Contact
Illustration de la compétence Sécurité Applicative & Conformité - Jose DA COSTA
Compétence techniqueSécurité

Sécurité Applicative & Conformité

Réflexes OWASP depuis les années Zend, sécurité réseau acquise au BTS, droit des contrats IT et RGPD au Master et en CTO. Lire un contrat à enjeu de sécurité et durcir un SaaS qui transporte des données financières ou personnelles.

Confiance personnelle
3.0/5· Opérationnel
FondamentalEn développementOpérationnelAvancéExpert
Évolution de cette compétence dans le temps

Ma définition

La sécurité applicative et la conformité, c'est pour moi concevoir un logiciel qui ne fuit pas, ne permet pas d'accès latéral, et ne brise pas les attentes d'un régulateur. Ça couvre OWASP Top 10 (Open Worldwide Application Security Project — la liste de référence des 10 risques de sécurité applicative les plus critiques, mise à jour par la communauté), sécurité réseau, droit des contrats IT, RGPD. Ce n'est pas un add-on qu'on branche en fin de projet, c'est une discipline qu'on installe dès la phase wireframe - sinon la dette de sécurité devient existentielle au premier audit externe sérieux.

Voilà mes 3 couches tenues en parallèle :

  • Code : OWASP (Open Worldwide Application Security) Top 10 internalisé sur les principales bases (PSR, SaaS comptable, Magento, ESB), audit dépendances, secret scanning, threat-modeling sur chaque feature qui touche credentials, paiement ou KYC.
  • Système : segmentation réseau, IAM délimité par rôle, vault credentials, isolation par partenaire via APIM.
  • Conformité : RGPD, négociation contractuelle directe (DPA, SCCs, SLA, réversibilité) que je mène avec un juriste externe en appui sur les négociations courantes.

Baseline réseau posée par le BTS Informatique de Gestion (TCP/IP, sous-réseaux, segmentation, hardening kernel, fail2ban) puis affinée par 11 ans de production entre Zend Framework chez European Sourcing, Magento Enterprise PCI chez Smile, ESB et PSR chez Pichet, et SaaS comptable régulé chez ACCENSEO. La discipline OWASP (Open Worldwide Application Security) s'aiguise par les incidents réels et les audits externes, jamais par la simple lecture du Top 10.

Les trois couches de sécurité applicative et conformité tenues en parallèle : Code (OWASP Top 10, audit dépendances, secret scanning, threat-modeling), Système (segmentation réseau, IAM par rôle, vault credentials, isolation par partenaire via APIM) et Conformité (RGPD, négociation contractuelle directe DPA / SCCs / SLA / réversibilité) — Jose DA COSTA

En 2026, le paysage réglementaire européen impose un saut de maturité : la transposition NIS2 en France est en phase finale d'adoption (loi attendue mi-2026, 15 000 entités concernées, audits réguliers à partir du Q4 2026), avec une fenêtre de reporting d'incident de 24 heures strictement applicable. Les détails sont disponibles sur le suivi officiel de la Commission européenne et, côté français, sur la page officielle de l'ANSSI sur la directive NIS 2 qui détaille le périmètre, les obligations et le calendrier d'accompagnement.

En parallèle, l'AI Act entre en pleine applicabilité, et le mandat français e-facturation 2026-2027 ajoute une couche de conformité fiscale aux SaaS comptables. Le CTO CSSLP/CISSP-ready devient un profil recruté en priorité sur les industries régulées (santé, finance, immobilier institutionnel).

Mes éléments de preuve

Réalisation

Anecdote 1 : Sécuriser la plateforme PSR de bout en bout

La plateforme PSR du Groupe Pichet était une API publique recevant des leads partenaires depuis une dizaine de portails immobiliers externes - chaque lead contenait des données personnelles (nom, email, téléphone, projet immobilier) soumises au RGPD, et chaque credential mal géré ouvrait potentiellement la porte à un détournement de leads vers la concurrence. La protection ne pouvait pas être un add-on, elle devait être dans le design initial.

