FinTech SaaS · Tri-geo
FinTech SaaS : ISO 27001 en 9 mois, zéro régression de vélocité.
Roadmap freezée par la certif. DevSecOps, IaC policies, Vault, runbook incidents. DORA reste elite.
KPI
9 mois
ISO 27001 (vs 18 estimé)
Durée
11 mois
Équipe
6 ingés
Hub(s)
Tri-geo
ISO 27001 en 9 mois sans freezer la roadmap : c'est faisable, mais ca se prepare comme un release train, pas comme un audit.
Le contexte
FinTech SaaS B2B europeenne, 95 collaborateurs, presence Paris, Montreal et Singapour. Croissance forte (ARR 14 M EUR, +85% YoY), entree imminente sur le segment grand compte qui exigeait ISO 27001 contractuellement. Estimation initiale interne : 18 mois et freeze des nouvelles features.
Le probleme
- ISO 27001 obligatoire pour 6 deals strategiques en pipeline
- Roadmap produit chargee, vitesse DORA elite a maintenir
- CTO et CISO d'accord sur la cible, en desaccord sur la methode
- Aucune politique IaC formalisee, secrets en clair dans CI
- Audit precedent (2024) : 23 findings, dont 5 critiques
L'approche
DevSecOps de bout en bout : la securite devient une feature de la plateforme, pas une checklist d'audit. Industrialisation des controles, automatisation des preuves, audit blanc trois mois avant le final pour deminer.
Les chantiers
- SAST/DAST integres aux pipelines (Snyk Code, OWASP ZAP)
- IaC Terraform avec policies Sentinel : aucune ressource non conforme ne deploie
- Vault pour rotation et injection des secrets, KMS pour encryption
- Runbooks incidents documentes, exercices table-top trimestriels
- Audit blanc en interne au mois 7, audit officiel au mois 9
La stack
- Terraform Cloud avec Sentinel policies
- HashiCorp Vault, AWS KMS
- Snyk Code, Snyk IaC, OWASP ZAP
- GitHub Actions avec OIDC, signed commits obligatoires
- AWS Control Tower pour gouvernance multi-comptes
Les resultats
- Certification ISO 27001 obtenue en 9 mois (vs 18 estime)
- 0 finding critique a l'audit final, 3 mineurs
- Velocite DORA : maintenue elite (deploys/jour, MTTR < 1h)
- Coverage SAST : 92% du code base en CI bloquant
- Rotation secrets : automatisee a 100%
« Abbeal a transforme une contrainte reglementaire en avantage commercial. On a signe trois grands comptes dans les huit semaines suivant la certification. »
Ce qu'on a appris
Sentinel est cher mais paie le ROI sur 6 mois en evitant les remediations post-deploiement. L'audit blanc interne a evite 8 findings potentiels : a refaire systematiquement. Ce qu'on ferait differemment : embarquer le legal des le mois 1, pas au mois 5. Les reformulations contractuelles ont coute trois semaines qu'on n'avait pas prevues.
// À lire ensuite
Joaillerie & horlogerie de luxe · Genève + Paris + Tokyo
Cartier : de l'audit au LLM privé en interne.
Compass (audits archi front + back), Mapper (générateur produits horlogerie + joaillerie), ETL data concurrence sur BigQuery, et désormais un LLM privé fine-tuné sur l'infra Cartier. Un partenariat tech long-terme sur la stack data et IA d'une maison de luxe.
LLM privé
fine-tuné sur infra Cartier
Banque tier-1 · Paris
BNP Paribas : Reference Book PO, de React/Redux aux agents IA produits.
Trois ingénieurs Abbeal au cœur de la Marketplace PO. Plateforme React/Redux/Node initialement, désormais augmentée d'un RAG produits, d'agents Claude pour assistance PM, et d'une couche event-driven Kafka pour scaler.
RAG
catalog produits PO
Banking digitale / FinTech · Tokyo (Tamachi)
Money Forward : data backbone d'une nouvelle banque digitale à Tokyo.
Money Forward, leader FinTech japonais coté à Tokyo, s'est associé à un grand groupe bancaire japonais pour lancer une nouvelle banque digitale construite from-scratch. Abbeal accompagne sur le volet Data Engineering : conception et industrialisation du Data Hub (Databricks + Delta Lake + dbt + AWS Tokyo) qui sert le reporting JFSA, l'AML, le risk management.
Data Hub
digital bank from-scratch Tokyo