L'approche d'ingénierie
de SDEN.
Du cadrage jusqu'à la mise en production contrôlée : les quatre phases délibérées que SDEN applique à chaque projet, en plus des disciplines d'ingénierie qui gardent le code livrable et exempt de dette.
Cadrage et architecture
La première phase produit une décision concrète : bâtir, refaire ou ne pas commencer. SDEN livre l'architecture, le registre des risques et la recommandation aller / ne pas aller avant qu'une seule ligne de code de production ne soit écrite.
Le cadrage chez SDEN n'est pas un appel de découverte. C'est une investigation structurée qui produit trois artéfacts : un énoncé de problème écrit qui nomme la véritable tâche que le logiciel doit accomplir, un diagramme d'architecture et un journal de décisions qui expliquent les choix techniques que nous recommandons (et les solutions de rechange que nous avons envisagées), et un registre des risques qui classe ce qui pourrait mal tourner selon l'exploitabilité et l'impact d'affaires. La phase se termine par une recommandation aller / ne pas aller que nous sommes prêts à défendre devant votre conseil.
Nous posons les questions que les autres fournisseurs sautent. Qui est le décideur imputable de votre côté ? À quoi ressemble le travail pour l'utilisateur le lendemain du lancement — et non pendant la démo ? Quelles données le produit crée-t-il, où sont-elles stockées et qui a le droit de les voir ? Quelle est la plus petite version de ce produit qui pourrait être mise en ligne, et quel est le seuil pour déclarer qu'elle est « en ligne » ? La phase est payée, encadrée dans le temps et courte — généralement d'une à trois semaines selon la portée.
Ce que cette phase produit
- Énoncé de problème écrit avec des critères de succès mesurables
- Diagramme d'architecture + journal de décisions (ADR) expliquant chaque choix non trivial
- Registre des risques classé par exploitabilité et impact d'affaires
- Recommandation aller / ne pas aller, avec la portée que nous nous engagerions à livrer
Les rituels que nous gardons
- Une entrevue de partie prenante par décideur imputable de votre côté
- Revue d'architecture avec les ingénieurs qui bâtiraient le projet
- Point de contrôle à mi-phase avec une ébauche des artéfacts
- Revue finale de phase où nous présentons la recommandation aller / ne pas aller
Ce que nous refusons durant cette phase
- Nous ne sauterons pas le cadrage sous prétexte que « nous savons déjà ce que nous voulons ». Nous avons sauvé assez de projets pour savoir que cette affirmation est rarement vraie.
- Nous n'écrirons pas de code de production dans cette phase. Tout ce que nous livrons ici est un prototype de réflexion, clairement marqué comme jetable.
Conception et prototypage
La deuxième phase transforme la décision de cadrage en quelque chose que vous pouvez valider avant de vous engager — un vrai prototype mis à l'épreuve de vrais parcours, avec les choix technologiques consignés noir sur blanc.
Une démo, c'est une vidéo. Un prototype, c'est quelque chose que l'utilisateur peut réellement utiliser, sur la véritable forme des données, sur la pile exacte que nous livrerons en production. La deuxième phase livre ce dernier. L'équipe conçoit les parcours utilisateurs essentiels, bâtit un prototype interactif pour les chemins les plus à risque (ceux qui déterminent si le produit est utilisable, pas ceux qui déterminent s'il est joli), et les valide auprès de vrais utilisateurs avant qu'une seule ligne de code de production ne soit posée.
Les choix technologiques sont faits et documentés dans cette phase. Nous penchons vers la technologie ennuyeuse — des cadriciels, des bases de données et des hébergeurs que la communauté d'ingénierie a déjà déboguées à grande échelle — et nous nommons la raison de chaque choix. La phase produit un système de design (jetons, composants, base de référence d'accessibilité), le prototype interactif, et un plan de test écrit pour la phase de production qui énumère ce que nous mesurerons, automatiquement, avant la mise en ligne.
Ce que cette phase produit
- Prototype interactif des parcours utilisateurs les plus à risque
- Système de design (jetons, composants, base de référence d'accessibilité)
- Décisions de pile technologique avec justification écrite (ADR)
- Plan de test énumérant ce que la production mesurera avant la mise en ligne
Les rituels que nous gardons
- Deux séances de test utilisateur sur le prototype avant le début de la troisième phase
- Revue de conception hebdomadaire avec l'ingénierie dans la salle
- Démo de partie prenante à mi-phase du prototype en direct
- Présentation détaillée du plan de test en fin de phase
Ce que nous refusons durant cette phase
- Nous ne présenterons pas un prototype qui simule les chemins d'échec. Si la démo plante quand l'utilisateur fait une erreur, le prototype est incomplet.
- Nous ne choisirons pas une pile parce qu'elle est à la mode. La réponse par défaut, c'est la pile ennuyeuse que l'équipe pourra encore entretenir dans trois ans.
Développement et durcissement
La troisième phase transforme le prototype validé en logiciel de qualité production — en courtes itérations, avec une revue de code sur chaque changement, la sécurité intégrée dès l'étape de conception, et aucune dette technique laissée derrière.
Le développement chez SDEN se déroule en itérations de deux semaines, avec une version fonctionnelle à la fin de chacune. Chaque demande de tirage est revue par un deuxième ingénieur avant la fusion ; la barrière de fusion exécute la suite de tests, les analyseurs de sécurité (SCA, SAST, détection de secrets) et le vérificateur de types. La protection des branches est activée, les validations signées sont activées, et aucun ingénieur — même le plus chevronné — ne peut contourner les vérifications. Le résultat est une base de code où le deuxième ingénieur à lire un fichier le comprend déjà.
