Méthode M-KIS

    Notre méthode

    Open source, hands-on, transparent. Trois principes qui guident chacune de nos missions.

    Échange découverte gratuit
    Principe n°1

    Pourquoi 100 % open source

    Tout ce qu'on déploie chez vous est open source. Ce n'est pas un dogme : c'est un choix de souveraineté, d'auditabilité et de coût. Voici pourquoi.

    Souveraineté

    Vos données restent en France, vos politiques sont auditables, vos preuves restent à vous. Pas de transfert vers des juridictions tierces.

    Auditabilité

    Un Lead Auditor peut lire le code source des outils que vous utilisez. Pas de boîte noire, pas de "trust us" — vérification réelle.

    Pas de vendor lock-in

    Si vous quittez M-KIS, vous gardez votre stack. Vous pouvez aussi internaliser : tout est documenté, reproductible, vôtre.

    Pas de Patriot Act / Cloud Act

    Vos logs ne sont pas exposés à des subpoenas américains. Vos données de sécurité ne quittent pas votre périmètre.

    Coût annuel divisé par 2 à 3

    À périmètre équivalent, le TCO est 2 à 3 fois inférieur à un SaaS US (Vanta, Drata, CrowdStrike). Vous payez l'expertise, pas les licences.

    Communauté & longévité

    Wazuh, Keycloak, Vault, OpenSearch : projets matures, communautés actives, mainteneurs multiples. Pérennité garantie.

    Lire l'analyse complète : alternative open source à Vanta & Drata en 2026
    Principe n°2

    Pourquoi on fait l'implémentation technique

    La plupart des consultants ISO 27001 vous remettent du Word et du PowerPoint, puis vous laissent vous débrouiller pour configurer techniquement.

    Nous configurons votre IAM, durcissons vos serveurs, déployons votre SIEM, écrivons vos politiques, et on vous prépare à l'audit.

    On est techniques d'abord, consultants ensuite. La paperasse découle de l'implémentation, pas l'inverse.

    Concrètement, ce que ça veut dire

    • On demande aux clients un accès technique réel à leurs environnements (selon scope NDA).
    • On déploie nous-mêmes Wazuh, Keycloak, Vault — pas via un sous-traitant.
    • On écrit les playbooks Ansible et les modules Terraform que vos équipes pourront reprendre.
    • On rédige les politiques en s'appuyant sur ce qui est réellement en place — pas l'inverse.
    • On assiste à l'audit de certification à vos côtés, pas à distance.
    ISO 27001 NIS2 SOC managé
    Principe n°3 — transparent

    Notre stack outillage

    Tout ce qu'on déploie est documenté, reproductible et open source. Pas de surprise, pas de SKU caché.

    SIEM / XDR
    Wazuh + OpenSearch

    Manager + indexer + dashboard

    IAM / SSO
    Keycloak

    OIDC, SAML, MFA, FIDO2

    Secrets
    HashiCorp Vault / OpenBao

    Intégration GitOps, rotation auto

    Vulnerability scanning
    Trivy, Lynis, Nuclei

    Containers/IaC, système, web

    Backup
    Restic + Borg

    Stockage immutable S3 (object lock)

    Infrastructure as Code
    Terraform / OpenTofu + Ansible

    Provisioning + configuration

    Observabilité
    Grafana + Prometheus + Loki

    Metrics, logs, dashboards

    Détection-as-code
    Règles Sigma

    Transpilées vers Wazuh

    Orchestration
    n8n

    Workflows alerting + lead gen

    Email transactionnel
    Resend

    FR-friendly, pas SendGrid

    Hébergement
    Hébergeurs FR/EU

    Souveraineté & RGPD natif

    Durcissement
    CIS Benchmarks + ANSSI

    Templates Ansible prêts à l'emploi

    Nos certifications & référentiels

    On ne s'attribue pas ce qu'on n'a pas. Voici la qualification de l'équipe et les référentiels que nous appliquons au quotidien.

    Qualification équipe

    Lead Auditor ISO 27001

    L'Équipe M-KIS dispose d'un Lead Auditor ISO 27001 — qualifié pour conduire des audits de certification. Une compétence collective qui irrigue toutes nos missions, du gap audit à la mise en conformité technique.

    ISO/IEC 27001:2022

    Système de management de la sécurité de l'information + ISO/IEC 27002:2022 (mesures).

    NIST CSF 2.0

    Framework de cybersécurité + NIST SP 800-53 (catalogue de contrôles).

    ANSSI

    Guides d'hygiène, recommandations sécurité, référentiels sectoriels.

    CIS Benchmarks

    Durcissement des systèmes (Linux, Windows, Kubernetes, conteneurs).

    MITRE ATT&CK

    Référentiel de tactiques et techniques adverses pour la détection.

    OWASP

    Top 10, ASVS, et bonnes pratiques pour la sécurité applicative.

    Nos engagements

    Quatre promesses concrètes, écrites noir sur blanc dans nos contrats.

    Tarifs publics

    Toutes nos prestations affichent une fourchette publique sur la page services. Pas de "demandez un devis", pas de tarif au feeling.

    Livrables auditables

    Markdown + PDF, livrés via votre dépôt Git ou drive. Vous gardez tout, indéfiniment, sans dépendre de notre infra.

    NDA réciproque par défaut

    Confidentialité dans les deux sens — vos secrets restent secrets, et nous nous engageons par écrit avant d'accéder à votre stack.

    Réversibilité totale

    Sortie possible à tout moment. Vous récupérez votre stack, vos configurations, vos données et vos preuves. Pas de pénalité, pas d'otage.

    Si vous voulez creuser

    On publie ce qu'on apprend. Trois portes d'entrée pour aller plus loin.

    Blog technique

    Articles de fond sur ISO 27001, NIS2, Wazuh, détection-as-code.

    Lire le blog

    Ressources gratuites

    Templates de politiques, playbooks Ansible, checklists conformité.

    Télécharger

    Catalogue services

    Tarifs publics, durées, livrables — tout est sur la page services.

    Voir les services

    Une question sur la méthode ? On en parle.

    30 minutes pour comprendre votre contexte, partager comment on travaillerait ensemble, et voir si on est le bon partenaire pour vous.

    Échange découverte gratuitVoir nos services