À mon arrivée, le périmètre n'avait pas la maturité sécurité qu'il aurait dû avoir - credentials peu segmentés, gouvernance d'accès laxiste, données réelles parfois manipulées hors prod. Honnêtement, on aurait dû le faire dès le départ. Le RSSI, le DPO et le chef de projet RSSI du Groupe Pichet ont posé le cadre attendu, et avec Thomas R. on l'a appliqué proprement. Mise en place d'une isolation des credentials par partenaire via APIM (clés API uniques par portail, permissions délimitées par scope, rotation systématique via le cycle de vie APIM). Pour les flux RGPD : HTTPS exclusif, pas de stockage persistant intermédiaire des leads (le CRM commercial reste le seul référentiel), validation au gateway sur le format et la taille des payloads, rejet immédiat des requêtes malformées. Anonymisation systématique des données dans les environnements hors production (dev, recette, staging) avec génération de jeux de tests synthétiques. Politique de purge alignée sur le référentiel CNIL : suppression automatique des leads non convertis 3 ans après le dernier contact (recommandation CNIL pour la prospection commerciale), avec archivage minimal des oppositions à la prospection. Côté CRM, gouvernance d'accès par rôle et par périmètre : chaque opérateur n'avait accès qu'aux portails et programmes dont il était responsable, avec logs d'accès auditables et revue trimestrielle des droits. Audit de sécurité formel en 2023 qui a validé l'ensemble et abouti à un dernier renforcement des contrôles d'accès et à la mise à jour des règles pare-feu.

Audit 2023 validé sans non-conformité majeure, confiance partenaire maintenue sur 3 ans, et zéro incident sécurité sur l'ensemble de l'exploitation - ce qui a permis d'élargir progressivement le périmètre partenaire sans repasser par une nouvelle phase d'évangélisation interne.

Ce projet a installé chez moi une revue sécurité comme cycle récurrent plutôt que comme événement ponctuel. Aujourd'hui, sur chaque mission ACCENSEO qui touche à des données régulées, je rejoue le même pattern : threat-modeler dès la phase wireframe, isolation par rôle dès le design, audit externe au moins une fois par an. C'est ce qui permet de défendre des contrats SLA en face d'un client critique sans avoir à tout justifier à chaque vague.

Voir la réalisation
Réalisation

Anecdote 2 : Concevoir la sécurité du SaaS comptable autour de données régulées

Le SaaS comptable d'ACCENSEO traite ce qu'il y a de plus sensible : données bancaires Open Banking DSP2 (3 providers connectés en parallèle), KYC client, écritures comptables soumises à audit, e-facturation 2026-2027 réglementée par la DGFiP. Avant même de développer une feature, j'ai lancé un audit de sécurité des plateformes concurrentes : il a révélé plusieurs failles critiques chez les acteurs établis (IDOR permettant de voir les données d'un autre client, failles KYC sur la vérification d'identité). Je ne pouvais pas reproduire ces erreurs.

J'ai construit la sécurité avant le code applicatif. Threat model IDOR + KYC posé sur chaque feature qui touche à des données client, contrôle d'accès par 6 rôles différenciés (Admin, Collaborateur, Consultant, Comptable, Comptabilité, Banque) câblé via Better Auth avec MFA complet (email, TOTP, SMS) et jetons de connexion comptable dédiés. Côté flux régulés, j'ai branché l'EDI Teledec (partenaire agréé DGFiP) pour les téléclarations TVA / IS / CFE / DAS2 / PAS, intégré l'Open Banking DSP2 sur 3 providers (GoCardless/Nordigen, Bridge, Qonto) avec respect strict des consentements. Pour la facturation électronique, j'ai construit le pipeline DGFiP v3.1 dès 2025 avant le mandat 2026-2027. J'ai aussi documenté chaque choix sécurité dans des ADR versionnés pour qu'ils survivent à la croissance de l'équipe.

Baseline de conformité atteinte avant l'échéance réglementaire 2026-2027, prêt pour rollout sans réécriture sécuritaire en urgence, et plateforme commercialisable auprès des cabinets comptables et des PME françaises sans dépendre d'un audit externe à chaque cycle.

Sur ce projet, j'ai compris que la conformité régulatoire bien faite devient un moat produit : les concurrents qui ont des failles IDOR ou KYC ne peuvent pas attaquer mon segment sans réécrire des pans entiers. C'est exactement la posture que je veux pousser sur le prochain rôle CTO scale-up en industrie régulée - transformer la régulation en barrière à l'entrée plutôt qu'en boulet.

