FinTech SaaS · Tri-geo
FinTech SaaS : ISO 27001 en 9 mois, zéro régression de vélocité.
Roadmap freezée par la certif. DevSecOps, IaC policies, Vault, runbook incidents. DORA reste elite.
KPI
9 mois
ISO 27001 (vs 18 estimé)
Durée
11 mois
Équipe
6 ingés
Hub(s)
Tri-geo
ISO 27001 en 9 mois sans freezer la roadmap : c'est faisable, mais ca se prepare comme un release train, pas comme un audit.
Le contexte
FinTech SaaS B2B europeenne, 95 collaborateurs, presence Paris, Montreal et Singapour. Croissance forte (ARR 14 M EUR, +85% YoY), entree imminente sur le segment grand compte qui exigeait ISO 27001 contractuellement. Estimation initiale interne : 18 mois et freeze des nouvelles features.
Le probleme
- ISO 27001 obligatoire pour 6 deals strategiques en pipeline
- Roadmap produit chargee, vitesse DORA elite a maintenir
- CTO et CISO d'accord sur la cible, en desaccord sur la methode
- Aucune politique IaC formalisee, secrets en clair dans CI
- Audit precedent (2024) : 23 findings, dont 5 critiques
L'approche
DevSecOps de bout en bout : la securite devient une feature de la plateforme, pas une checklist d'audit. Industrialisation des controles, automatisation des preuves, audit blanc trois mois avant le final pour deminer.
Les chantiers
- SAST/DAST integres aux pipelines (Snyk Code, OWASP ZAP)
- IaC Terraform avec policies Sentinel : aucune ressource non conforme ne deploie
- Vault pour rotation et injection des secrets, KMS pour encryption
- Runbooks incidents documentes, exercices table-top trimestriels
- Audit blanc en interne au mois 7, audit officiel au mois 9
La stack
- Terraform Cloud avec Sentinel policies
- HashiCorp Vault, AWS KMS
- Snyk Code, Snyk IaC, OWASP ZAP
- GitHub Actions avec OIDC, signed commits obligatoires
- AWS Control Tower pour gouvernance multi-comptes
Les resultats
- Certification ISO 27001 obtenue en 9 mois (vs 18 estime)
- 0 finding critique a l'audit final, 3 mineurs
- Velocite DORA : maintenue elite (deploys/jour, MTTR < 1h)
- Coverage SAST : 92% du code base en CI bloquant
- Rotation secrets : automatisee a 100%
« Abbeal a transforme une contrainte reglementaire en avantage commercial. On a signe trois grands comptes dans les huit semaines suivant la certification. »
Ce qu'on a appris
Sentinel est cher mais paie le ROI sur 6 mois en evitant les remediations post-deploiement. L'audit blanc interne a evite 8 findings potentiels : a refaire systematiquement. Ce qu'on ferait differemment : embarquer le legal des le mois 1, pas au mois 5. Les reformulations contractuelles ont coute trois semaines qu'on n'avait pas prevues.
// À lire ensuite
Mobilité urbaine · Paris + Montréal
Scale-up mobilité : −30 % de facture cloud, mêmes SLOs.
Facture AWS doublée en 18 mois sans trafic proportionnel. Audit GreenOps, refonte, Karpenter, ARM64. Résultat mesuré.
−30%
facture cloud
E-commerce sport · Paris
Leader sport : PWA, +18 % conversion mobile, Lighthouse 92.
Lighthouse mobile à 38, conversion en chute. Next.js App Router, edge, image, splitting. Livré en 6 mois.
+18%
conversion mobile
Robotique industrielle · Tokyo
Industriel japonais : 80 AGV, ROS 2, +40 % throughput entrepôt.
Flotte lente, collisions, downtime. Refonte Nav2, perception fusion, planification multi-agents. Zéro collision sur 6 mois.
+40%
throughput entrepôt