L'audit sécurité que vous facturez à votre client.
Pas un dashboard interne pour votre équipe. Un PDF signé, à votre nom, que vous joignez à votre facture. Construit pour les freelances Next.js / Node et les agences pré-livraison.
Signed by Hykaro Security · Independent Security Consultant
Verified
/ semgrep
/ trivy
/ gitleaks
/ npm audit
/ osv-scanner
/ bandit
/ checkov
/ hadolint
/ tflint
/ kube-bench
/ eslint-security
/ axe-core
/ pa11y
/ lighthouse
/ rgaa-checker
/ sonarjs
/ phpstan
/ psalm
/ mypy
/ ruff
/ clippy
/ gosec
/ semgrep
/ trivy
/ gitleaks
/ npm audit
/ osv-scanner
/ bandit
/ checkov
/ hadolint
/ tflint
/ kube-bench
/ eslint-security
/ axe-core
/ pa11y
/ lighthouse
/ rgaa-checker
/ sonarjs
/ phpstan
/ psalm
/ mypy
/ ruff
/ clippy
/ gosec
app.hykaro.security/scans/019e0d93
LIVE / 22 SCANNERS
Ce que vous recevez après un scan : findings consolidés, severity, fichiers concernés, PDF prêt à livrer.
Fonctionnalités
Conçu pour la livraison client. Pas pour votre équipe.
Pas de tableau interne. Un PDF signé, daté, à votre nom, prêt à joindre à la facture.
01
PDF white-label à votre nom
Logo, signature, branding. Vous remettez le rapport au client tel quel, dans votre facture. Aucune mention Hykaro côté client : c'est votre audit, à votre image.
02
22 scanners pertinents
Détection stack auto. Pas de bruit générique : SAST, secrets, deps, IaC, web, ciblés Next / Node / PHP / Python.
03
EU-hosted, RGPD-ready
Scaleway Paris. Vos données ne quittent pas l'UE. DPA disponible sur demande.
04
AI triage Claude
Standard et plus. Anthropic Claude flag les false-positives. Vous ne lisez que les vrais findings.
05
De l'audit au PDF, sans setup
Connect repo → scan → PDF. Pas de config, pas de carte bancaire pour la démo à 19€.
Docker --network=none
/RGPD-ready
/TLS 1.3 · AES-256
/100 % EU (Scaleway)
Vous codez avec un assistant AI ? On repère ce qu'il a oublié.
Claude Code, Cursor, v0, Lovable, Bolt : tous livrent du code en 10x. Aucun ne lit un rapport de scan. Hykaro relit pour vous avant que vous poussiez en prod.
Démo 19€ sur votre vrai projet. PDF complet livré en moins de 30 minutes.
Clés API hardcodées
Tokens OpenAI, Stripe, AWS oubliés dans .env.example, fixtures, ou tests générés par l'assistant.
Dépendances hallucinées
Packages npm inventés par le LLM, versions qui n'existent pas, deps abandonnées avec CVE connues.
API routes unsafe
Deserialization sans validation, XSS dans dangerouslySetInnerHTML, injection SQL via concat de strings.
Dockerfile root + tags latest
Container exécuté en root, images :latest sans pinning, secrets en build args. Standard sortie LLM.
Comment ça marche
Du repo au PDF, en une après-midi.
Trois étapes. Pas de setup, pas de carte bancaire pour la démo. Vous connectez, on scanne, vous livrez.
Étape 01
Connectez votre repo GitHub.
Installez l'app GitHub Hykaro en lecture seule, choisissez le repo à auditer. Pas de clone local, pas de fichier de config. Stack auto-détectée au clone serveur.
GitHub · choisir un repoOrg · acme
acme/apimain
acme/webshop
acme/landing-v2main
Permissionsread-only
Étape 02
22 scanners en parallèle.
SAST, secrets, deps, IaC, web. Container Docker isolé --network=none. Anthropic Claude trie les false-positives. Moins de 30 min sur un projet standard.
scan #4711En cours
gitleaksok
semgrepok
trivyok
bearerEn cours
lighthouseen file
14 / 22 scanners~12 min
Étape 03
PDF white-label, livrable client.
