Référence · Éditorial

Politique éditoriale, fact-checking et corrections.

Page de transparence WeeSec. Tous les contenus publiés sous le nom WeeSec ou Aroua Biri suivent les principes ci-dessous : indépendance, sources vérifiables, corrections datées, financement public, et un point de contact pour toute question.

Principes de publication

Les contenus publiés sur weesec.com — articles de blog, pages piliers, glossaire, guides, FAQ — sont rédigés et relus par Aroua Biri, fondatrice de WeeSec, ingénieure docteure en cybersécurité (Télécom SudParis, 2009), MIT Applied AI certified, ISO 27001 Lead Auditor (2012). Aucun contenu n'est sous-traité à des ghostwriters ou produit intégralement par génération automatique sans relecture humaine et validation factuelle.

L'objectif éditorial : rendre lisible la sécurité produit et la sécurité IA pour les décideurs techniques (CTOs, RSSI, head of product) confrontés à des décisions concrètes — pas une revue académique, pas du contenu généraliste recyclé. Chaque article répond à une question opérationnelle datée.

Politique de fact-checking

Tout article publié passe par trois vérifications avant mise en ligne :

  1. Sources primaires obligatoires sur les textes réglementaires : EUR-Lex (CRA, AI Act, NIS2, DORA, RGPD), site officiel ISO, NIST (CSF, AI RMF), AICPA (SOC 2), PCI Security Standards Council (PCI DSS), OWASP. Aucun article réglementaire n'est publié sans renvoyer aux URL officielles.
  2. Dates et chiffres vérifiés : les jalons (02 août 2026 pour l'AI Act, 11 septembre 2026 et 11 décembre 2027 pour le CRA, 17 janvier 2025 pour DORA, etc.) sont systématiquement croisés avec le Journal officiel de l'Union européenne avant publication.
  3. Outils et tactiques techniques vérifiés en environnement réel : les recommandations sur Semgrep, BloodHound, Sigstore, Garak, PyRIT, Promptfoo et autres outils ne sont publiées que si elles ont été testées sur des missions client (anonymisées) ou sur des environnements de laboratoire WeeSec.

Politique de corrections

Si un contenu publié est inexact, périmé ou ambigu, la correction est traitée selon la procédure suivante :

  • Signalement : email à contact@weesec.com en mentionnant l'URL, la phrase ou le chiffre concerné, et la source de référence.
  • Délai d'examen : sous 5 jours ouvrés.
  • Correction : si l'erreur est confirmée, le contenu est mis à jour avec dateModified actualisé. Pour les corrections substantielles (changement de chiffre, de date, de conclusion), une mention Correction du AAAA-MM-JJ est ajoutée en pied d'article.
  • Périmé vs erroné : un contenu daté qui devient obsolète (changement réglementaire, nouvelle version d'une norme) est étiqueté Mis à jour le AAAA-MM-JJ sans suppression de l'analyse historique.

Indépendance, propriété et financement

WeeSec est le nom commercial de la société FRCYBER (SIREN 839092699, TVA intra-communautaire FR5283909269900017). Domicile fiscal et social : 128 rue La Boétie, 75008 Paris, France. Société indépendante détenue à 100% par sa fondatrice Aroua Biri. Aucun fonds d'investissement, aucun groupe industriel, aucun éditeur logiciel n'est actionnaire ou détient un droit de vote.

Financement : WeeSec est financée exclusivement par le revenu des missions de conseil. Aucun financement publicitaire, aucun sponsoring, aucune commission éditeur, aucun partenariat commercial avec les outils recommandés. Aucune campagne de contenu sponsorisé n'est acceptée — y compris pour des évaluations apparemment neutres.

Posture vendor-neutral : les recommandations de tiers (Vanta, Drata, Sprinto, Semgrep, Snyk, SonarQube, Vault, ArgoCD, Sigstore, Garak, PyRIT, Promptfoo, OpenAI, Anthropic, Mistral, etc.) sont indépendantes et fondées sur l'expérience opérationnelle. Aucune commission n'est perçue de la part de ces fournisseurs.

