Quels types de services informatiques propose Novane ?

Novane est un cabinet spécialisé dans le développement de plateformes Web, de logiciels métiers et de solutions IA. On couvre l'intégralité du cycle de vie d'un projet digital : du maquettage à la prise en main par vos utilisateurs, en passant par le développement, le déploiement et l'acquisition. On propose aussi des services de conseil en stratégie digitale (première séance offerte), en transformation, en SEO et en cybersécurité.

Proposez-vous une garantie satisfait ou remboursé ?

Oui. Vous bénéficiez d'une garantie 7 jours satisfait ou remboursé à compter du début de la prestation. Cela couvre 100 % des honoraires Novane facturés durant la première semaine, hors frais tiers (nom de domaine, licences, hébergement). Un simple email suffit pour l'activer. Remboursement sous 14 jours ouvrés.

Quel est le délai moyen de réalisation d'un projet ?

Le délai dépend de la complexité. À titre indicatif : un site vitrine peut être livré en 1 à 3 semaines, une plateforme web ou un logiciel métier se réalise à partir de 3 semaines, une solution IA peut être fonctionnelle dès 2 semaines. Chaque étape est planifiée dès l'appel découverte pour vous donner une visibilité totale.

Quels sont vos tarifs et modèles de facturation ?

Nous proposons des formules forfaitaires et des missions en régie. Tous les tarifs sont transparents et validés par devis avant démarrage. Le paiement se fait à la semaine, au fur et à mesure de l'avancement du projet, ce qui permet de maîtriser le budget. Si vous avez un budget précis, nous adaptons la roadmap pour rester dans vos objectifs financiers.

Comment se passe le suivi et la maintenance après livraison ?

Le support technique est inclus gratuitement pendant 2 mois après la mise en ligne : corrections de bugs, ajustements mineurs et accompagnement sur la prise en main. Passé ce délai, nous proposons des formules de maintenance sur devis. Nous répondons sous 24h ouvrées à toutes vos questions même après la livraison.

Comment Novane fonctionne au quotidien sur un projet ?

Chez Novane, 1 sprint = 1 semaine. Chaque semaine, on définit ensemble les fonctionnalités à développer. Vous suivez l'avancement via un environnement de test déployé sur nos serveurs et un outil de suivi Jira. Un point hebdomadaire est organisé entre vous, le développeur et le manager du projet. La communication se fait via un canal Discord ou Slack dédié. Le paiement se fait à la semaine et la première semaine est satisfait ou remboursé.

Comment les solutions IA de Novane s'intègrent à mon écosystème existant ?

Nous nous adaptons à votre écosystème existant sans nécessiter de modifications majeures. Notre approche vise une intégration fluide des solutions IA, garantissant une transition en douceur et une efficacité accrue sans perturber vos opérations courantes. Nos assistants IA peuvent se connecter à vos outils existants : CRM, email, Slack, ERP, bases de données, Drive.

En quoi un assistant IA Novane est mieux que ChatGPT avec des documents uploadés ?

ChatGPT est un outil généraliste qui ne connaît pas votre entreprise. À chaque conversation, vous devez ré-uploader et recontextualiser vos documents. L'assistant IA Novane est une mémoire d'entreprise permanente, connectée nativement à vos outils (CRM, tickets, emails, Slack), avec vos règles et process intégrés. Il peut aussi automatiser des tâches comme envoyer des mails, trier des leads ou générer des comptes-rendus. Option déploiement local pour la confidentialité.

Pourquoi l’alerte CISA sur les vulnérabilités Skia/V8 (mars 2026) change la donne pour vos applications web et back‑offices

22/03/2026

Contexte — ce qu’il s’est passé (dates clés)

Le 10 mars 2026 Google a publié une mise à jour de sécurité importante pour Chrome (promotion de la version 146 vers le canal stable) corrigeant plusieurs failles dans des composants coeur du navigateur (moteur JavaScript V8, moteur graphique Skia et autres). Trois jours plus tard, le 13 mars 2026, la Cybersecurity and Infrastructure Security Agency (CISA) a renforcé la gravité opérationnelle en ajoutant des vulnérabilités liées aux moteurs de rendu/JS au catalogue Known Exploited Vulnerabilities (KEV), signalant qu’il existait des preuves d’exploitation active — ce qui place un impératif de remédiation pour les administrations fédérales américaines et un signal fort pour les entreprises.

