Références
Quatre missions, chiffrées, anonymisées.
Les noms sont retirés. Les chiffres et le contexte sectoriel sont exacts. Format contexte / trouvé / fait / résultat — pas de « notre méthodologie en 7 étapes » fumeux.
Démo : ces études de cas illustrent ce qu'un consultant établi pourrait afficher. Voir à propos de cette démo.
Cas 01 · SaaS B2B · 12 personnes · série A 4 M€
Audit pré-due-diligence avant levée série B
Contexte
Levée série B en cours, le lead investor demande un audit sécurité tiers avant signing.
Ce qui a été trouvé
- 3 vulnérabilités critiques (auth bypass via JWT mal validé, IDOR sur endpoint admin, secrets en clair dans repo public depuis 14 mois)
- 12 vulnérabilités hautes (CSP désactivée, pas de rate-limit, mots de passe stockés en MD5)
- Aucun registre RGPD, cookies déposés avant consentement, pas de DPO désigné
Ce qui a été fait
Audit 2 semaines + sprint refonte 6 semaines. Réécriture du module auth, mise en place CSP + headers, durcissement Postgres, migration bcrypt, registres RGPD complets.
Résultat
Due-diligence passée sans condition suspensive. Lead investor a explicitement mentionné « niveau de maturité sécu inattendu pour la taille ». Levée bouclée.
Cas 02 · E-commerce indé · 4 personnes · 800 k€ CA
MVP Shopify + extensions custom qui plantait sous charge
Contexte
Site explosé à chaque campagne d’influence. Fuite de panier client, 30 % d’abandons sur paiement.
Ce qui a été trouvé
- Extensions Shopify custom écrites par 3 freelances successifs, aucune doc
- Webhook Stripe vérifié côté serveur mais sans validation de signature (rejouable)
- Page checkout custom avec 47 KB de JS bloquant, 8 trackers tiers
Ce qui a été fait
Refonte des extensions critiques, validation HMAC Stripe correcte, optimisation checkout (passage de 47 KB à 6 KB de JS), réduction trackers à 1 (Plausible self-hosted).
Résultat
Taux d’abandon panier divisé par 2,3. Temps de chargement checkout passé de 4,2 s à 0,9 s. Économie SaaS : 340 €/mois.
Cas 03 · Fintech early-stage · 6 personnes · pre-seed
Conformité bancaire avant agrément PSP
Contexte
Demande d’agrément établissement de paiement en cours. Régulateur exige audit sécu indépendant.
Ce qui a été trouvé
- Architecture acceptable, mais aucune ségrégation entre environnements (test = prod côté DB)
- Logs applicatifs contenant des numéros de carte non masqués
- Pas de procédure incident, pas de PCA testé
Ce qui a été fait
Audit 3 semaines, refonte CI/CD avec environnements isolés, mise en place masking PII dans logs, rédaction procédures incident + test PCA.
Résultat
Agrément obtenu en première instance. Régulateur a noté « démarche sécurité exemplaire pour un acteur de cette taille ».
Cas 04 · Association culturelle · 2 salariés · 80 k€ budget
Site WordPress piraté, demande de rançon
Contexte
Site défacé, base de données chiffrée, demande de rançon 0,3 BTC. Aucune sauvegarde fonctionnelle.
Ce qui a été trouvé
- Plugin WordPress non mis à jour depuis 2 ans, faille connue CVE-2023-XXXX
- Hébergement mutualisé OVH, sauvegardes automatiques OVH désactivées depuis 18 mois
- Aucune trace de l’intrusion (logs rotation 7 jours, intrusion 23 jours auparavant)
Ce qui a été fait
Refus de payer la rançon. Reconstruction depuis l’archive d’une bénévole datant de 6 mois. Migration vers Next.js statique + CMS Decap, hébergement OVH Performance avec sauvegardes immuables.
Résultat
Site rétabli en 12 jours. Coût total mission 4 000 € (TJM associatif). Aucune récidive depuis 20 mois.
Témoignages
Trois clients, citables.
« Le rapport d’audit était lisible, priorisé, sans bullshit. On a su quoi faire dès le lundi suivant. »
« Evan dit non quand il faut dire non. Sur une mission de 35 k€, il en a refusé 8 k€ qu’il jugeait inutiles. C’est rarissime. »
« On a migré 4 SaaS en self-hosted. Économie nette 11 200 €/an. La doc qu’il nous a laissée est meilleure que ce qu’on avait écrit en interne en 3 ans. »
Votre cas
Le vôtre n'est pas dans la liste ?
C'est normal — chaque mission est différente. Le mieux est de se parler 45 min pour voir si je peux être utile.