Approche
Une méthode rigoureuse, lisible et mesurable. Du cadrage initial à l'exploitation continue, chaque étape produit des livrables concrets et des décisions argumentées.
Notre méthode en 4 temps
Quatre phases enchaînées sans rupture, conçues pour transformer un besoin métier en système fiable, sécurisé et durable. Chaque temps possède ses livrables, ses critères de sortie et ses indicateurs de qualité.
Cadrage
La première phase consiste à comprendre en profondeur le contexte métier, les utilisateurs cibles, les contraintes existantes et l'écosystème technique en place. Nous menons un audit technique préalable systématique : architecture actuelle, dette logicielle, exposition réseau, état des sauvegardes, dépendances tierces, niveau de conformité.
Les contraintes réglementaires sont identifiées dès le départ : RGPD, NIS2 selon la taille de l'entité, sectorielles (DORA pour le financier, hébergement de données de santé, etc.). Cette cartographie évite les mauvaises surprises en fin de projet et oriente certains choix structurants dès la conception.
Le livrable principal est une feuille de route mesurable avec jalons, lots fonctionnels priorisés, budget par phase et indicateurs de succès initiaux. Les KPI sont définis avant tout développement : disponibilité cible, performance, satisfaction utilisateur, indicateurs métier.
Conception
La conception traduit la feuille de route en architecture technique détaillée. Diagrammes de flux, choix d'hébergement, segmentation réseau, modèle de données normalisé, schémas d'authentification, stratégie de sauvegarde et de reprise d'activité. Chaque choix est argumenté et tracé dans une décision d'architecture (ADR) que vous conservez.
En parallèle, le design UX est itéré sur des maquettes interactives. Parcours utilisateur, états vides, gestion d'erreur, accessibilité WCAG 2.1 AA, responsive mobile-first, mode sombre lorsque pertinent. Les maquettes sont validées avant tout démarrage de développement, ce qui limite drastiquement les retouches coûteuses en aval.
La modélisation des données intègre les exigences de minimisation RGPD, les durées de conservation, le pseudonymat lorsque possible et les flux d'export utilisateur. Les choix techniques (langages, frameworks, bases, files de messages) sont expliqués de manière à être compris par votre équipe interne.
Exécution
Le développement est organisé en sprints courts de deux semaines. Chaque incrément est testé automatiquement (tests unitaires, tests d'intégration, tests de bout en bout sur les parcours critiques), revu en pair-programming ou code review et intégré dans une chaîne d'intégration continue.
La préproduction est systématique : aucun changement n'arrive en production sans avoir été déployé d'abord sur un environnement miroir, validé fonctionnellement et soumis à un scan de sécurité automatisé. Les bases de données de préproduction sont pseudonymisées pour ne jamais exposer de donnée réelle.
Chaque fin de sprint donne lieu à une démonstration en visioconférence ou en présentiel, avec accès à l'environnement de test, démonstration des nouveautés, présentation des indicateurs de qualité (couverture de tests, dette technique, vulnérabilités résiduelles) et arbitrage des prochaines priorités.
Opération
La mise en production est progressive et réversible : déploiement bleu-vert ou canary, bascule DNS contrôlée, plan de rollback testé, fenêtres de maintenance annoncées. Aucun « big bang » : la production absorbe le changement par paliers.
Le monitoring 24/7 couvre la disponibilité (sondes externes), la performance (temps de réponse, percentile 95), la sécurité (tentatives d'intrusion, taux d'erreurs anormaux), l'intégrité (sauvegardes vérifiées chaque jour, restauration testée chaque mois). Les alertes sont routées vers une astreinte avec engagement de délai d'acte technique.
Le support utilisateur, les itérations correctives et les évolutions fonctionnelles sont gérés via une roadmap trimestrielle co-construite. Vous gardez à tout moment la visibilité sur ce qui est fait, ce qui est en cours et ce qui arrive. La documentation vit avec le système, jamais figée à la livraison initiale.
Référentiels et standards appliqués
Nous nous appuyons exclusivement sur des référentiels publics, audités et largement adoptés. Aucune recette maison opaque : tout est traçable, vérifiable et reproductible par un tiers compétent.
CIS Benchmarks — Center for Internet Security. Référentiel de hardening reconnu mondialement, appliqué sur les couches Linux (Debian, Ubuntu Server), serveurs web (Nginx), bases de données (PostgreSQL), conteneurs (Docker, Kubernetes). Chaque recommandation niveau 1 est appliquée par défaut, niveau 2 sur arbitrage selon impact fonctionnel.
ANSSI — Agence nationale de la sécurité des systèmes d'information. Guides d'hygiène informatique, recommandations de configuration SSH, TLS, IPsec, journalisation. Référence obligatoire pour les administrations et fortement recommandée pour les infrastructures critiques.
NIS2 — Directive européenne sur la sécurité des réseaux et systèmes d'information. Obligations renforcées de gouvernance cyber, gestion des incidents, chaîne d'approvisionnement, formation. S'applique aux entités essentielles et importantes selon leur secteur et leur taille.
RGPD — Règlement général sur la protection des données. Privacy by design dès la conception, registre des traitements, durées de conservation, droits utilisateur (accès, rectification, effacement, portabilité), notification de violation sous 72 heures.
ISO 27001 — Référentiel international de management de la sécurité de l'information. Approche par les risques, mesures de sécurité Annexe A, amélioration continue. Compatible avec les démarches HDS et SecNumCloud.
DORA — Digital Operational Resilience Act. Résilience opérationnelle numérique pour le secteur financier : tests de résilience, gestion des prestataires TIC critiques, partage d'information sur les menaces.
OWASP CRS — Core Rule Set pour pare-feu applicatif (WAF). Protection automatique contre les dix principales catégories d'attaques web (injection, XSS, CSRF, LFI/RFI, etc.) déployée en amont des applications.
Lynis — Outil d'audit de durcissement Linux. Cible interne supérieure à 90/100 sur tous les serveurs en production, mesurée en continu et tracée dans le temps pour détecter toute régression.
Engagements client
Six engagements écrits, mesurables et opposables. Pas de promesses creuses : chaque engagement est associé à une preuve fournie en clair.
Disponibilité cible chiffrée par environnement, délai d'acte technique en astreinte, fenêtres de maintenance annoncées à l'avance. Mesuré par sondes externes indépendantes, rapport mensuel transmis sans demande.
Rapport mensuel envoyé automatiquement : disponibilité, incidents, mises à jour appliquées, vulnérabilités corrigées, score Lynis, état des sauvegardes, dépenses cloud. Aucune donnée masquée.
Sauvegardes 3-2-1 systématiques, vérifiées chaque jour, restauration complète testée chaque mois sur infrastructure de secours. Rapport de test transmis. Vous récupérez vos données vous-même si nécessaire.
Chaque modification de code passe par une revue de pair tracée. Aucun déploiement direct depuis un poste de développement. Historique git complet conservé, signatures GPG sur les tags de version.
Documentation technique et fonctionnelle versionnée avec le code, mise à jour à chaque sprint. Runbooks d'incident, procédures de bascule, schémas d'architecture, registre des décisions. Tout vous appartient.
Sessions de transfert de compétences à votre équipe interne lors de la livraison et à chaque évolution majeure. Captations vidéo, supports écrits, environnement de bac à sable pour s'entraîner sans risque.
Discutons de votre projet
Un cadrage initial gratuit, sans engagement, pour évaluer ensemble la pertinence et le périmètre.
contact@ikigai-agency.fr