Audit SaaS agentique
ActifSystème d'audit technique de SaaS, niveau McKinsey, piloté par une flotte d'agents Claude. Reverse-engineering de la surface publique d'un produit (bundle JS, API, vendors, paywalls) pour produire un rapport de moat et de risques, chaque finding adossé à une preuve vérifiable.
Résultats
Stack
Contexte
Un système d’audit qui analyse un SaaS de l’extérieur, à la manière d’une due diligence technique : qu’est-ce qui protège réellement ce produit, où sont les angles morts, comment le referait-on. Le livrable est un rapport HTML digestible, pensé pour être lu par le founder de la cible en approche founder-to-founder, avec clause de responsible disclosure.
Architecture
Un agent orchestrateur pilote une flotte de sub-agents Claude ultra-spécialisés qui analysent chacun une dimension de la surface publique :
- Stack : framework, hosting, CDN, base de données
- Endpoints : routes, API, schémas OpenAPI / GraphQL
- Auth & multi-tenant : SSO, OAuth, rôles, isolation des tenants
- Vendors : APIs tierces, domaines externes, SaaS intégrés
- Pricing & gates : plans, feature flags, paywalls côté backend
- Surface data : fuites PII, conformité privacy / RGPD
Règles de rigueur
- Code is ground truth : chaque finding s’appuie sur une preuve reproductible (URL, ligne de bundle, requête réseau, citation de doc). Une page marketing décrit une intention, jamais une implémentation.
- Confidence scoring : chaque finding est noté HIGH / MED / LOW, arrondi vers le bas en cas de doute. Les faux positifs détruisent la crédibilité.
- Two-bucket findings : on documente autant les faiblesses que les forces validées. Montrer ce qui marche renforce la crédibilité de ce qui ne marche pas.
- Scope strict : uniquement la surface publique observable (bundle JS, réseau, DNS, headers, docs, pricing). Aucune intrusion, aucune exploitation active.
Vision
Aujourd’hui semi-manuel, orchestré par agents. La trajectoire : un CLI ctf audit <url> qui génère 80% du squelette d’audit automatiquement.