Le check-up complet avant
de lancer en production.
Vous avez codé votre app avec Lovable, Bolt, Cursor ou Claude Code. Avant que vos premiers utilisateurs payants arrivent — ou avant qu'un grand compte vous demande un rapport — vous voulez savoir ce qui tient et ce qui va casser.
Le code qui fonctionne n'est pas du code qui tient.
Une app codée à l'IA passe les premiers tests utilisateurs. Elle s'affiche, les boutons cliquent, les paiements passent. Tout va bien — jusqu'au moment où ça ne va plus.
Une clé d'API laissée en clair dans le bundle. Une politique RLS Supabase oubliée. Un endpoint admin accessible sans authentification. Un header CORS trop ouvert. Une dépendance avec une CVE critique. Aucun de ces problèmes ne se voit en navigant. Tous se voient depuis l'extérieur, en quelques minutes.
L'audit Production-Ready couvre méthodiquement les vecteurs d'attaque réels des apps modernes — pas ceux d'un blog statique de 2015. OWASP Top 10, configurations cloud, secrets, dépendances, architecture.
Ce qui est couvert, précisément
Revue de code source & architecture
- Lecture complète des entrées sensibles : auth, paiement, accès données.
- Identification des anti-patterns critiques (IDOR, injection, auth bypass).
- Cohérence entre logique client et logique serveur.
OWASP Top 10 — web & API
- Broken access control, injections, auth failures, SSRF, exposition.
- Vérification des règles métier côté serveur, pas seulement côté UI.
- Tests manuels sur les endpoints exposés.
Secrets & credentials
- Scan du dépôt et de l'historique git (clés API, tokens, mots de passe).
- Vérification des bundles front (rien ne doit fuiter côté client).
- Audit des variables d'environnement.
Configuration infra
- Supabase / Firebase : RLS, règles de sécurité, politiques d'accès.
- Headers HTTP (CSP, HSTS, X-Frame, Referrer, Permissions-Policy).
- CORS, rate limiting, authentification API.
Dépendances & CVE
- Audit des packages avec CVE connues.
- Identification des dépendances abandonnées ou typosquattées.
- Plan de remédiation versionné.
Ce que vous recevez
Un rapport PDF priorisé — chaque finding classé Critique / Haut / Moyen, avec localisation exacte dans le code, explication du risque réel, et correctif concret. Pas une liste générique : votre code, vos configurations, vos correctifs.
Une restitution visio d'une heure — on parcourt ensemble le rapport, je réponds à vos questions, on définit l'ordre d'attaque. Si vous voulez impliquer un développeur ou un CTO externe, c'est le bon moment.
Un plan d'action documenté — vous repartez avec quoi corriger, dans quel ordre, et combien de temps ça prend. Vous pouvez l'exécuter seul ou avec votre équipe.
Comment ça se passe
- Diagnostic gratuit (30 min) — on cadre votre besoin et je vous dis si l'audit est pertinent.
- Devis & NDA (sous 48h) — périmètre précis, prix fixe, confidentialité signée.
- Audit (5 à 10 jours ouvrés) — accès lecture seule au dépôt et aux dashboards.
- Restitution & rapport — visio 1h + PDF priorisé livré.
Audits liés
Selon votre stack et votre besoin, cet audit se décline :
- Audit de code généré par IA — pour les apps issues du vibe coding (Cursor, Claude Code, v0, Replit, Bolt, Lovable).
- Audit de sécurité Lovable, Bolt & Supabase — les pièges propres à ces outils (RLS, clés API, edge functions).
- Tarifs — le prix de chaque offre, en forfait fixe annoncé avant signature.
Les questions qu'on me pose
avant de signer.
Quelle est la durée d'un audit ?
Quels accès sont nécessaires ?
Le rapport contient-il des correctifs ?
Auditez-vous les apps no-code / low-code ?
Et si vous trouvez peu de choses ?
Vous corrigez aussi ?
30 minutes pour savoir
si l'audit est pour vous.
Aucun engagement. On regarde votre situation et je vous dis honnêtement si j'ai quelque chose à vous apporter.
→ Demander un devis