---
title: "Sécurité Applicative & Conformité - José DA COSTA"
description: "La sécurité applicative et la conformité, c'est pour moi **concevoir un logiciel qui ne fuit pas, ne permet pas d'accès latéral, et ne brise pas les attentes d'un régulateur**. Ça couvre OWASP Top 10,"
locale: "fr"
canonical: "https://portfolio.josedacosta.info/fr/competences/securite-applicative-conformite"
source: "https://portfolio.josedacosta.info/fr/competences/securite-applicative-conformite.md"
html_source: "https://portfolio.josedacosta.info/fr/competences/securite-applicative-conformite"
author: "José DA COSTA"
type: "skill"
slug: "application-security-compliance"
generated_at: "2026-04-26T21:13:40.248Z"
---

# Sécurité Applicative & Conformité

Icône: 🔐

## Ma définition

La sécurité applicative et la conformité, c'est pour moi **concevoir un logiciel qui ne fuit pas, ne permet pas d'accès latéral, et ne brise pas les attentes d'un régulateur**. Ça couvre OWASP Top 10, sécurité réseau, droit des contrats IT, RGPD. Ce n'est pas un add-on qu'on branche en fin de projet, c'est une discipline qu'on installe dès la phase wireframe - sinon la dette de sécurité devient existentielle au premier audit externe sérieux.

### Contexte

Je travaille sur **3 couches** que je tiens en parallèle. **Code** : OWASP Top 10 internalisé sur 8 références portfolio (PSR, SaaS comptable, Magento, ESB), audit dépendances, secret scanning, threat-modeling sur chaque feature qui touche credentials, paiement ou KYC. **Système** : segmentation réseau, IAM délimité par rôle, vault credentials, isolation par partenaire via APIM. **Conformité** : RGPD, négociation contractuelle directe (DPA, SCCs, SLA, réversibilité) que je mène sans dépendre d'un juriste externe sur les négociations courantes. Baseline réseau posée par le **BTS Informatique de Gestion** et entretenue par 11 ans de production.

### Pertinence

En 2026, le paysage réglementaire européen impose un saut de maturité : la **transposition NIS2 en France** est en phase finale d'adoption (loi attendue mi-2026, **15 000 entités** concernées, audits réguliers à partir du Q4 2026), avec une fenêtre de reporting d'incident de **24 heures** strictement applicable. Les détails sont disponibles sur [le suivi officiel de la Commission européenne](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive-france) et, côté français, sur [la page officielle de l'ANSSI sur la directive NIS 2](https://cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/directives-nis-nis2-et-dispositif-saiv/directive-nis-2/) qui détaille le périmètre, les obligations et le calendrier d'accompagnement. En parallèle, l'**AI Act** entre en pleine applicabilité, et le **mandat français e-facturation 2026-2027** ajoute une couche de conformité fiscale aux SaaS comptables. Le CTO CSSLP/CISSP-ready devient un profil recruté en priorité sur les industries régulées (santé, finance, immobilier institutionnel).

## Mes éléments de preuve

### Sécuriser la plateforme PSR de bout en bout

**Contexte:** La plateforme **PSR** du Groupe Pichet était une **API publique recevant des leads partenaires** depuis une dizaine de portails immobiliers externes - chaque lead contenait des données personnelles (nom, email, téléphone, projet immobilier) soumises au **RGPD**, et chaque credential mal géré ouvrait potentiellement la porte à un détournement de leads vers la concurrence. La protection ne pouvait pas être un add-on, elle devait être dans le design initial.

**Mise en œuvre:** J'ai imposé une **isolation des credentials par partenaire via Microsoft APIM** (clés API uniques par portail, permissions délimitées par scope, **rotation systématique** via le cycle de vie APIM). Pour les flux RGPD, **HTTPS exclusif**, **pas de stockage persistant intermédiaire** des leads (le CRM commercial reste le seul référentiel), validation au gateway sur le format et la taille des payloads, et rejet immédiat des requêtes malformées. J'ai mené un **audit de sécurité formel en 2023** qui a abouti à un renforcement des contrôles d'accès et à la mise à jour des règles pare-feu. En parallèle, j'ai outillé une **isolation par rôle** sur les credentials internes pour que chaque opérateur n'ait accès qu'aux portails dont il était responsable.

**Résultat:** **Audit 2023 validé** sans non-conformité majeure, **confiance partenaire maintenue** sur 3 ans, et **zéro incident sécurité** sur l'ensemble de l'exploitation - ce qui a permis d'élargir progressivement le périmètre partenaire sans repasser par une nouvelle phase d'évangélisation interne.

**Valeur ajoutée:** Ce projet a installé chez moi une **revue sécurité comme cycle récurrent** plutôt que comme événement ponctuel. Aujourd'hui, sur chaque mission ACCENSEO qui touche à des données régulées, je rejoue le même pattern : threat-modeler dès la phase wireframe, isolation par rôle dès le design, audit externe au moins une fois par an. C'est ce qui permet de défendre des contrats SLA en face d'un client critique sans avoir à tout justifier à chaque vague.