Sources officielles :

Pourquoi ça compte pour vous (résumé rapide)

Ces vulnérabilités ne sont pas seulement des « bugs Chrome » : Skia et V8 sont intégrés à des centaines d’applications et services (navigateurs Chromium, Electron/CEF, applications embarquant WebView, services de rendu HTML headless). Une exploitabilité active signifie que :

des utilisateurs finaux peuvent être compromis par une simple visite d’une page malveillante ou via des extensions malveillantes ;
vos applications desktop basées sur Electron (outils métiers, back‑offices, clients CRM/ERP) sont exposées tant que leur runtime Chromium n’est pas mis à jour ;
des pipelines CI/CD, des services d’indexation ou des serveurs de rendu headless qui traitent du contenu web non‑fiable deviennent des vecteurs d’attaque potentiels.

Impacts concrets par pilier Novane

Web & SaaS : risque de compromission de sessions utilisateurs, exfiltration de cookies / jetons et exécution de javascript malveillant sur les postes clients. Pour les SaaS, cela peut conduire à des comptes compromis, interruption de service ou fuite de données.
Logiciel métier / ERP‑CRM : de nombreux back‑offices ou clients métiers (ERP / CRM) utilisent Electron ou des webviews. Tant que le runtime Chromium embarqué n’est pas patché, une faille « navigateur » devient une faille applicative pouvant mener à RCE locale ou vol de credentials.
Intégration IA / Agents : assistants web, agents qui automatisent la navigation ou utilisent des webviews (capture d’écran, scraping, previews) peuvent exécuter du code malveillant ou laisser échapper des informations si le moteur JS/graphique est vulnérable.

Ce que les décideurs doivent faire tout de suite (plan d’action en 6 étapes)

Priorité 1 — Patch immédiat des navigateurs et du parc géré : déployez et forcez la mise à jour Chrome/Edge (Chromium) sur les postes gérés et incitez/obligez les utilisateurs externes à mettre à jour. Date clé : mise à jour initiale publiée par Google le 10 mars 2026.
Priorité 2 — Inventaire des runtimes Chromium embarqués : identifiez toutes les apps qui embarquent Chromium (Electron, CEF, WebView) — outils internes, kiosques, clients desktop. Planifiez leur mise à jour ou l’upgrade du runtime.
Priorité 3 — Couche compensatoire si patch impossible rapidement : pour les appareils non‑gérables/BYOD ou appliances embarquées, activez des protections : EDR/antivirus à jour, blocage d’extensions non‑validées, Content Security Policy (CSP) durci, filtrage web/Proxy qui bloque pages ou scripts suspects.
Priorité 4 — Vérifier CI/CD et services headless : les runners qui utilisent des navigateurs headless pour tests ou screenshots doivent être patchés et isolés ; évitez de rendre du HTML non filtré avec des droits système élevés.
Priorité 5 — Surveillance & détection : activer la télémétrie et règles de détection (anomalies de navigateur, augmentation de crashs / heap corruptions, requêtes sortantes inhabituelles). Intégrer le signal KEV dans votre PRA vulnérabilités.
Priorité 6 — Communiquer en interne : informer directions (IT, produit, sécurité, legal) du risque et documenter les actions. En cas d’incident, centraliser logs et timeline pour la réponse.

Budget & arbitrage (ce que recommanderont vos CTO / DSI)

La patching d’urgence et l’inventaire sont des coûts courts mais prioritaires. Si vous devez arbitrer :

préférez allouer budget humain pour une réponse immédiate (1–3 jours) plutôt qu’un projet long : triage + patch + surveillance ;
si vous avez des clients sensibles (données santé, finance), prévoyez une revue de sécurité accélérée des composants embarqués et un plan d’isolement ;
pour les produits clients distribués (logiciels installés), préparez‑vous à fournir une mise à jour mineure du runtime à tous les clients et à communiquer la procédure de sécurité.

Checklist opérationnelle rapide (à copier-coller)

Mettre à jour Chrome/Edge sur tous les postes managés (dès que possible).
Inventaire des apps utilisant Electron/CEF/WebView — plan de patch ou de mitigation sous 7 jours.
Vérifier les builds CI qui utilisent des navigateurs headless — patch et isolation réseau.
Activer CSP strict sur vos domaines publics et réduire les possibilités d’injection JS tierce.
Configurer alertes EDR/IDS pour activité suspecte liée aux processus navigateur/renderer.
Préparer communication clients/partenaires si vos services embarquent des WebViews non patchables rapidement.

