2026-2027. J'ai aussi documenté chaque choix sécurité dans des ADR versionnés pour qu'ils survivent à la croissance de l'équipe.
Baseline de conformité atteinte avant l'échéance réglementaire 2026-2027, prêt pour rollout sans réécriture sécuritaire en urgence, et plateforme commercialisable auprès des cabinets comptables et des PME françaises sans dépendre d'un audit externe à chaque cycle.
Sur ce projet, j'ai compris que la conformité régulatoire bien faite devient un moat produit : les concurrents qui ont des failles IDOR ou KYC ne peuvent pas attaquer mon segment sans réécrire des pans entiers. C'est exactement la posture que je veux pousser sur le prochain rôle CTO scale-up en industrie régulée - transformer la régulation en barrière à l'entrée plutôt qu'en boulet.
Anecdote 3 : Tenir la discipline PCI / OWASP sur Magento Enterprise
À la refonte de Fleurance Nature en 2017, Magento Enterprise Edition 1.10 portait la responsabilité PCI-DSS du e-commerce de l'entreprise (paiement en ligne sur 3 storefronts, 4 groupes clients, 12 matrices tarifaires). Avec 60 modules custom et 1 040 fichiers PHP modifiés, le risque d'introduire une régression sécurité à chaque release était permanent - et toute fuite carte aurait coûté la conformité PCI au groupe.
J'ai imposé sur chaque module custom le respect strict des patterns PCI-aware : aucun stockage de données carte côté Magento (délégation totale au prestataire de paiement certifié), passage systématique par les patterns Observer / Strategy pour ne jamais toucher au cœur Magento - ce qui empêche l'introduction inattendue d'un point de capture - et suite de régression sécurité complète avant chaque release. Côté OWASP Top 10, j'ai cadré la prévention des XSS sur les contributions UGC, l'isolation des sessions multi-store, et la validation stricte des entrées sur tous les formulaires custom.
Zéro incident sécurité production sur la migration et sur les 5 années d'exploitation qui ont suivi, conformité PCI maintenue tout au long du process, et le cache Varnish est resté opérationnel sans introduire de bypass d'authentification.
Sur ce projet, j'ai installé chez moi la sécurité comme revue quotidienne plutôt que comme audit annuel. C'est ce réflexe-là qui me permet aujourd'hui de négocier les clauses contractuelles IT (DPA, SCCs, SLA, réversibilité) en direct chez ACCENSEO sans passer par un juriste externe sur les négociations courantes - parce que je sais ce que je signe.
Mon autocritique
Niveau Senior sur OWASP applicatif et droit IT (lecture et négociation contractuelle), Confirmé sur sécurité réseau et RGPD. OWASP Top 10 internalisé sur 8 références portfolio, baseline réseau posée par le BTS Informatique de Gestion et entretenue par 11 ans de production. Comme CTO ACCENSEO et Celiane, je négocie moi-même les clauses contractuelles (DPA, SCCs, SLA, réversibilité) sans juriste externe sur les négociations courantes. Ce qui reste à muscler : threat modeling formel (STRIDE) et préparation industries hautement régulées comme la santé ou la finance critique.
Hygiène de base pour tout rôle CTO et différenciant explicite sur les industries régulées. C'est ce qui me permet de sécuriser une plateforme produit sans dépendre d'un consultant externe et de défendre les clauses contractuelles côté sales sans escalade juridique. Pour le SaaS comptable régulé (e-facturation 2026-2027) et le SaaS courtiers (DSP2, KYC), c'est la condition de mise en marché.
Première mobilisation significative : BTS IG (Informatique de Gestion). Progression jusqu'à Software Engineer · développeur PHP Zend Framework, avec un niveau actuel de 4/5 (Avancé). Cette continuité témoigne d'une acquisition solide, éprouvée par la répétition et la diversité des contextes.
Mes règles d'or
*Traiter la sécurité comme un livrable continu, pas un événement.* Deux règles : rafraîchir le Top 10 OWASP chaque année sur les stacks actives, faire passer un audit externe au moins une fois par an. Et threat-modeler chaque feature qui touche credentials, paiement ou KYC dès la phase wireframe, pas après. Documenter les choix sécurité dans des ADR pour qu'ils survivent au turn-over.
Mon évolution dans cette compétence
La sécurité applicative et la conformité sont ce qui rend mes décisions CTO acceptables côté board, juridique et clients. Dans le projet à 24 mois, elles me permettent d'attaquer un marché régulé (santé, finance, immobilier institutionnel) sans surcoût juridique externalisé et de passer un audit ISO / SOC2 light sans réécriture massive. Sans elles, le rôle se restreint aux secteurs non régulés et perd la moitié du marché adressable français.
L'objectif observable est de faire passer un audit externe (ISO 27001 light, SOC2 type 1 ou pentest tier 2) sans non-conformité majeure et de défendre la stratégie sécurité devant un comité d'audit en 60 minutes. Maintien Senior par défaut, ouverture vers Expert si l'industrie cible le justifie (santé, finance critique).
Revue annuelle systématique du Top 10 OWASP appliqué aux stacks ACCENSEO, suivi continu des bulletins ANSSI et de Cloudflare Radar, threat-modeling appliqué aux features récentes du SaaS comptable. Master Expert en Ingénierie du Logiciel actif.
Certification CSSLP (Certified Secure Software Lifecycle Professional) ou CISSP visée 2027 selon la maturité du rôle CTO cible. Formation pratique threat-modeling avancé (STRIDE / LINDDUN) prévue 2026.
Ma routine trimestrielle
- veille hebdo : Cloudflare Radar, GitHub Security Blog, bulletins ANSSI, Krebs on Security
- relecture annuelle de *Threat Modeling: Designing for Security* (Adam Shostack), suivi des posts de Tanya Janca
- chaque trimestre, un audit dependency + secret-scan + revue ACL sur chaque produit ACCENSEO