### Concevoir la sécurité du SaaS comptable autour de données régulées

**Contexte:** Le SaaS comptable d'ACCENSEO traite ce qu'il y a de plus sensible : **données bancaires Open Banking DSP2** (3 providers connectés en parallèle), **KYC client**, **écritures comptables** soumises à audit, **e-facturation 2026-2027** réglementée par la DGFiP. Avant même de développer une feature, j'ai lancé un **audit de sécurité des plateformes concurrentes** : il a révélé plusieurs failles critiques chez les acteurs établis (**IDOR** permettant de voir les données d'un autre client, **failles KYC** sur la vérification d'identité). Je ne pouvais pas reproduire ces erreurs.

**Mise en œuvre:** J'ai construit la sécurité **avant le code applicatif**. **Threat model IDOR + KYC** posé sur chaque feature qui touche à des données client, contrôle d'accès **par 6 rôles** différenciés (Admin, Collaborateur, Consultant, Comptable, Comptabilité, Banque) câblé via **Better Auth** avec **MFA** complet (email, TOTP, SMS) et **jetons de connexion comptable** dédiés. Côté flux régulés, j'ai branché l'**EDI Teledec** (partenaire agréé DGFiP) pour les téléclarations TVA / IS / CFE / DAS2 / PAS, intégré l'**Open Banking DSP2** sur 3 providers (GoCardless/Nordigen, Bridge, Qonto) avec respect strict des consentements. Pour la facturation électronique, j'ai construit le pipeline **DGFiP v3.1** dès 2025 avant le mandat 2026-2027. J'ai aussi documenté chaque choix sécurité dans des **ADR versionnés** pour qu'ils survivent à la croissance de l'équipe.

**Résultat:** **Baseline de conformité atteinte avant l'échéance réglementaire 2026-2027**, **prêt pour rollout** sans réécriture sécuritaire en urgence, et plateforme commercialisable auprès des cabinets comptables et des PME françaises sans dépendre d'un audit externe à chaque cycle.

**Valeur ajoutée:** Sur ce projet, j'ai compris que la **conformité régulatoire bien faite devient un moat produit** : les concurrents qui ont des failles IDOR ou KYC ne peuvent pas attaquer mon segment sans réécrire des pans entiers. C'est exactement la posture que je veux pousser sur le prochain rôle CTO scale-up en industrie régulée - **transformer la régulation en barrière à l'entrée** plutôt qu'en boulet.

### Tenir la discipline PCI / OWASP sur Magento Enterprise

**Contexte:** À la refonte de Fleurance Nature en 2017, **Magento Enterprise Edition 1.10** portait la responsabilité PCI-DSS du e-commerce de l'entreprise (paiement en ligne sur **3 storefronts**, **4 groupes clients**, **12 matrices tarifaires**). Avec **60 modules custom** et **1 040 fichiers PHP** modifiés, le risque d'introduire une régression sécurité à chaque release était permanent - et toute fuite carte aurait coûté la conformité PCI au groupe.

**Mise en œuvre:** J'ai imposé sur chaque module custom le respect strict des **patterns PCI-aware** : **aucun stockage de données carte** côté Magento (délégation totale au prestataire de paiement certifié), passage systématique par les patterns **Observer / Strategy** pour ne jamais toucher au cœur Magento - ce qui empêche l'introduction inattendue d'un point de capture - et **suite de régression sécurité complète** avant chaque release. Côté **OWASP Top 10**, j'ai cadré la prévention des XSS sur les contributions UGC, l'isolation des sessions multi-store, et la validation stricte des entrées sur tous les formulaires custom.

**Résultat:** **Zéro incident sécurité production** sur la migration et sur les 5 années d'exploitation qui ont suivi, **conformité PCI** maintenue tout au long du process, et le **cache Varnish** est resté opérationnel sans introduire de bypass d'authentification.

**Valeur ajoutée:** Sur ce projet, j'ai installé chez moi la **sécurité comme revue quotidienne** plutôt que comme audit annuel. C'est ce réflexe-là qui me permet aujourd'hui de négocier les **clauses contractuelles IT** (DPA, SCCs, SLA, réversibilité) en direct chez ACCENSEO sans passer par un juriste externe sur les négociations courantes - parce que je sais ce que je signe.

## Mon autocritique

### Degré de maîtrise

Niveau **Senior** sur OWASP applicatif et droit IT (lecture et négociation contractuelle), **Confirmé** sur sécurité réseau et RGPD. OWASP Top 10 internalisé sur 8 références portfolio, baseline réseau posée par le BTS Informatique de Gestion et entretenue par 11 ans de production. Comme CTO ACCENSEO et Celiane, je négocie moi-même les clauses contractuelles (DPA, SCCs, SLA, réversibilité) sans juriste externe sur les négociations courantes. Ce qui reste à muscler : **threat modeling formel** (STRIDE) et préparation industries hautement régulées comme la santé ou la finance critique.