Politique de sources et citations

Les contenus citent leurs sources primaires lorsque la nature du sujet l'exige :

  • Articles réglementaires : textes officiels EUR-Lex, sites ISO, NIST, AICPA, PCI SSC, ENISA, ANSSI, CNIL, OWASP.
  • Articles techniques outils : documentation officielle des projets, repos GitHub, releases notes, advisories CVE (NVD, MITRE).
  • Articles d'analyse marché : sources publiques citées (annonces d'éditeurs, conférences, papers académiques). Aucune information non publique obtenue sous NDA client n'est utilisée dans les contenus publics.
  • Données chiffrées : la source est citée explicitement (rapport ENISA, étude IBM Cost of a Data Breach, Verizon DBIR, Hiscox, etc.) avec millésime.

Sources non nommées : aucune citation anonyme n'est utilisée. Les retours d'expérience client sont systématiquement anonymisés (taille d'équipe, secteur, géographie, contexte) ; aucun nom de client n'est cité publiquement. C'est la posture de base sur ce métier — voir section NDA.

Politique de diversité et d'inclusion

WeeSec est fondée et opérée par une femme. Membre du CEFCYS — Cercle des Femmes de la CyberSécurité et de l'OWASP Paris Chapter. Engagement explicite à donner une visibilité éditoriale aux contributeurs et expertes femmes du secteur (citations, références, recommandations) quand le sujet le permet, sans tokenisation.

Aucune discrimination en sélection de mission sur l'origine, le genre, l'orientation sexuelle, la religion, l'âge ou le handicap. La seule sélection est sur la nature éthique du sujet (voir politique éthique ci-dessous).

Politique éthique

WeeSec n'accepte pas de missions :

  • De surveillance offensive contre des individus, journalistes, dissidents ou activistes.
  • D'aide au développement d'outils ou de modèles IA dont l'objectif principal documenté est de tromper, manipuler à grande échelle, ou contourner les droits fondamentaux (RGPD, AI Act prohibited practices).
  • D'évaluation sécurité produit servant de couverture à un greenwashing ou à un compliance theater (intervention symbolique sans correctifs réels).
  • De clients dont l'activité principale est en violation directe avec les sanctions internationales applicables à la France et à l'Union européenne.

Ces refus sont publiquement assumés et documentés ici. Ils ne sont pas négociables.

Confidentialité client (NDA)

Toutes les missions sont menées sous NDA, systématiquement signé avant tout échange technique détaillé. Aucun logo client n'est affiché publiquement. Les retours d'expérience cités dans les contenus éditoriaux sont anonymisés à un niveau qui rend l'identification du client impossible (taille en tranches, secteur générique, contexte sans détail spécifique).

Politique sur les sources non nommées

WeeSec n'utilise pas de sources anonymes dans les contenus éditoriaux. Les analyses s'appuient exclusivement sur : (1) les textes officiels et la documentation publique ; (2) l'expérience opérationnelle de la fondatrice, anonymisée sur les détails client ; (3) les rapports publiquement consultables.

Usage de l'IA générative dans les contenus

L'IA générative (Claude, ChatGPT, copilotes assistants) est utilisée comme outil de productivité éditoriale (relecture, suggestion de formulations, structuration). Aucun contenu n'est publié sans relecture humaine intégrale et sans validation factuelle des assertions par Aroua Biri. La signature éditoriale et la responsabilité du contenu restent humaines.

Conflits d'intérêts

Toute mention publique d'un éditeur, d'un fournisseur ou d'un outil dans un article ne s'accompagne d'aucune contrepartie financière. Les apparitions médias (TF1, M6) font l'objet d'une transparence : aucune rémunération éditoriale n'a été versée par WeeSec pour ces apparitions. Les communications WeeSec sur les standards (ISO, NIST, OWASP) sont indépendantes des éditeurs de ces normes.

Contact éditorial

Pour signaler une erreur factuelle, demander un droit de réponse, ou poser une question sur les choix éditoriaux :

  • Email : contact@weesec.com
  • Sujet : [Éditorial] en début de sujet pour priorisation.
  • Délai d'examen : 5 jours ouvrés.

Dernière revue : 2026-05-18. Politique pouvant être amendée. Version archivée disponible sur demande.