On voit les failles de votre SaaS RH
avant vos clients.
Vos clients, partenaires et candidats voient déjà ce qui traîne sur votre produit. Mieux vaut le découvrir avant eux — avant le prochain questionnaire sécurité ou le prochain incident.
Conçu pour les éditeurs français de SaaS RH, paie et recrutement — équipes de moins de 50 personnes.
Pas que des CV.
Des données qui peuvent vous coûter un client.
Un logiciel RH ou de paie centralise identités, salaires, contrats, dossiers collaborateurs et historiques candidats. La plupart des équipes shippent vite — sans jamais regarder ce qui fuit déjà par la porte d'entrée.
violations signalées à la CNIL en 2024
CNIL 2024
plus de failles dans le code généré par IA (Cursor, Lovable, Copilot)
Veracode 2025
d'amendes CNIL en 2025 — 8,8× plus qu'en 2024
CNIL 2025
de Français concernés par la fuite France Travail
CNIL 2024
Sources : CNIL Rapport Annuel 2024, Veracode GenAI Code Security Report 2025, ANSSI Panorama de la cybermenace 2025.
3 étapes. Zéro impact sur votre équipe.
On regarde ce qui est exposé, on documente chaque problème proprement, et on vous remet {blue}une liste priorisée de corrections{/blue}. On ne touche jamais à vos serveurs.
Vue depuis l'extérieur
On inventorie ce qui est accessible sans accès : pages, sous-domaines, endpoints, configurations exposées. Lecture seule — rien n'est modifié.
Diagnostic clair
On explique chaque problème en français clair, preuves à l'appui. De quoi agir le jour même — pas juste lire.
Plan d'action
On vous dit quoi corriger en premier, et on repasse vérifier que c'est réglé.
Trois formules. Zéro surprise.
Premier diagnostic
Pour voir vite ce qu'un {blue}client, partenaire ou attaquant{/blue} voit déjà de votre produit.
- Ce qui est visible sans login : pages, endpoints, documents
- Risques à traiter en priorité
- Débrief avec votre équipe technique
- Idéal avant un audit client ou un questionnaire sécurité
Audit complet
Pour un vrai état des lieux, un rapport détaillé et un {blue}plan de correction concret{/blue}.
- Problèmes classés par impact business
- Données et parcours utilisateurs concernés
- Plan d'action adapté à votre stack
- Vérification après correction incluse
- Réponses prêtes à copier pour vos questionnaires sécurité
Suivi récurrent
Pour les équipes qui shippent souvent, ouvrent de nouveaux accès, et veulent garder un œil extérieur sans recruter.
- Points de contrôle réguliers
- Détection des nouvelles expositions
- Avis indépendant sur les arbitrages produit / sécurité
- Vérifications après vos changements
- Atelier de sensibilisation équipe (en option)
Ce qu'on a trouvé, ce que nos clients ont corrigé.
Client anonymisé — logiciel métier en ligne
Création de compte admin sans authentification, via un point d'entrée exposé dans le code public. Résultat : accès total aux données de tous les utilisateurs.
Corrigé rapidement après notre signalement. Mission de suivi récurrent enclenchée ensuite.
Client anonymisé — marketplace de contenu numérique
L'ensemble du catalogue payant était téléchargeable sans paiement. Stockage public, clés d'accès dans le code, aucun contrôle côté base.
Audit payé. Le fondateur a corrigé en 48h. Suivi ensuite pour reprendre la configuration de la base.
Client anonymisé — plateforme de formation en ligne
Un point d'entrée interne permettait de créer un compte administrateur sans authentification. Chaîne complète : une requête → compte créé → accès total en moins de 2 minutes.
Pentest autorisé payé. Correction livrée avec la feuille de route de remise à plat.
Ce que nos clients nous disent.
“L'audit a sorti des problèmes qu'on n'avait pas vus. Rapport lisible, concret, utilisable tel quel par notre équipe tech.”
Fondateur, Client anonymisé
Fondateur — éditeur SaaS
“Un vrai problème qu'on avait manqué en interne. Rapport clair, preuves suffisantes pour agir, échange très pro.”
Fondateur, Client anonymisé
Fondateur — produit numérique
Pensé pour les équipes RH sans responsable sécurité.
Pas besoin d'équipe sécurité
Pas de process lourd ni de prérequis technique. On cale notre format sur le vôtre — même pour une équipe de trois.
Offre lisible et directe
Un périmètre clair, un rapport qu'un CTO ou un dirigeant peut utiliser tel quel, sans jargon inutile.
On connaît vos outils
Supabase, Next.js, Firebase, Laravel — on connaît les erreurs de configuration récurrentes.
Utile au-delà de la technique
Le rapport sert autant à corriger qu'à répondre à un questionnaire client, rassurer un partenaire ou avancer sur la conformité.
Une seule personne, du scan à la correction.
Florian Bonamy. Chercheur en sécurité, fondateur de CleanIssue — cabinet d'audit cybersécurité spécialisé sur les éditeurs français de SIRH, de paie et de recrutement. Je fais un point sécurité rapide pour ces éditeurs, sans pentest lourd ni cabinet généraliste.
Je regarde ce qu'un client, un partenaire ou un attaquant voit déjà depuis l'extérieur : accès, données, documents, réglages, erreurs de cloisonnement. L'objectif : des priorités claires, que vous traitez tout de suite.
Méthode et expertise
- On ne touche jamais à votre production
- Divulgation responsable (ANSSI / ISO 29147)
- Expertise Supabase, Firebase, Next.js, Laravel
- Cartographie des expositions et priorisation RGPD
- Secteur prioritaire : RH, paie et recrutement
Ce qu'on nous demande le plus souvent.
Derniers articles
Décrivez votre produit. On vous répond sous 24h.
Parlez-nous de votre produit, de votre stack et de vos clients. On vous dit — franchement — si CleanIssue est le bon format pour vous.