Voir la réalisation
Réalisation

Anecdote 3 : Sécuriser le SaaS courtier crédit immobilier d'ACCENSEO

Le SaaS courtier crédit immobilier d'ACCENSEO opère sur un marché ultra-régulé : ORIAS (Registre des intermédiaires d'assurance et de courtage), HCSF (Haut Conseil de Stabilité Financière qui fixe les contraintes d'octroi), taux d'usure encadré par la Banque de France, et DSP2 pour l'agrégation bancaire. Chaque dossier de prêt contient des données KYC très sensibles (revenus, dettes, projet immobilier, situation familiale) et doit pouvoir traverser un audit ORIAS sans surprise. Sur ce périmètre, j'ai cadré la sécurité avant de poser la première feature produit - reproduire les failles classiques du marché (IDOR cross-courtier, KYC bancale) aurait condamné la commercialisation.

J'ai mis en place une auth post-mot-de-passe avec WebAuthn / passkeys (FIDO2) pour réduire la surface d'attaque phishing dès le sign-in, avec Better Auth câblé MFA (TOTP, SMS, email) sur les comptes legacy non-passkeys. Threat-modeling KYC sur la collecte de pièces justificatives (RIB, bulletins de salaire, avis d'imposition) avec hashing serveur des documents et accès limité dans le temps par token signé. Côté DSP2, agrégation bancaire via 3 providers (GoCardless/Nordigen, Bridge, Qonto) avec respect strict du flux consentement OAuth + révocation utilisateur. Hub SSO centralisé entre l'espace courtier, co-courtier, client final et banque, avec session courte (15 min idle) et rotation de tokens. Le schéma de rôles sépare strictement courtier / co-courtier / client / banque pour bloquer tout IDOR cross-rôle. Documentation contractuelle ORIAS / HCSF / RGPD versionnée en ADR pour passer les audits sans réécriture.

Auth WebAuthn déployée dès le rollout, DSP2 multi-provider opérationnel sur 3 agrégateurs, périmètre ORIAS-ready documenté et défendable, zéro incident sécurité sur l'exploitation à date. Les contrôles ORIAS / HCSF passent sans non-conformité majeure parce que la conformité est embedded dans le code, pas ajoutée en post-prod.

Sur ce projet, j'ai compris que le mortgage broking est un terrain de jeu sécurité distinct de la comptabilité : KYC plus dense, traçabilité ORIAS exigée, sensibilité DSP2 plus aiguë sur l'agrégation bancaire. C'est cette spécialisation par vertical régulé qui me permet d'arbitrer build vs buy devant un board sans naïveté - chaque domaine a sa réglementation propre, et copier-coller une stack sécurité d'une vertical à l'autre est exactement comment on perd un audit.

Voir la réalisation

Mon autocritique

Niveau Senior sur OWASP (Open Worldwide Application Security) applicatif et droit IT (lecture et négociation contractuelle), Confirmé sur sécurité réseau et RGPD. OWASP Top 10 internalisé sur les principales bases du parcours, baseline réseau posée par le BTS Informatique de Gestion et entretenue par 11 ans de production. Pratique forgée sur 11 ans : coordination contractuelle avec Akeneo, Bynder, et les portails partenaires chez Pichet, puis négociation directe de DPA, SCCs, SLA et clauses de réversibilité comme CTO ACCENSEO et Celiane - je lis et challenge moi-même les clauses, avec un juriste externe en appui sur les négociations courantes. Ce qui reste à muscler : threat modeling formel (STRIDE) et préparation industries hautement régulées comme la santé ou la finance critique.

Niveau de maîtrise sécurité applicative et conformité : Senior sur OWASP Top 10 et droit IT (lecture et négociation contractuelle directe DPA, SCCs, SLA, réversibilité avec Akeneo, Bynder, Pichet puis comme CTO ACCENSEO et Celiane), Confirmé sur sécurité réseau et RGPD, 11 ans de pratique en production, à muscler threat modeling formel STRIDE et industries hautement régulées santé et finance critique — Jose DA COSTA

Indispensable pour un rôle CTO et différenciant explicite sur les industries régulées. C'est ce qui me permet de sécuriser une plateforme produit sans dépendre d'un consultant externe et de défendre les clauses contractuelles côté sales sans escalade juridique. Pour le SaaS comptable régulé (e-facturation 2026-2027) et le SaaS courtiers (DSP2, KYC), c'est la condition de mise en marché.