### Importance dans mon profil

Hygiène de base pour tout rôle CTO et différenciant explicite sur les industries régulées. C'est ce qui me permet de sécuriser une plateforme produit sans dépendre d'un consultant externe et de défendre les clauses contractuelles côté sales sans escalade juridique. Pour le SaaS comptable régulé (e-facturation 2026-2027) et le SaaS courtiers (DSP2, KYC), c'est la condition de mise en marché.

### Conseils (pour moi-même et pour les autres)

### Mes règles d'or

*Traiter la sécurité comme un livrable continu, pas un événement.* Deux règles : rafraîchir le Top 10 OWASP chaque année sur les stacks actives, faire passer un audit externe au moins une fois par an. Et threat-modeler chaque feature qui touche credentials, paiement ou KYC **dès la phase wireframe**, pas après. Documenter les choix sécurité dans des ADR pour qu'ils survivent au turn-over.

## Mon évolution dans cette compétence

### Rôle dans mon projet professionnel

La sécurité applicative et la conformité sont **ce qui rend mes décisions CTO acceptables côté board, juridique et clients**. Dans le projet à 24 mois, elles me permettent d'attaquer un marché régulé (santé, finance, immobilier institutionnel) sans surcoût juridique externalisé et de passer un audit ISO / SOC2 light sans réécriture massive. Sans elles, le rôle se restreint aux secteurs non régulés et perd la moitié du marché adressable français.

### Niveau souhaité à moyen terme

L'objectif observable est de **faire passer un audit externe** (ISO 27001 light, SOC2 type 1 ou pentest tier 2) sans non-conformité majeure et de **défendre la stratégie sécurité devant un comité d'audit en 60 minutes**. Maintien Senior par défaut, ouverture vers Expert si l'industrie cible le justifie (santé, finance critique).

### Formations en cours

Revue annuelle systématique du **Top 10 OWASP** appliqué aux stacks ACCENSEO, suivi continu des [bulletins ANSSI](https://www.cert.ssi.gouv.fr/) et de [Cloudflare Radar](https://radar.cloudflare.com/), threat-modeling appliqué aux features récentes du SaaS comptable. Master Expert en Ingénierie du Logiciel actif.

### Formations à venir

Certification **CSSLP** (Certified Secure Software Lifecycle Professional) ou **CISSP** visée 2027 selon la maturité du rôle CTO cible. Formation pratique threat-modeling avancé (STRIDE / LINDDUN) prévue 2026.

## Progression à travers les parcours

Cette compétence a été développée dans 9 parcours différents.

- **1999** - [CTO · Founder · directeur technique](https://portfolio.josedacosta.info/fr/parcours/celiane-founder.md) (entrepreneurship) - Confidence: 1/5
- **2001** - [BTS IG (Informatique de Gestion)](https://portfolio.josedacosta.info/fr/parcours/bts-computer-science.md) (education) - Confidence: 1/5
- **2008** - [Junior Software Engineer · webmaster développeur PHP Joomla](https://portfolio.josedacosta.info/fr/parcours/ministere-sante-webmaster.md) (experience) - Confidence: 2/5
- **2009** - [Software Engineer · développeur PHP Zend Framework](https://portfolio.josedacosta.info/fr/parcours/european-sourcing-engineer.md) (experience) - Confidence: 4/5
- **2013** - [Senior Software Engineer · lead développeur PHP Symfony](https://portfolio.josedacosta.info/fr/parcours/medialeads-senior-engineer.md) (experience) - Confidence: 3/5
- **2017** - [Senior Software Engineer · lead développeur PHP Magento](https://portfolio.josedacosta.info/fr/parcours/smile-senior-engineer.md) (experience) - Confidence: 3/5
- **2019** - [Engineering Manager · Project Manager / Product Owner · Technical Lead](https://portfolio.josedacosta.info/fr/parcours/pichet-group.md) (experience) - Confidence: 4/5
- **2019** - [Technical Lead · Flux et Produits : contenus et intégration d'entreprise](https://portfolio.josedacosta.info/fr/parcours/pichet-technical-lead.md) (experience) - Confidence: 3/5
- **2023** - [Master Expert en Ingénierie du Logiciel](https://portfolio.josedacosta.info/fr/parcours/master-software-engineering.md) (education) - Confidence: 4/5

## Réalisations associées

- [Intelligent Accounting SaaS Platform](https://portfolio.josedacosta.info/fr/realisations/plateforme-comptabilite-saas.md) - Competitor security audit (IDOR, KYC) feeding the platform's secure-by-design conception
- [Partner Lead Reception API Platform (alias PSR)](https://portfolio.josedacosta.info/fr/realisations/plateforme-api-reception-leads-partenaires.md) - APIM credential isolation, GDPR compliance and 2023 security audit

Version interactive avec navigation : https://portfolio.josedacosta.info/fr/competences/securite-applicative-conformite