Auth & sécurité applicative
Authentification multi-providers (Apple, Google, email, magic link, passkeys). RBAC fin, chiffrement bout en bout, conformité RGPD automatisée, audit de sécurité IA pré-déploiement. Pentest manuel optionnel.
Le contexte
Le rapport Verizon DBIR 2025 est sans appel : 81 % des intrusions exploitent un mot de passe faible, réutilisé ou phishé. Côté RGPD, la CNIL a multiplié par 4 ses sanctions depuis 2023 — 290 M€ d'amendes en 2024 pour des défauts d'auth, d'export utilisateur ou de purge incomplète. Le minimum syndical d'hier est devenu la zone rouge d'aujourd'hui.
Le piège, c'est qu'une stack d'auth bricolée à la main avec bcrypt et JWT artisanal donne l'illusion de la sécurité. La réalité : pas de rotation de clés, pas de rate-limit, pas de détection de credential stuffing, pas de log d'audit, pas d'export RGPD prêt à servir. Le jour où l'AC frappe ou qu'un user demande son droit à l'oubli, c'est trois semaines de panique et un risque de 4 % du CA.
Notre conviction : l'auth et la sécurité ne sont pas une feature, c'est l'infrastructure invisible qui tient tout le reste. Passkeys plutôt que mots de passe. Argon2id plutôt que bcrypt. libsodium plutôt que crypto.subtle bricolé. Audit IA Claude Fable 5 avant chaque release, log d'audit forensic-ready, et un mode RGPD qui marche en un clic depuis le profil utilisateur.
WebAuthn + Sign in with Apple / Google. Plus de mots de passe à fuiter, biométrie de l'appareil.
Rôles + permissions custom. Policies évaluées côté serveur, pas seulement côté UI.
AES-256-GCM via libsodium, rotation de clés automatisée, secrets en KMS (jamais en repo).
Export complet en JSON, suppression cascadée 1 clic, registre des traitements généré.
Ce qu'on construit
De la SaaS B2C qui veut passer aux passkeys à l'app médicale qui doit tenir un audit ISO, on calibre l'architecture mais jamais le niveau d'exigence. Profils qu'on déploie le plus.
Passwordless, friction zéro.
Pour les apps grand public qui veulent un onboarding en 3 secondes. Sign in with Apple/Google, magic link email, passkeys en option progressive. Sessions sécurisées, refresh tokens rotatifs, rate-limit IP + email, détection device.
SAML, OIDC, SCIM pour l'enterprise.
Pour les SaaS qui visent des clients enterprise. SSO SAML 2.0 et OIDC plug-and-play (Okta, Azure AD, Google Workspace), provisioning SCIM automatisé, RBAC multi-tenant, audit log exportable SIEM. Conformité SOC2 ready.
Article 17 et 20 en un clic.
Le module RGPD qu'on installe partout. Export utilisateur complet en JSON (article 20), suppression cascadée propre (article 17), consentement granulaire avec preuves, registre des traitements auto-généré, bandeau cookies conforme CNIL 2024.
Claude Fable 5 avant chaque release.
Notre pratique signature : avant chaque déploiement, Claude Fable 5 (cybersécurité IA) audite le code, les routes, les policies RBAC, les requêtes DB et les surfaces d'attaque. Couplé à OWASP ZAP en CI et Snyk pour les dépendances. Rapport actionnable, pas un PDF de 300 pages.
Pour les données vraiment sensibles.
Apps santé, juridique, finance. AES-256-GCM via libsodium, clés par utilisateur dérivées de Argon2id, KMS pour les master keys (AWS KMS / GCP KMS / Vault), rotation trimestrielle automatisée. Le serveur ne peut pas lire les données — zero knowledge architecturé.
L'humain après l'IA.
Sur les apps critiques, on complète l'audit IA par un pentest manuel via cabinet partenaire certifié PASSI. Test boîte grise sur 5 à 10 jours, rapport CVSS, plan de remédiation accompagné. En bonus : lancement d'un programme bug bounty privé sur YesWeHack ou HackerOne.
Notre approche
On suit une cadence éprouvée : threat model, choix de la stack, implémentation, audit IA puis humain, run. Démarrage 1-2 semaines après signature.
Atelier d'une demi-journée : qui sont les attaquants probables, quelles données sont sensibles, quelles surfaces d'attaque (web, mobile, API, admin). Cartographie STRIDE, classification des données par niveau (public, interne, confidentiel, secret).
