Démonstration Cyberviseur · persona fictive · aucune mission réelleEn savoir plus
Evan ElliotSécurité · Full-stack · OSS
Menu

L’approche

Cinq principes — non négociables.

Ce ne sont pas des « valeurs d'entreprise » affichées sur la page Carrières. Ce sont les règles concrètes qui décident de ce que j'accepte de faire, et à quel prix. Si l'un d'eux vous pose problème, on ne va pas bien s'entendre — et c'est OK, autant le savoir tôt.

1. La sécurité est dans le devis, pas en option

Quand un fournisseur facture la « sécurisation HTTPS », le « audit OWASP » ou le « durcissement post-livraison » en option, il vous dit en réalité : j'ai livré du code par défaut peu sûr. C'est comme un garagiste qui vous facturerait en supplément le fait de visser les roues.

Sur mes missions, la CSP stricte, les headers de sécurité, la validation d'entrée, le rate-limit, le hashing correct des mots de passe — tout ça est dans le forfait. Pas un module premium.

2. Open-source d'abord — par souveraineté, pas par idéologie

Quand un SaaS coûte 800 €/mois et qu'on peut faire la même chose avec n8n / Plausible / Supabase self-hosted à 30 €/mois, la question n'est pas « pourquoi quitter le SaaS ». La question est pourquoi y rester.

Argument souvent entendu : « c'est plus simple, je n'ai pas à gérer l'infra ». C'est vrai. Mais quand le SaaS en question change ses CGU, augmente ses prix de 60 %, ferme votre compte sans préavis pour « violation de politique », ou subit une fuite de données qui inclut les vôtres — vous découvrez que la « simplicité » avait un prix. Et qu'il est payable en panique.

3. Le code que je livre est le vôtre — entièrement

Pas de licence propriétaire cachée, pas de modules « cœur » que je garderais et que je facturerais à la maintenance. Tout est dans votre repo, sous votre licence, lisible et modifiable par n'importe quel dev compétent que vous embaucherez ensuite.

C'est le contraire du modèle « consulting → revente → lock-in » qui pourrit la profession. Ce modèle me fait perdre des missions de maintenance. Tant mieux : ces missions, c'est de la rente, pas du travail utile.

4. Si je ne suis pas le bon profil, je le dis

Vous arrivez avec un besoin de mobile natif Swift ? Je ne sais pas faire correctement. Je vous oriente vers un confrère que je connais. Vous avez besoin d'un pen-test red team complet ? Pareil — c'est un autre métier, je vous donne des contacts.

C'est une posture qui m'a coûté plusieurs missions. C'est aussi pour ça que 80 % de mes clients reviennent : la première fois, j'ai dit la vérité.

5. RGPD n'est pas une case à cocher

Le RGPD est en vigueur depuis 2018. Sept ans plus tard, la CNIL continue de sanctionner des sites qui déposent des cookies avant consentement, des formulaires qui n'informent pas, des bases qui ne sont pas chiffrées au repos. Ce ne sont pas des « erreurs mineures de conformité » — ce sont des négligences professionnelles.

Sur mes missions, le respect RGPD est traité comme le respect HTTP/2 ou TypeScript strict : c'est de la qualité de base, pas un livrable séparé. Si votre projet repose sur du tracking non-consenti, je ne suis pas votre prestataire.

Curieux du fonctionnement concret ?

Découvrez qui je peux aider — et qui non, ou parcourez les trois missions canoniques que je propose.