[ Cybersécurité ]
Appliquer les bonnes pratiques de sécurité dans vos pipelines et vos infrastructures
Shift-left security
Intégrer la sécurité dès le code et dès le pipeline
Nous appliquons les pratiques DevSecOps reconnues : scans TFSec, TerraScan et Trivy en pipeline, signing Cosign des images, SAST GitLab, gestion des secrets, durcissement des images, principe du moindre privilège. Une vulnérabilité corrigée en pre-merge coûte dix fois moins qu'en production.
Souveraineté & conformité
Concevoir des socles RGPD-compatibles et préparer la conformité souveraine
Nous bâtissons des architectures alignées sur le RGPD et HDS, jusqu'aux contextes critiques en santé, défense ou dans le secteur public. La souveraineté ne se déclare pas : elle se conçoit.
Exécution opérationnelle
Transformer la conformité en discipline de tous les jours
Nous traduisons les exigences réglementaires en règles opérationnelles tenables et calibrées à votre maturité. La vraie posture de sécurité se mesure dans les choix de gouvernance, mais aussi dans le code et les runbooks.
Les piliers de notre expertise en cybersécurité
- DevSecOps en pipeline
Nos pipelines intègrent TFSec et TerraScan pour les modules IaC, Trivy pour les images, Cosign pour le signing, SAST GitLab pour le code applicatif. Les revues de code intègrent systématiquement une dimension sécurité. Les problèmes sont détectés avant le merge pour éviter les erreurs et les failles en production.
- Gestion des secrets et lutte contre le shadow ops
HashiCorp Vault, External Secrets Operator, Azure Key Vault, AWS Secrets Manager : la rotation des secrets est automatisée et auditée. Nous éliminons les secrets enfouis dans les outils ou les `.env` qui résident dans Git, ainsi que les pratiques de shadow ops, ces opérations techniques menées en dehors du cadre officiel et qui représentent parfois une menace.
- Identité, IAM et fédération
Pour la gestion des identités et des accès, nous nous appuyons sur Microsoft Entra ID dans les environnements Microsoft et Keycloak pour les fédérations multi-cloud. L'authentification sans secret statique est assurée via Workload Identity et OIDC côté workloads. Le MFA est appliqué systématiquement, et les processus d'onboarding et d'offboarding sont entièrement automatisés.
- Sécurité Kubernetes
Nous sécurisons vos environnements Kubernetes à chaque couche : Pod Security Standards, Network Policies granulaires et RBAC pour le contrôle des accès, External Secrets pour la gestion des secrets, Falco pour la détection runtime, et scan d'images systématique. Les outils policy-as-code (Kyverno et OPA) sont déployés lorsque le contexte le justifie, sans surcharge inutile.
- WAF et protection périmétrique
Nous configurons et maintenons votre protection périmétrique sur les solutions de référence (Cloudflare, AWS WAF, Azure Front Door WAF) pour bloquer les attaques sans dégrader les performances ni générer de faux positifs paralysants. Reprendre la main sur un WAF géré par un tiers est souvent l'occasion d'un projet de modernisation à part entière.
- Souveraineté, SecNumCloud et HDS
Nous accompagnons les projets soumis à des exigences de souveraineté : architectures conformes au RGPD et à la certification HDS pour les données de santé, hébergement qualifié sur Scaleway ou 3DS Outscale selon le contexte. Notre veille sur SecNumCloud et les évolutions de l'ANSSI vous garantit des choix d'hébergement alignés avec les contraintes réglementaires actuelles et à venir.
Découvrez notre expertise Scaleway - EDR, SOC et corrélation IA
Nous opérons SentinelOne en mode Blocage, couplé à une corrélation IA des logs sur Microsoft Sentinel ou Sekoia.io. Notre approche EDR + SOC privilégie l'automatisation de la réponse aux incidents plutôt que la prolifération des alertes, pour une détection plus rapide, sans noyer vos équipes sous des signaux non qualifiés.
- Cadres réglementaires
NIS2 concerne désormais des milliers d'entités en France, DORA structure le secteur financier, et ISO 27001:2022 introduit de nouveaux contrôles, dont la sécurité cloud. Face à ces exigences, notre accompagnement vise l'efficacité opérationnelle réelle, pas la conformité documentaire de façade.
Ils s'appuient sur notre expertise en cybersécurité
- Forvis MazarsInfogérance sécurisée de l'infrastructure Azure multi-régions de Forvis Mazars, avec une gestion des accès et une observabilité adaptées aux exigences d'un cabinet d'audit international.
- CSTBWAF Cloudflare et durcissement périmétrique pour les plateformes d'un établissement public technique, en complément des architectures Kubernetes Scaleway et Rancher que nous opérons.
- Démarche ISO 27001:2022 interneKaliop a engagé sa propre démarche de certification ISO 27001:2022. Le périmètre couvre la mise en place du SOC managé, le déploiement EDR SentinelOne, l'automatisation de l'onboarding et offboarding et la consolidation du réseau interne. Nous appliquons à nous-mêmes ce que nous recommandons à nos clients.
[‘’]
Nous ne sommes pas des spécialistes purs de la cybersécurité. Nous sommes des opérateurs de plateformes cloud qui appliquent les bonnes pratiques reconnues par le marché et l'écosystème CNCF, dans une logique pragmatique calée sur la maturité réelle des équipes.
Une posture de sécurité honnête se mesure dans le code et les runbooks : les secrets ne traînent pas dans Confluence, les pipelines refusent les images vulnérables, les tokens ne sont plus permanents et plus partagés. C'est aussi pour ça que nous avons engagé notre propre certification ISO 27001:2022 : pour appliquer chez nous ce que nous recommandons à nos clients, au rythme de ce que la maturité réelle permet.
Adrien Bresson, Directeur infrastructures cloud