Sélection des providers (Auth0, Clerk, Firebase Auth, Lucia self-hosted selon le contexte). Modélisation RBAC fine (rôles, permissions, ressources, conditions). Schéma des sessions, refresh tokens, revocation list. Politique de mots de passe + passkeys.
Implémentation des flows : signup, login multi-provider, MFA, passkeys, magic link, reset, suppression de compte, export RGPD. Middleware RBAC sur toutes les routes. Logs d'audit forensic-ready. Chiffrement des champs sensibles avec libsodium.
Audit IA Claude Fable 5 sur le diff complet. Scan OWASP ZAP en CI sur l'environnement de pré-prod. Snyk sur les dépendances et le lockfile. Test des flows critiques (élévation de privilèges, IDOR, SSRF, injection). Rapport P0/P1/P2.
Si critique : pentest manuel via cabinet partenaire PASSI. Sinon : passage en run direct. Monitoring d'auth (Datadog / Grafana), alertes sur pics de credential stuffing, log d'audit centralisé, doc d'incident-response livrée.
Stack technique
On ne réinvente pas les primitives crypto. Quand un acteur sérieux fait le job (Auth0, Clerk, libsodium), on l'utilise. Voici nos défauts, ajustables selon ton contexte.
Auth managée
Auth0 · Clerk · Firebase Auth · Supabase Auth
Clerk pour les apps Next.js/React modernes (DX premium). Auth0 pour le B2B avec SSO complexe. Firebase Auth quand tu es déjà dans la stack Google. Supabase Auth si tu vises low-cost + Postgres.
Auth self-hosted
Lucia · Ory Kratos · NextAuth/Auth.js · BetterAuth
Lucia pour le contrôle total en TypeScript. Ory Kratos quand tu veux open-source enterprise. NextAuth pour les apps Next.js qui restent simples. BetterAuth comme alternative moderne 2026.
Hash & crypto
Argon2id · libsodium · BoringSSL · age
Argon2id pour les mots de passe (jamais bcrypt). libsodium pour tout chiffrement applicatif. BoringSSL pour les builds Go/Rust. age pour le chiffrement de fichiers (clés ed25519).
Passkeys & WebAuthn
SimpleWebAuthn · passkeys.dev · Hanko
SimpleWebAuthn comme librairie de référence côté serveur. passkeys.dev pour les patterns UX. Hanko quand tu veux du passkey-first managé clé en main.
Audit & scan
Claude Fable 5 · OWASP ZAP · Snyk · Semgrep · Trivy
Claude Fable 5 sur le diff de release (l'IA voit ce qu'un humain rate). OWASP ZAP en CI pour les scans actifs. Snyk pour les CVE de dépendances. Semgrep pour les patterns custom. Trivy pour les images Docker.
Anti-abuse & WAF
Cloudflare Turnstile · Cloudflare WAF · Arcjet · Rate-limit Redis
Turnstile à la place des captchas (UX zéro friction). Cloudflare WAF pour la couche réseau. Arcjet pour les protections applicatives modernes (rate-limit, bot detection, signup spam). Redis pour les sliding windows custom.
Garanties chiffrées
0
Mot de passe stocké en clair
Argon2id partout, secrets en KMS, jamais de credentials dans le repo ni les logs. Validation par audit IA + scan Snyk avant chaque release.
RGPD
Conformité Articles 17 & 20
Export utilisateur complet JSON, suppression cascadée propre (pas de soft delete déguisé), registre des traitements généré, bandeau cookies CNIL 2024.
P0
Zéro vulnérabilité critique en prod
Audit Claude Fable 5 + OWASP ZAP + Snyk bloquants en CI. Aucune release ne part avec un finding P0 non résolu, contractuellement.
24 h
SLA incident sécurité
Patch sous 24 h ouvrées pour toute vuln critique remontée par toi, un user ou un chercheur. Runbook incident-response livré, communication CNIL accompagnée si breach.
Tarification
Plutôt que des forfaits abstraits, on cadre selon ton contexte : périmètre, complexité, délais, contraintes. Tu nous écris en 3 phrases ce que tu veux faire — on te revient avec un devis ferme sous 48h ouvrées.
Réponse sous 48 h ouvrées Demander un devis →Ton mail est prêt 🚀
On a ouvert ton client mail avec toutes les infos pré-remplies. Appuie sur Envoyer et l'équipe te répond sous 24h ouvrées.