Votre logo, votre signature, vos couleurs. Vous joignez le PDF à votre facture, le client ne voit jamais Hykaro. Rétention 90 jours minimum selon tier.
ACME-AUDIT-2026-05.pdfPDF · 2.4 Mb
Rapport d'audit
ACME-AUDIT-2026-05
score
A−
0
critical
2
high
7
medium
Signé parAcme Studio
Conçu pour les stacks que vous vendez.
Détection automatique. Sélection ciblée des 22 scanners pertinents pour votre projet.
Next.js
React
Node
TypeScript
PHP
Symfony
Laravel
Python
scanners pertinents
22
durée moyenne
<30 min
hosting (Scaleway)
100% EU
Un projet. Un prix. Pas d'abonnement.
Pricing par projet, jamais par siège. Démarrez gratuitement sur 1 projet, payez quand vous livrez.
Démo
Évaluer sur votre vrai projet
Fenêtre 24h · scans illimités
1 target (1 repo ou 1 URL)
PDF Hykaro-branded (pas de white-label)
Pas d'AI triage
19€ crédité sur achat tier
démo · one-shot
Essentiel
Audit one-shot, à votre nom
Fenêtre 7 jours · scans illimités
3 targets max (repos + URLs)
PDF white-label (logo, signature)
Audit RGAA + EAA inclus (opt-in)
Webhook GitHub : auto-scan sur push
Téléchargement 90 jours
par projet · one-shot
Recommandé
Standard
Le plus choisi
Fenêtre 30 jours · scans illimités
5 targets max
Audit RGAA + EAA inclus (opt-in)
AI triage Claude (false-positives)
Diff inter-runs (régressions détectées)
Webhook GitHub + support email <24h
par projet · one-shot
Premium
Audit + remédiation guidée
Fenêtre 90 jours · scans illimités
10 targets max (repos + URLs)
Compliance report RGPD + RGAA + EAA
Loom 30 min commenté par expert
Call 30 min Q&A post-livraison
AI triage + diff + support prioritaire
par projet · one-shot
Plusieurs audits à prévoir ? Achetez des packs Essentiel dégressifs (jusqu'à -25%). Voir les packs de crédits
Tous les prix HT. Refund intégral si scan échoue ou rapport vide. L'exécution du scan est gratuite : on facture l'abonnement (suivi continu en CI) et le livrable client (PDF one-shot).
Comparatif
Pourquoi Hykaro plutôt que les outils enterprise ?
Snyk, Aikido, Semgrep Pro sont des plateformes dev continu pour équipes salariées. Hykaro est l'outil du prestataire qui livre un audit signé à son client.
Critère
Hykaro
One-shot · prestataire
Snyk
SaaS abonnement
Aikido
SaaS abonnement
Semgrep Pro
SaaS abonnement
Prix d'entrée
19€ one-shot
25 $/mois/dev
290 $/mois
1000 $/mois
Modèle
Par projet
Abonnement seats
Abonnement
Abonnement
PDF white-label livrable
Audit RGAA + EAA inclus
Setup
30 min
1-2 jours
1 jour
2-3 jours
Hébergement EU
Scaleway Paris
US
US/EU
US
AI triage
partiel
Pensé pour freelance pré-livraison
Hykaro
One-shot · prestataire
Prix d'entrée
19€ one-shot
Modèle
Par projet
PDF white-label livrable
Audit RGAA + EAA inclus
Setup
30 min
Hébergement EU
Scaleway Paris
AI triage
Pensé pour freelance pré-livraison
Snyk
SaaS abonnement
Prix d'entrée
25 $/mois/dev
Modèle
Abonnement seats
PDF white-label livrable
Audit RGAA + EAA inclus
Setup
1-2 jours
Hébergement EU
US
AI triage
Pensé pour freelance pré-livraison
Aikido
SaaS abonnement
Prix d'entrée
290 $/mois
Modèle
Abonnement
PDF white-label livrable
Audit RGAA + EAA inclus
Setup
1 jour
Hébergement EU
US/EU
AI triage
partiel
Pensé pour freelance pré-livraison
Semgrep Pro
SaaS abonnement
Prix d'entrée
1000 $/mois
Modèle
Abonnement
PDF white-label livrable
Audit RGAA + EAA inclus
Setup
2-3 jours
Hébergement EU
US
AI triage
Pensé pour freelance pré-livraison
→ Hykaro = audit livrable client. Pas plateforme dev continu.
