La Méthode
Comment les engagements se déroulent vraiment.
Pas un argument de vente. Un document d'ingénierie.
01
Diagnostiquer
Nous cartographions vos systèmes, vos risques, vos contraintes et vos objectifs. Nous interviewons vos responsables techniques, examinons votre architecture et réalisons un premier modèle de menace.
Rapport de diagnostic écrit : carte système, registre des risques, liste des contraintes et périmètre d'engagement proposé.
1–2 semaines
Votre côté : DSI ou équivalent, un lead technique. Notre côté : responsable d'engagement et un spécialiste.
Si votre documentation interne est incomplète ou l'accès restreint, le diagnostic prend plus de temps. Nous vous le dirons avant que cela vous coûte de l'argent.
02
Architecturer
Nous concevons le système. Modèle de sécurité, flux de données, contrats API, topologie d'infrastructure, architecture d'interface. Nous présentons la conception pour votre validation avant de construire quoi que ce soit.
Document d'architecture, modèle de menace, diagramme d'infrastructure, maquettes d'interface (si applicable) et calendrier révisé.
1–3 semaines selon le périmètre
Votre côté : lead technique et product owner. Notre côté : équipe d'engagement complète.
Les changements d'architecture en cours de développement sont coûteux. Si vos besoins changent après validation, nous renégocions le périmètre.
03
Construire
Nous livrons du code de qualité production en cycles hebdomadaires. Chaque pull request est revue par un second ingénieur. Les contrôles de sécurité sont intégrés, pas ajoutés après. Vous avez accès en lecture au dépôt dès le premier jour.
Builds hebdomadaires en staging. Accès complet au dépôt. Points bi-hebdomadaires.
Variable selon le périmètre. Projets typiques : 6–16 semaines.
Votre côté : un point de contact technique. Notre côté : 1–3 ingénieurs selon le périmètre.
L'expansion du périmètre est la cause la plus fréquente de dépassement. Nous signalons les changements par écrit avant d'agir.
04
Renforcer
Nous red-teamons notre propre travail. Un membre de notre pratique sécurité qui n'était pas dans l'équipe de développement mène une revue adversariale du système livré. Nous corrigeons ce que nous trouvons avant la livraison.
Rapport de revue adversariale, commits de remédiation, validation de sécurité finale, runbook et documentation de transfert.
1–2 semaines
Votre côté : minimal — revue et validation. Notre côté : spécialiste sécurité et lead développement.
Le renforcement révèle parfois des problèmes architecturaux qui nécessitent plus que des correctifs. Nous n'avons jamais livré un système que nous n'étions pas prêts à signer.