Le durcissement est la partie que la plupart des fournisseurs sautent. C'est le travail qui transforme « ça roule » en « ça roule en production pour les trois prochaines années ». Cela inclut les tests de charge contre les profils de trafic attendus, les tests de chaos sur les modes de défaillance que le registre des risques a signalés à la première phase, la revue de sécurité contre le OWASP Top 10 et le niveau ASVS pertinent, ainsi que la clause d'absence de dette technique : nous ne livrerons pas de code pour lequel nous ne serions pas prêts à recevoir une alerte à 3 h du matin. Si une échéance force un raccourci, le raccourci atterrit dans le suivi des problèmes comme un P0 — et il est remboursé avant que la prochaine fonctionnalité n'arrive. Nous documentons explicitement cette discipline dans notre posture d'ingénierie de la sécurité.
Ce que cette phase produit
- Application de qualité production dans vos dépôts, déployée en préproduction
- Suite de tests couvrant les chemins de succès, les chemins d'erreur et les cas limites
- Revue de sécurité contre le OWASP Top 10 et le niveau OWASP ASVS pertinent
- Résultats des tests de charge et de chaos contre les profils de trafic documentés
Les rituels que nous gardons
- Cadence d'itération de deux semaines avec une version fonctionnelle à la fin de chacune
- Démo hebdomadaire à la partie prenante cliente, en direct en préproduction
- Revue de code sur chaque demande de tirage, sans exception
- Rétrospective de fin d'itération avec l'équipe d'ingénierie
Ce que nous refusons durant cette phase
- Nous ne contournerons pas les vérifications de fusion sous la pression d'une échéance. Si la vérification a tort, c'est la vérification qui est le bogue.
- Nous ne livrerons pas de code comportant une vulnérabilité de gravité élevée connue et non atténuée. La vulnérabilité est corrigée ; l'échéance est renégociée honnêtement.
Livraison et soutien
La quatrième phase est une mise en production contrôlée, accompagnée des artéfacts opérationnels dont une équipe a besoin pour exploiter le logiciel une fois que le rôle de SDEN s'estompe — guide d'exploitation, surveillance, SLO, plan de garde.
La livraison est progressive. La première mise en production atterrit derrière un drapeau de fonctionnalité, pour un seul locataire ou une petite cohorte d'utilisateurs. Nous surveillons les SLO contre le trafic de production pendant une fenêtre d'observation définie, puis nous élargissons à l'auditoire complet une fois que les données confirment que le système se comporte comme prévu. La mise en production n'est pas un événement de calendrier — c'est un changement d'état mesurable.
Ce que nous remettons avec la version, c'est ce qui rend le mandat durable : un guide d'exploitation pour chaque tâche opérationnelle, un tableau de bord de surveillance qui expose les SLO que nous nous sommes engagés à respecter, un plan de garde pour les incidents que le registre des risques a anticipés, un gabarit de réponse aux incidents, et une documentation rédigée pour le prochain ingénieur qui se joindra à votre équipe. Les mandats SDEN ne se terminent pas à la mise en production — ils s'estompent. Nous nous engageons à une fenêtre de soutien définie après le lancement (habituellement de trois à six mois, calibrée au mandat) durant laquelle nous exploitons le système de production conjointement avec votre équipe, et durant laquelle le savoir opérationnel se transfère, pas seulement le code.
Ce que cette phase produit
- Mise en production progressive avec déploiement par drapeau de fonctionnalité
- Guide d'exploitation pour chaque tâche de production courante
- Tableaux de bord de surveillance exposant les SLO que nous nous sommes engagés à respecter
- Plan de garde pour les incidents que le registre des risques a anticipés
- Gabarit de réponse aux incidents et culture de post-mortem intégrée
Les rituels que nous gardons
- Revue de préparation avant la mise en production contre la liste de contrôle publiée
- Déploiement progressif avec des critères d'élargissement documentés
- Rotation de garde conjointe durant la fenêtre de soutien
- Revue mensuelle des données de SLO durant la fenêtre de soutien
Ce que nous refusons durant cette phase
- Nous ne déclarerons pas une version « en ligne » avant que les SLO n'aient été observés contre du vrai trafic.
- Nous n'abandonnerons pas l'équipe au transfert. Le transfert est un processus défini, pas un e-mail avec un ZIP en pièce jointe.
Ce que vous devriez attendre
d'un vrai partenaire en ingénierie.
Si vous comparez SDEN à un autre fournisseur, voici la liste de contrôle, du point de vue de l'acheteur, que nous utiliserions nous-mêmes. Demandez à voir les enregistrements de décisions d'architecture (ADR) d'un mandat antérieur (la plupart des fournisseurs n'en ont pas ; ils constituent la preuve la plus fiable d'une ingénierie chevronnée). Demandez qui précisément écrira votre code et si vous pouvez lui parler avant de signer. Demandez comment la dette technique est suivie et remboursée, et demandez à voir un post-mortem récent (un vrai — caviardé, ça va ; l'absence de post-mortems est le signe révélateur).
Éloignez-vous des fournisseurs qui promettent un prix-fixe-pour-tout contre une portée vague, qui refusent de vous mettre en contact avec les ingénieurs, qui traitent la sécurité comme une phase qui arrive « avant le lancement », ou qui livrent d'une manière qui rend le travail du prochain fournisseur plus difficile qu'il ne devrait l'être. La posture de SDEN est l'opposé de tout cela — nous sommes explicites sur la portée, nous vous mettons devant les ingénieurs, et nous laissons la base de code dans un état que n'importe quelle équipe compétente peut reprendre.
Approche —
questions sur le mandat.
Des réponses directes aux questions qu'on nous pose le plus souvent. Si la vôtre n'y est pas, écrivez à l'équipe.