Étapes clés du parcours : CTO · Founder · directeur technique (1999) → Software Engineer · développeur PHP Zend Framework (2009) → Engineering Manager · Project Manager / Product Owner · Technical Lead (2019) → Master Expert en Ingénierie du Logiciel (2023). Niveau actuel : 3/5 (Opérationnel). Cette continuité témoigne d'une acquisition solide, éprouvée par la répétition et la diversité des contextes.

Mes règles d'or

Traiter la sécurité comme un livrable continu, pas un événement. Mes 4 règles d'or :

  • Rafraîchir le Top 10 OWASP (Open Worldwide Application Security) chaque année sur les stacks actives
  • Faire passer un audit externe au moins une fois par an
  • Threat-modeler chaque feature qui touche credentials, paiement ou KYC dès la phase wireframe, pas après
  • Documenter les choix sécurité dans des ADR pour qu'ils survivent au turn-over

Mon évolution dans cette compétence

La sécurité applicative et la conformité sont ce qui rend mes décisions CTO acceptables côté board, juridique et clients. Dans mon plan de carrière 2026-2028, elles me permettent d'attaquer un marché régulé (santé, finance, immobilier institutionnel) sans surcoût juridique externalisé et de passer un audit ISO / SOC2 light sans réécriture massive. Sans elles, le rôle se restreint aux secteurs non régulés et perd la moitié du marché adressable français.

La sécurité applicative et la conformité comme pont de confiance CTO entre board, juridique et clients d'un côté et le marché régulé français de l'autre (santé, finance, immobilier institutionnel), via un bouclier ISO 27001 light et SOC 2 sur le plan de carrière 2026-2028 qui ouvre 50 % du marché adressable français sans surcoût juridique externalisé — Jose DA COSTA

L'objectif observable est de faire passer un audit externe (ISO 27001 light, SOC2 type 1 ou pentest tier 2) sans non-conformité majeure et de défendre la stratégie sécurité devant un comité d'audit en 60 minutes. Maintien Senior par défaut, ouverture vers Expert si l'industrie cible le justifie (santé, finance critique).

Revue annuelle systématique du Top 10 OWASP (Open Worldwide Application Security) appliqué aux stacks ACCENSEO, suivi continu des bulletins ANSSI et de Cloudflare Radar, threat-modeling appliqué aux features récentes du SaaS comptable. Master Expert en Ingénierie du Logiciel actif.

Certifications visées 2026-2027 :

Formations pratiques 2026 :

  • Threat-modeling avancé (STRIDE / LINDDUN) sur le SaaS comptable et le SaaS courtiers
  • MOOC SecNumacadémie de l'ANSSI en intake continu (gratuit) pour rester aligné sur les fondamentaux français de cybersécurité

Ma routine trimestrielle

Lectures piliers sur la sécurité applicative et la conformité :

Veille continue : Cloudflare Radar, GitHub Security Blog, bulletins ANSSI, Krebs on Security, suivi des posts de Tanya Janca.

Routine trimestrielle : un audit dependency + secret-scan + revue ACL sur chaque produit ACCENSEO, avec mise à jour des ADR sécurité associés.

Couverture du livre Threat Modeling: Designing for Security d'Adam Shostack (Wiley, 2014), référence par le créateur du modèle STRIDE chez MicrosoftCouverture du livre Building Secure and Reliable Systems de Google (O'Reilly, 2020), companion sécurité du SRE Book pour les systèmes en productionCouverture du livre The Web Application Hacker's Handbook de Stuttard et Pinto (Wiley, 2e édition), référence absolue sur la sécurité applicative web et OWASPCouverture du livre Security Engineering de Ross Anderson (Wiley, 3e édition, 2020), encyclopédie fondatrice de l'ingénierie de la sécurité informatiqueCouverture du livre Cybersécurité - Analyser les risques, mettre en œuvre les solutions de Solange Ghernaouti (Dunod 2022), référence académique francophone sur la cybersécurité en entreprise

Navigation circulaire