Démonstration Cyberviseur · persona fictive · aucune mission réelleEn savoir plus
Evan ElliotSécurité · Full-stack · OSS
Menu

Profil

Douze ans à construire — et à réparer ce que d'autres ont cassé.

Je suis Evan Elliot, consultant indépendant basé à Rennes. Sécurité applicative, développement full-stack, intégration d'outils open-source. Mon métier tient sur une idée simple : un logiciel sérieux protège ses utilisateurs par défaut, pas en option payante.

Parcours

Diplômé d'une école d'ingénieur généraliste (Rennes, 2014), j'ai démarré chez un éditeur SaaS B2B comme développeur backend. Trois ans plus tard, tech lead sur la plateforme de paiement. En 2019, recruté comme premier ingénieur sécurité d'une scale-up santé (40 → 220 personnes en 4 ans). J'y ai monté le programme bug-bounty, fait passer la stack en CSP stricte, piloté la certification HDS, et formé une équipe de 4 personnes.

Depuis 2024, je suis à mon compte. Je travaille en direct, sans intermédiaire ni sous-traitance cachée. Mes clients : fondateurs early-stage, PME en croissance, et quelques associations qui n'ont pas le budget d'une SSII traditionnelle.

Ce qui me distingue

  • Je code et j'audite.La plupart des « consultants sécurité » n'ont pas mis les mains dans un repo depuis dix ans. Moi, je vous livre une PR — pas seulement un PDF de recommandations.
  • Je vous rends autonome.Mon objectif n'est pas que vous ayez besoin de moi indéfiniment. À la fin d'une mission, votre équipe sait maintenir ce qu'on a construit.
  • Je dis non.Si vous me demandez de durcir un système qui devrait être réécrit, je le dis. Si vous voulez un service que je ne sais pas livrer correctement, je vous renvoie vers quelqu'un de meilleur.
  • Open-source par défaut. Je préfère Plausible à Google Analytics, n8n à Zapier, Supabase à Firebase. Pas par idéologie — parce que vous gardez le contrôle et la facture reste lisible.

Ce que je ne fais pas

La liste des trucs que je refuse est plus informative que celle des trucs que je vends :

  • Le pen-test offensif sans mandat écrit. Cadre légal sérieux ou rien — Article 323-1 du Code pénal, ce n'est pas une blague.
  • Les missions « régie open bar ». Toujours un livrable défini, un budget plafond, une date.
  • Le mobile natif.iOS/Android n'est pas mon métier. Si vous avez besoin de ça, je vous oriente.
  • Les architectures « microservices for the sake of it ». 80 % des projets vivent mieux sur un monolithe modulaire. Je vous le dis, même si ça réduit la facture.
  • Le code anti-RGPD. Trackers tiers sans consent, cookies déposés avant clic, formulaires qui spamment Mailchimp sans base légale — je ne participe pas.

Stack & outils

Front : Next.js (15+), React 19, TypeScript strict, Tailwind, Zod côté client. Back : Node 22+, Postgres 15+, Drizzle ou Prisma, Redis pour les caches/rate-limits. Infra : Docker distroless, Caddy ou Nginx, GitHub Actions, déploiement Hetzner / Scaleway / OVH selon contrainte souveraineté. Observabilité : Plausible, Sentry self-hosted, Grafana.

Je ne suis pas dogmatique : si votre stack est Django ou Rails et qu'elle tourne bien, on continue avec. Le bon outil, c'est celui que votre équipe maintient sans souffrance.

Étapes suivantes

Si ce qui précède résonne, on peut prendre un appel diagnostic de 45 min— gratuit, sans engagement. Ou bien parcourez d'abord l'approche détaillée et les missions types.