FinTech SaaS · Tri-geo
FinTech SaaS : ISO 27001 en 9 mois, zéro régression de vélocité.
Roadmap freezée par la certif. DevSecOps, IaC policies, Vault, runbook incidents. DORA reste elite.
Indicateur
9 mois
ISO 27001 (vs 18 estimé)
Durée
11 mois
Équipe
6 ingés
Pôle(s)
Tri-geo
ISO 27001 en 9 mois sans freezer la roadmap : c'est faisable, mais ca se prepare comme un release train, pas comme un audit.
Le contexte
FinTech SaaS B2B europeenne, 95 collaborateurs, presence Paris, Montreal et Singapour. Croissance forte (ARR 14 M EUR, +85% YoY), entree imminente sur le segment grand compte qui exigeait ISO 27001 contractuellement. Estimation initiale interne : 18 mois et freeze des nouvelles features.
Le probleme
- ISO 27001 obligatoire pour 6 deals strategiques en pipeline
- Roadmap produit chargee, vitesse DORA elite a maintenir
- CTO et CISO d'accord sur la cible, en desaccord sur la methode
- Aucune politique IaC formalisee, secrets en clair dans CI
- Audit precedent (2024) : 23 findings, dont 5 critiques
L'approche
DevSecOps de bout en bout : la securite devient une feature de la plateforme, pas une checklist d'audit. Industrialisation des controles, automatisation des preuves, audit blanc trois mois avant le final pour deminer.
Les chantiers
- SAST/DAST integres aux pipelines (Snyk Code, OWASP ZAP)
- IaC Terraform avec policies Sentinel : aucune ressource non conforme ne deploie
- Vault pour rotation et injection des secrets, KMS pour encryption
- Runbooks incidents documentes, exercices table-top trimestriels
- Audit blanc en interne au mois 7, audit officiel au mois 9
La stack
- Terraform Cloud avec Sentinel policies
- HashiCorp Vault, AWS KMS
- Snyk Code, Snyk IaC, OWASP ZAP
- GitHub Actions avec OIDC, signed commits obligatoires
- AWS Control Tower pour gouvernance multi-comptes
Les resultats
- Certification ISO 27001 obtenue en 9 mois (vs 18 estime)
- 0 finding critique a l'audit final, 3 mineurs
- Velocite DORA : maintenue elite (deploys/jour, MTTR < 1h)
- Coverage SAST : 92% du code base en CI bloquant
- Rotation secrets : automatisee a 100%
« Abbeal a transforme une contrainte reglementaire en avantage commercial. On a signe trois grands comptes dans les huit semaines suivant la certification. »
Ce qu'on a appris
Sentinel est cher mais paie le ROI sur 6 mois en evitant les remediations post-deploiement. L'audit blanc interne a evite 8 findings potentiels : a refaire systematiquement. Ce qu'on ferait differemment : embarquer le legal des le mois 1, pas au mois 5. Les reformulations contractuelles ont coute trois semaines qu'on n'avait pas prevues.
// À lire ensuite
Joaillerie & horlogerie de luxe · Genève + Paris + Tokyo
Cartier : de l'audit au LLM privé en interne.
Compass (audits architecture frontale + arriere), Mapper (generateur produits horlogerie + joaillerie), ETL donnees concurrence sur BigQuery, et desormais un LLM prive ajuste sur l'infra Cartier. Un partenariat tech long-terme sur la pile data et IA d'une maison de luxe.
LLM privé
ajusté sur infra Cartier
Banque de premier rang · Paris
BNP Paribas : Reference Book PO, de React/Redux aux agents IA produits.
Trois ingénieurs Abbeal au cœur de la place de marché PO. Plateforme React/Redux/Node au départ, désormais augmentée d'un RAG produits, d'agents Claude pour assistance PM, et d'une couche événementielle Kafka pour mise à l'échelle.
RAG
catalogue produits PO
Banque numérique / FinTech · Tokyo (Tamachi)
Money Forward : pile data d'une nouvelle banque numérique à Tokyo.
Money Forward, chef de file FinTech japonais cote a Tokyo, s'est associe a un grand groupe bancaire japonais pour lancer une nouvelle banque numerique batie a partir de zero. Abbeal accompagne sur le volet Data Engineering : conception et industrialisation du Data Hub (Databricks + Delta Lake + dbt + AWS Tokyo) qui sert le reporting JFSA, l'AML, la gestion des risques.
Data Hub
banque numérique from-scratch Tokyo