Bundle starter · B06
SaaS sécurisé
Auth multi-user, RLS Postgres testée en CI, RGPD par endpoint, audit log par tenant. Les 3 extensions X01/X02/X03 incluses.
Lance un vrai SaaS multi-tenant, conforme dès la mise en ligne.
Sur l'infopreneur B05 : comptes utilisateurs, abonnements et Portal Stripe, isolation multi-tenant, chiffrement des données, droits RGPD par endpoint, dashboard d'administration et CRM, avec les extensions X01 à X03 incluses. Le socle technique complet d'un SaaS sécurisé, prêt à déployer.
// pourquoi ce bundle existe
Le scénario que ce bundle anticipe.
Tu passes du produit-à-l'unité au SaaS : comptes utilisateurs, abonnements récurrents, données par client, dashboard d'admin, RGPD par endpoint. À ce stade, la sécurité devient existentielle. Une fuite inter-tenant (client A voit les données de client B) tue la confiance instantanément et déclenche une notification CNIL à 72 h. Les fondateurs SaaS qui survivent à 3 ans ont tous la même hygiène : Row-Level Security obligatoire, tests d'isolation en CI, audit log immuable par tenant, chiffrement applicatif sur les PII.
Le bundle livre l'intégralité : auth multi-user (magic link + MFA TOTP, JWT signés courts, refresh rotatif), abonnements Stripe + Portal client self-service, RLS strict Postgres avec tests CI d'isolation, chiffrement pgcrypto au niveau colonne, endpoints RGPD complets (export/deletion/consentement), audit log immuable par tenant, et headers HTTP durcis. Plus les 3 extensions (X01 hardening, X02 résilience, X03 atelier dev pro) déjà incluses.
$ cat angles-morts.txt
Les angles morts que ce bundle ferme.
Chaque ligne est un risque mesuré, pas un fantasme. Si tu reconnais ton stack dans une d'elles, c'est que ce bundle est pour toi.
Architecture emboîtée
Un starter empile tous les précédents
Les six starters ne sont pas six offres séparées : c'est une seule pile. B06contient l'intégralité des bundles précédents, chacun avec son périmètre, et y ajoute sa propre couche. Tu ne paies jamais deux fois la même brique.
$ tree B06/
Ce qu'il y a dans la boîte.
Chaque toolkit est livré avec son code, son runbook, et ses tests. Pas de SaaS caché, pas d'abonnement implicite — tu possèdes tout ce que tu déploies.
$ ls direct/ # ce que B06 ajoute en propre
$ mitre-attack --highlight B06
Les maillons verrouillés dans la kill-chain.
La chaîne MITRE ATT&CK décompose une attaque en 13 tactiques, de la reconnaissance à l'impact. Ce bundle rend impraticables les maillons surlignés ci-dessous — l'attaquant ne peut plus enchaîner.
$ mitre map --attack-to-defend B06
Chaque problème, sa contre-mesure.
Pour chaque technique d'attaque ATT&CK qui vise B06, la mesure concrète qu'il pose pour la neutraliser — risque à gauche, parade en face.
Un compte utilisateur volé donne un accès direct au tenant correspondant.
MFA TOTP + JWT courts + détection d'anomalie de session : la route du compte volé se referme.
Une requête SQL mal cadrée sans RLS exfiltre les données de tous les tenants à la fois.
RLS strict + tests d'isolation joués en CI : la fuite inter-tenant est rendue impossible.
Un container compromis qui s'échappe vers l'hôte compromet l'intégralité du SaaS.
User-per-stack (X01) + hardening systématique : chaque service est isolé, le rayon d'impact contenu.
Un backup non chiffré ou un bucket S3 ouvert, et tes PII partent en clair.
Chiffrement pgcrypto + backups age + R2 immuable (X02) : même volé, le backup reste illisible.
Un ransomware sur ta base de prod, sans sauvegarde fiable, c'est la boîte morte.
Backups immuables + drill mensuel de restauration (X02) : tu reviens à T-24h en heures, pas en jours.
$ cat faq.md
Tu hésites ? Lis ça.
Pourquoi inclure les 3 extensions dans B06 ?
Un SaaS sans hardening (X01), sans résilience (X02), sans atelier dev pro (X03), c'est un proto. À ce stade, les 3 extensions ne sont plus optionnelles : elles couvrent le durcissement, la reprise après incident et la qualité du code, trois chantiers qu'un SaaS qui sert de vrais clients ne peut pas remettre à plus tard. On les inclut au prix de gros.
Combien de tenants supporte la stack ?
Architecturalement : illimité. Pratiquement, jusqu'à ~5000 tenants sans tuning (Postgres + Coolify single-VPS). Au-delà, scaling horizontal des workers n8n et passage Redis multi-instance pour le rate-limit.
C'est conforme SOC 2 / ISO 27001 ?
Le bundle te met sur la trajectoire (audit log, RLS, chiffrement, RGPD, runbook DR). L'attestation formelle SOC 2 / ISO reste un travail d'audit séparé. Mais tu pars avec 70% des contrôles déjà implémentés et documentés.
Combien de temps depuis zéro ?
Si tu pars de B01 et empiles : 3 à 6 semaines de travail concentré pour atteindre B06 prêt à servir des clients. Si tu pars directement de B06 : 8 à 10 jours pour comprendre et adapter à ta verticale.
$ ./preorder --bundle B06
Pas encore en vente, mais réserve ta place.
Laisse-moi ton email — tu seras prévenu·e en priorité au lancement, avec une réduction pré-achat. Aucune newsletter, aucun spam : juste l'annonce du jour J.
B06te paraît trop, ou pas assez ?
// ou compare les 6 starters d'un coup d'œil sur le tableau de couverture