Si une question n'est pas listée, écrivez-moi : hello@basile.tigerbox.app
Différent. Snyk et Aikido vendent un dashboard interne à des équipes salariées : abonnement par développeur, rapport qui reste chez vous. Hykaro génère un PDF white-label que vous remettez à votre client avec votre facture. C'est un outil de prestataire, pas un outil d'équipe.
Tier Essentiel et plus : votre logo, votre signature, votre couleur. Aucune mention Hykaro visible côté client. La démo 19€ est Hykaro-brandée volontairement (gate qualifiant).
Hébergement Scaleway Paris (Postgres + R2-compatible). Aucune donnée ne sort de l'UE, aucun sous-traitant US dans le pipeline scan. DPA disponible sur demande.
Illimités. Webhook, CI/CD, manuel : scannez autant que vous voulez pendant la fenêtre de votre tier (7 / 30 / 90 jours). Anti-abuse server-side : si vous déclenchez 2 fois le même commit SHA, on retourne le résultat caché (0 compute, 0 délai). Cooldown de 30 min entre deux scans manuels du même target. Cap dur 60 scans/h par organisation, vous ne le verrez jamais en usage normal.
Pas en MVP. Les tiers one-shot sont conçus pour les moments de livraison (audit pré-déploiement, audit avant remise client), pas pour bloquer continûment votre pipeline. Investir 2h pour intégrer un outil qui devient inactif après votre fenêtre n'est pas rentable. Pour ça, le tier Studio monthly arrive en phase 3 (RFC-014). En MVP, vous utilisez le webhook GitHub pour auto-scan sur push pendant votre fenêtre, utile pour itérer en sprint, pas pour bloquer un deploy continu.
Oui. Inclus gratuit dans tous les tiers payants (Essentiel, Standard, Premium). Pas dans la démo €19. Vous activez le profil 'accessibility' au scan et Hykaro génère un score RGAA chiffré + WCAG 2.1 AA + checklist EAA + plan correction priorisé, dans la même section PDF que la sécurité. Particulièrement utile pour les agences FR qui livrent à des clients soumis à l'EAA (entrée en vigueur 28 juin 2025).
Oui mais en option, pas par défaut. Le profil 'quality' (phpcs, eslint, tsc, depcheck, knip…) est très bavard et noierait les vrais findings sécu si on l'activait par défaut. Vous l'activez volontairement quand vous voulez un audit code-quality au-delà de la sécurité. Tous tiers concernés. Ces findings sont cappés à severity 'low' pour ne pas polluer les KPI critical/high.
Plusieurs. Un projet peut contenir plusieurs targets : 1 repo Git + 1 URL frontend + 1 repo backend séparé, par exemple. Tier Essentiel = 3 targets max, Standard = 5, Premium = 10. Webhook arrivant sur n'importe quel target déclenche un scan global du projet.
Le projet passe en lecture seule : vous pouvez retélécharger le PDF (selon la rétention du tier) mais plus déclencher de scan. Pour étendre, vous rachetez un tier. Pas d'abonnement caché.
Refund intégral si le scan échoue techniquement ou si le rapport est vide. Pas de refund "changed my mind" une fois le PDF téléchargé : la livraison est irréversible, c'est cohérent avec un livrable client.
Next.js, React, Node, TypeScript, PHP, Symfony, Laravel, Python, Go. Détection auto au clone. Si votre stack n'est pas listée, je vous dis en démo si Hykaro est pertinent, sans surprise.
Le CLI Hykaro est open-core, donc oui. Le SaaS est l'option managée (orchestration, PDF, AI triage). On-prem disponible en tier Enterprise (phase 3). Écrivez-moi.
L'AI triage Claude reçoit uniquement les findings (CWE, fichier:ligne, snippet de 5 lignes max). Aucun secret, aucun code complet, aucune donnée client n'est envoyé. Et vous pouvez désactiver l'AI triage sans surcoût.
Lancez votre premier audit pour 19€.
30 minutes. Pas de setup. Crédité si vous prenez un tier après.