Exemples concrets (scénarios de risque)

Un commercial ouvre un lien reçu par phishing → navigateur vulnérable exécute une chaîne d’exploitation → vol de session CRM → fraude.
Un outil desktop interne (Electron) non mis à jour rend une page externe compromise → exécution de code dans le runtime de l’app → fuite de bases de données locales.
Un service de génération d’aperçus HTML (CI) traite du HTML non‑fiable → exécution côté rendu headless → contamination de l’environnement de build.

Conclusion — message aux dirigeants

Le signal envoyé par Google (patchs le 10 mars 2026) suivi par l’ajout au catalogue KEV (13 mars 2026) change la priorité : il ne s’agit plus d’une vulnérabilité théorique, mais d’un risque exploité en conditions réelles. Pour une PME/startup, l’impératif est double : (1) agir vite pour limiter l’impact opérationnel, (2) capitaliser sur l’événement pour fiabiliser la gestion des composants tiers (inventaire, mise à jour, politique de dépendances). Un défaut de réaction peut transformer une faille « navigateur » en compromission applicative avec coût légal, client et réputationnel élevé.

Pour vous aider rapidement : Novane propose des audits express et des plans d’intervention priorisés (inventaire Chromium, mise à jour des runtimes Electron, règles CSP et réponses incidents). Si vous voulez qu’on passe votre parc en revue ou qu’on prépare un patch plan, obtenez un devis ou contactez-nous.

Mini FAQ (orientée requêtes Google)

Q — Dois‑je arrêter mes services si je ne peux pas patcher tout de suite ?
R — Non, mais isolez les services vulnérables, appliquez contrôles compensatoires (proxy, CSP, EDR) et priorisez la mise à jour de clients et runtimes Chromium.
Q — Mes apps Electron sont‑elles concernées ?
R — Oui. Electron embarque Chromium : vérifiez la version du runtime, planifiez le rebuild/upgrade vers une version d’Electron qui inclut le correctif.
Q — Combien de temps pour patcher l’ensemble ?
R — Dépend du nombre d’actifs : pour un parc géré median, les updates navigateur prennent 24–72h ; pour les apps embarquées, compter 1–2 semaines pour rebuild/test/distribution selon votre processus.
Q — Que signifie l’ajout au catalogue KEV ?
R — CISA considère qu’il existe preuve d’exploitation active ; pour les agences fédérales US, cela impose une remédiation selon BOD 22‑01. Pour le privé, c’est un signal prioritaire de risque à traiter en urgence.
Q — Faut‑il bloquer les extensions Chrome en attendant ?
R — Oui, restreindre/valider les extensions est une bonne mesure immédiate pour réduire la surface d’attaque.

Ressources utiles :

Besoin d’un audit prioritaire (inventaire Chromium / Electron, patch plan, response playbook) ? Réservez une séance de consulting ou demandez un devis.

1. Pourquoi ça compte pour vous (résumé rapide)

1.1. Impacts concrets par pilier Novane

2. Ce que les décideurs doivent faire tout de suite (plan d’action en 6 étapes)

2.1. Budget & arbitrage (ce que recommanderont vos CTO / DSI)

3. Checklist opérationnelle rapide (à copier-coller)

4. Exemples concrets (scénarios de risque)

5. Conclusion — message aux dirigeants

5.1. Mini FAQ (orientée requêtes Google)

Pourquoi l’alerte CISA sur les vulnérabilités Skia/V8 (mars 2026) change la donne pour vos applications web et back‑offices

Pourquoi ça compte pour vous (résumé rapide)

Impacts concrets par pilier Novane

Ce que les décideurs doivent faire tout de suite (plan d’action en 6 étapes)

Budget & arbitrage (ce que recommanderont vos CTO / DSI)

Checklist opérationnelle rapide (à copier-coller)

Exemples concrets (scénarios de risque)

Conclusion — message aux dirigeants

Mini FAQ (orientée requêtes Google)

🎯 Votre partenaire tech & business

comment planifier la maintenance et l'évolution d'un logiciel métier sur‑mesure pour une PME : budget, organisation et SLA

HubSpot CRM gratuit : jusqu'où peut-on aller sans payer en 2026 ?

Assistant IA en entreprise : ce qui marche vraiment en 2026 (et ce qu’il faut éviter)

Un projet en tête ? Vous avez des questions ?