Conseil et expertise

Déploiement de solutions SAST, SCA et DAST à l’échelle pour un acteur majeur du secteur bancaire

Informations clés

Semaines d’intervention :
12
Consultants :
1
Secteur :
Bancaire
Ville / Pays :
Paris, France
Nombre de salariés :
120 000
Keyword Techno :
#AppSec #DevSecOps #SAST #SCA #DAST 
Contexte

Dans un contexte d’exigences accrues en matière de sécurité applicative et de remédiations associées aux recommandations BCE, cet acteur bancaire souhaitait densifier son pôle Professional Services AppSec/CloudSec. L’objectif était d’industrialiser la détection des vulnérabilités et la mise en conformité sur un parc applicatif critique, tout en assurant une gouvernance et un reporting adaptés aux engagements du programme.

Cyberlift a mis à disposition un expert AppSec & DevSecOps pour faire le lien entre les enjeux de remédiation, les équipes techniques et les projets, en apportant l’expertise opérationnelle nécessaire au déploiement à l’échelle.

Besoins

Le client devait industrialiser la sécurité applicative à grande échelle sur un périmètre critique, couvrant environ 150 applications et plus de 1 000 repositories GitHub, via le déploiement et l’exploitation de solutions SAST, SCA et DAST.  

Il s’agissait également de définir puis d’ajuster finement les politiques de scan afin de trouver le bon équilibre entre efficacité, qualité des alertes et contraintes de delivery.  

En parallèle, le programme nécessitait d’accélérer l’onboarding des équipes, en structurant le traitement des vulnérabilités (tri, priorisation, gestion des exceptions et validation), tout en outillant le suivi de conformité avec un reporting récurrent et des indicateurs/KRI destinés au pilotage des « recommandations BCE ».  

Enfin, la mission visait à contribuer au cadrage et à l’amélioration continue des standards internes (Secure Software Factory, API Security, SecByDesign).

Challenges
  1. Mauvaise qualité du référentiel applicatif : les applications concernées et leurs responsables n’étaient pas toujours clairement identifiés, rendant l’onboarding et le pilotage complexes.
  2. Passage à l’échelle : déployer plusieurs briques (SAST/SCA/DAST) sur un grand volume d’applications et de repositories, avec des niveaux de maturité hétérogènes.
  3. Onboarding et adoption : manque d’expertise projet côté équipes, difficultés de prise en main, gestion des exceptions et réduction des frictions opérationnelles.

Solutions apportées par Cyberlift
  1. Déploiement des solutions SAST, SCA et DAST
  2. Déploiement de SonarQube (SAST), JFrog Xray (SCA) et Invicti (DAST) sur le parc applicatif critique.
  3. Ajustement des politiques de scan pour améliorer la pertinence des résultats et faciliter la remédiation (seuils, règles, exceptions contrôlées).
  4. Accompagnement des équipes et traitement des alertes
  5. Support opérationnel aux métiers et aux Tech Leads : résolution des problèmes d’onboarding, traitement des alertes, validation et traçabilité des exceptions.
  6. Communication et acculturation AppSec
  7. Organisation et animation de webinaires internes pour expliquer les solutions, les attendus et les bonnes pratiques (lecture des résultats, priorisation, quick wins).
  8. Automatisation et reporting
  9. Développement d’un script d’automatisation (Python) pour suivre les statuts de conformité et partager une vue consolidée aux Tech Leads.
  10. Reporting mensuel sur l’avancement de l’onboarding et le suivi des indicateurs (KRI) pour piloter la trajectoire du programme.
  11. Contribution aux standards et analyses complémentaires
  12. Participation aux revues et évolutions des référentiels Secure Software Factory, API Security et SecByDesign.
  13. Rédaction de notes de sécurité et analyses de risques sur des sujets connexes (sécurité z/OS, CI/CD Snowflake, chiffrement applicatif).

Livrables
  • Standard de sécurité applicative
  • Notes de sécurité / analyses de risques
  • Supports de communication AppSec
  • Script de reporting (Pyhton)

Résultats et bénéfices
  • Mise à l'échelle des contrôles AppSec sur un périmètre applicatif critique avec une trajectoire de déploiement structurée
  • Visibilité renforcée sur l'avancement de l'onboarding et la conformité, grâce à l'automatisation et à un reporting régulier
  • Réduction des blocages d'adoption via un dispositif d'accompagnement (FAQ, ateliers, webinars) et une meilleure structuration des exceptions
  • Renforcement de la gouvernance AppSec (standards, SecByDesign) pour inscrire la démarche dans l'amélioration continue et la tenue des engagements BCE

Nos missions

Conseil et expertise
Déploiement de solutions SAST, SCA et DAST à l’échelle pour un acteur majeur du secteur bancaire
Conseil et expertise
Implémentation d’un modèle Zero Trust (Entra ID & Intune) pour un acteur du transport
Audit et conformité
2025
Audit du périmètre Cloud d'un acteur du retail parisien en un temps record, grâce à Cyber Reporter
Audit et conformité
Accompagnement à la mise en conformité NIS 2
Sensibilisation et campagnes de phishing au sein d'une LegalTech
Conseil et expertise
Consolidation du périmètre OT d'un grand groupe français
Conseil et expertise
Sécurisation de l'environnement Azure du leader de l'industrie française
Conseil et expertise
Mise en place d'un Datalake sécurité
Conseil et expertise
Accompagnement DevSecOps d'un opérateur télécom
Audit et conformité
Audit sécurité 360° d'une marque de prêt-à-porter

Nos offres

Nous vous accompagnons dans la sécurisation de votre système d’information, de la stratégie à la réalisation, avec le souci de l’excellence opérationnelle.

Conseil et expertise
Audit et conformité
Sensibilisation et formation
Cyber des PME

Secure your business

Contactez-nous et prenez rendez-vous dès aujourd’hui pour recevoir un devis gratuitement.
Nous contacter
Expertise
Conseil et expertiseAudit et conformitéSensibilisation et formationCyber des PME
Contactez-nous
Ressources
Nos actualitésNos REX
On recrute !
Qui sommes-nous ?Nous rejoindre
Postuler
Suivez-nous
Mentions légales