Conformité CRA  ·  AI Act  ·  Union européenne

Sécurité produit et IA
pour startups & scale-ups
européennes.

Conformité CRA et AI Act, audit et renforcement de vos systèmes produit et IA. Pour les équipes qui prennent leur sécurité au sérieux, sans alourdir la roadmap produit.

Réserver un échange de 20 min Voir les offres
Parmi nos clients
Doctrine Doctrine
Pretto pretto
Axonaut axonaut
Mobile Club
01 · Le contexte

Trois pressions se cumulent. Vos clients, vos investisseurs et le régulateur les voient toutes les trois.

i.

Échéances réglementaires

Le Cyber Resilience Act impose la sécurité by design à tout produit avec composant numérique mis sur le marché européen. Premières obligations dès le 11 septembre 2026 (signalement actif des vulnérabilités exploitées, gestion documentée du cycle de vie des correctifs). Application complète le 11 décembre 2027 : sans marquage CE conforme au CRA, plus aucune commercialisation possible, ni de mises à jour des produits déjà déployés. L'AI Act empile ses obligations en parallèle (gouvernance des modèles GPAI, systèmes à haut risque, transparence) avec des jalons dès août 2026.

ii.

Risques sécurité IA en production

Prompt injection, data leakage, model poisoning, shadow AI, dépendance fournisseur. Les attaques contre les systèmes IA n'apparaissent pas dans les pentests classiques. Le coût d'un incident dépasse largement la facture technique.

iii.

Pression due diligence

Les questionnaires sécurité de vos clients enterprise s'allongent. Vos investisseurs posent des questions précises sur la gouvernance IA. Une roadmap crédible est devenue un prérequis commercial, pas un bonus.

02 · Offres

Deux engagements, cadrés.
Centrés sur ce que vous devez démontrer, et faire, concrètement.

Offre 01

Audit CRA, roadmap & mise en œuvre.

Un parcours complet, de la cartographie d'exposition jusqu'à l'implémentation technique. Pour viser sereinement les jalons de septembre 2026 et décembre 2027.

  • Cartographie de votre exposition au CRA
  • Audit sécurité produit & supply-chain
  • Sécurisation pipeline CI/CD et infrastructure
  • Roadmap conformité (jalons 09/2026 & 12/2027)
  • Mise en œuvre technique de la roadmap
  • Documentation prête pour audit externe
Offre 02

Audit, roadmap & renforcement sécurité IA.

Pour les éditeurs qui intègrent de l'IA en production (AI natives), comme pour ceux qui consomment des services IA tiers (Bedrock, OpenAI, Mistral, copilotes, chatbots intégrés).

  • Cadrage gouvernance modèles & usages IA (y compris shadow AI & vendor risk)
  • Mise en conformité AI Act : documentation, évaluation, signalement
  • Threat modeling : prompt injection, data leakage, model manipulation, jailbreak, hijack d'agent
  • Implémentation technique des guardrails : sanitization des entrées, classifieurs en sortie, isolation des outils & secrets, sandbox d'exécution
  • Sécurisation du pipeline ML : signature des modèles, validation des datasets, observabilité des prompts & sorties
  • Mise en œuvre directe ou en pair avec vos équipes. Pas de slides, du code.
03 · Méthode

Une méthode, quatre temps. La même pour les deux offres, adaptée à votre périmètre.

  1. 01

    Cadrage initial

    20 minutes pour comprendre votre produit, votre stack, votre exposition réglementaire et les questions que vous posent déjà clients ou investisseurs. On valide ensemble si la mission a du sens, et avec quel scope.

  2. 02

    Diagnostic technique

    Revue approfondie : code, infrastructure, pipelines IA, processus internes. Identification des écarts vs. CRA, AI Act et bonnes pratiques. Hiérarchisation par criticité métier, pas par dogme.

  3. 03

    Mise en œuvre & accompagnement

    Implémentation des remédiations, directement ou en pair avec vos équipes. Architectures cibles, contrôles, runbooks. La sécurité s'écrit dans le code, pas dans des slides.

  4. 04

    Livrable final & roadmap

    Dossier complet, documentation auditable, roadmap chiffrée pour la suite. Vos équipes savent exactement ce qui a été fait, pourquoi, et ce qui reste à entretenir, en autonomie.

04 · Mot de la fondatrice

Mot de la fondatrice.

J'ai créé WeeSec parce que la sécurité produit et IA ne se règle ni par une checklist, ni par un outil acheté sur étagère. Elle se construit avec vos équipes, dans votre code, sur la durée.

Trois engagements, pas un de plus : cadrer ce qui doit l'être, renforcer ce qui le mérite, et transmettre assez pour que vous repartiez autonomes.

Expérience
+10 ans d'expériences. Grands groupes (BNP Paribas, Société Générale) puis startups & scale-ups, +80 CTOs accompagnés.
Formation
Ingénieure docteure en cybersécurité de l'Institut Mines-Télécom.
IA appliquée
MIT Applied AI certified.
Posture
Pratique vendor-neutral. Aucune commission éditeur, aucun lien commercial avec les outils recommandés.
Lecture marché
Lecture stratégique du marché AI for Cyber EU démontrée.
Réserver 20 min
05 · FAQ

Questions fréquentes.

Combien de temps prend une mission ?

Cela dépend entièrement du périmètre. Un audit peut se cadrer en quelques semaines, une mise en œuvre complète s'étale sur plusieurs mois. Le cadrage initial sert précisément à fixer une fourchette réaliste avec vous, sans engagement.

Quels livrables concrets vais-je recevoir ?

Selon la mission : cartographie d'exposition, rapport d'audit détaillé, roadmap chiffrée et priorisée, architecture cible documentée, runbooks opérationnels, documentation auditable, ateliers de transfert de compétences. Tout est livré dans un format que vos équipes peuvent reprendre et faire évoluer.

Qui réalise concrètement l'audit ?

La fondatrice réalise directement les missions, et peut se faire accompagner par des consultants seniors si la mission le nécessite.

Travaillez-vous sous NDA ?

Systématiquement, et avant tout échange technique détaillé. Le NDA peut être le vôtre ou un standard que je vous fournis. La confidentialité est non-négociable. C'est aussi la posture de base sur ce métier.

Quels référentiels et normes couvrez-vous ?

Cyber Resilience Act, AI Act, ISO 27001, ISO 42001, NIST CSF, NIST AI RMF, OWASP (dont LLM Top 10), SOC 2, selon ce qui sert votre situation. L'objectif est d'aligner sur ce que vos clients et le régulateur attendent réellement, pas d'empiler les certifications.

Combien coûte une mission ?

Chaque mission est cadrée selon votre exposition et votre périmètre. Le pricing est défini lors du cadrage initial, après avoir compris votre contexte, pas avant. Calendly direct pour en discuter en 20 minutes.

Prochaine étape : 20 minutes pour cadrer.

Aucun engagement, aucune offre commerciale envoyée à froid. On regarde ensemble si la mission a du sens.

Réserver un échange Calendly