On voit les failles de votre SaaS RH
avant vos clients.
Vos clients, partenaires et candidats tombent déjà sur ce qui cloche dans votre produit. Autant le repérer avant eux — avant le prochain questionnaire sécurité, avant le prochain incident.
Conçu pour les éditeurs français de SaaS RH, paie et recrutement — équipes de moins de 50 personnes.
Pas que des CV. Pas que des bulletins.
Des données qui peuvent vous coûter un client.
Un logiciel RH ou de paie centralise identités, salaires, contrats, dossiers collaborateurs et historiques candidats. Les équipes livrent vite — et personne ne vérifie ce qui est déjà exposé côté façade.
violations signalées à la CNIL en 2024
CNIL 2024
plus de failles dans le code généré par IA (Cursor, Lovable, Copilot)
Veracode 2025
d'amendes CNIL en 2025 — 8,8× plus qu'en 2024
CNIL 2025
de Français concernés par la fuite France Travail
CNIL 2024
Sources : CNIL Rapport Annuel 2024, Veracode GenAI Code Security Report 2025, ANSSI Panorama de la cybermenace 2025.
3 étapes. Zéro impact sur votre équipe.
On regarde ce qui est exposé, on documente proprement, et on vous remet une liste priorisée de corrections. On ne touche jamais à votre production.
Vue depuis l'extérieur
On cartographie ce qui est accessible sans authentification : pages, sous-domaines, routes d'API, configurations exposées. Lecture seule — rien n'est modifié.
Diagnostic clair
On explique chaque problème en français clair, preuves à l'appui. De quoi agir le jour même, pas un rapport de plus à classer.
Plan d'action
On vous dit quoi corriger en premier, et on repasse vérifier que c'est réglé.
Trois formules. Zéro surprise.
Premier diagnostic
Pour voir vite ce qu'un client, partenaire ou attaquant voit déjà de votre produit.
- Ce qui est visible sans s'identifier : pages, routes d'API, documents
- Risques à traiter en priorité
- Débrief avec votre équipe tech
- Idéal avant un audit client ou un questionnaire sécurité
Audit complet
Pour un vrai état des lieux, un rapport détaillé et un plan de correction concret.
- Problèmes classés par impact métier
- Données et parcours utilisateurs concernés
- Plan d'action adapté à votre stack
- Vérification après correction incluse
- Réponses prêtes à réutiliser dans vos questionnaires sécurité
Suivi récurrent
Pour les équipes qui livrent vite, ouvrent de nouveaux accès en continu, et veulent garder un œil extérieur sans recruter.
- Points de contrôle réguliers
- Détection des nouvelles expositions
- Regard extérieur sur vos choix produit quand la sécurité entre en jeu
- Vérifications après vos changements
- Atelier de sensibilisation équipe (en option)
Ce qu'on a trouvé, ce que nos clients ont corrigé.
Client anonymisé — logiciel métier en ligne
Création de compte admin sans authentification, via un point d'entrée exposé dans le code public. Résultat : accès total aux données de tous les utilisateurs.
Corrigé rapidement après notre signalement. Le client a enchaîné sur une mission de suivi récurrent.
Client anonymisé — marketplace de contenu numérique
L'ensemble du catalogue payant était téléchargeable sans paiement. Stockage public, clés d'accès dans le code, aucun contrôle côté base.
Audit complet commandé. Le fondateur a corrigé en 48h, puis mission de suivi pour reprendre la configuration de la base.
Client anonymisé — plateforme de formation en ligne
Un point d'entrée interne permettait de créer un compte administrateur sans authentification. Chaîne complète : une requête → compte créé → accès total en moins de 2 minutes.
Pentest autorisé. Correction livrée avec une feuille de route de remise à plat.
Ce que nos clients nous disent.
“L'audit a sorti des problèmes qu'on n'avait pas vus. Rapport lisible, concret, utilisable tel quel par notre équipe tech.”
Fondateur, Client anonymisé
Fondateur — éditeur SaaS
“Un vrai problème qu'on avait manqué en interne. Rapport clair, preuves suffisantes pour agir, échange très pro.”
Fondateur, Client anonymisé
Fondateur — produit numérique
Pensé pour les équipes RH sans responsable sécurité.
Pas besoin d'équipe sécurité
Pas de process lourd ni de prérequis technique. On s'adapte à votre rythme, même à trois.
Offre lisible et directe
Un périmètre clair, un rapport qu'un CTO ou un dirigeant peut utiliser tel quel, sans jargon inutile.
On connaît vos outils
Supabase, Next.js, Firebase, Laravel : on voit toujours les mêmes erreurs de configuration.
Utile au-delà de la technique
Le rapport sert autant à corriger qu'à répondre à un questionnaire client, rassurer un partenaire ou documenter votre conformité.
Une seule personne, du scan à la correction.
Florian. Chercheur en sécurité, fondateur de CleanIssue — cabinet d'audit spécialisé pour les éditeurs français de SIRH, de paie et de recrutement. Je fais un point sécurité rapide, taillé pour ces éditeurs, sans la lourdeur d'un pentest ni d'un gros cabinet.
Je regarde ce qu'un client, un partenaire ou un attaquant voit déjà depuis l'extérieur : accès, données, documents, configurations, erreurs de cloisonnement. Objectif : des priorités claires, à traiter dès le lendemain.
Méthode et expertise
- On ne touche jamais à votre production
- Divulgation responsable (ANSSI / ISO 29147)
- Expertise Supabase, Firebase, Next.js, Laravel
- Cartographie des expositions et priorisation RGPD
- Secteur prioritaire : RH, paie et recrutement
Ce qu'on nous demande le plus souvent.
Derniers articles
Décrivez votre produit. On vous répond sous 24h.
Parlez-nous de votre produit, de votre stack et de vos clients. On vous dit franchement si CleanIssue est le bon format pour vous.