Description

Consultant en cybersécurité avec 6 ans d’expérience. Je réalise des pentests web, audit de configuration et durcissement de serveurs applicatifs. Je produis des rapports basés sur des référentiels (OWASP, CIS Benchmarks, MITRE ATT&CK), avec des recommandations concrètes et exploitables. J’effectue également des audits des environnements Windows ainsi que des analyses d’exécution de code.

Langues

Français
Bilingue ou natif
Anglais
Capacité professionnelle complète

Préférences en matière de lieu de travail

Accepte de travailler sur site

Paris (jusqu’à 50 km)

Caisse Nationale d'Assurance Maladie
Consultant Cybersécurité
CONSEIL & AUDIT
octobre 2024 - Aujourd'hui (1 an et 8 mois)
Paris, France
- Mission Audit des environnements Windows (Entra ID, postes locaux) et évaluation du Role-Based Access Control (RBAC)

Durant cette mission, j’ai mené des audits de sécurité d’environnements Windows, incluant des postes locaux et des identités gérées via Entra ID, avec pour objectif de cartographier les droits d’accès aux ressources et de vérifier la cohérence entre les rôles attribués aux utilisateurs et les permissions effectivement appliquées.
J’ai réalisé un inventaire structuré des accès aux ressources partagées et locales, en analysant le contenu des DACL (ACE) ainsi que le contrôle d’accès aux ressources système en fonction des privilèges.

Afin d’industrialiser la collecte et de fiabiliser l’analyse, deux scripts PowerShell ont été développés pour automatiser l’extraction des données de sécurité et faciliter une analyse à froid, suivi par la rédaction d’un rapport détaillé, présentant les observations, les hypothèses et les conclusions issues des données collectées, ainsi que des recommandations de sécurité.

Tâches réalisées :

● Inventaire des permissions NTFS et des accès aux ressources partagées (analyse DACL / ACE)
● Développement d’un script PowerShell de collecte des DACL/ACE et export automatisé vers Excel pour analyse à froid
● Développement d’un script PowerShell d’inventaire sécurité : privilèges, règles pare-feu, clés de registre sensibles
● Analyse des mécanismes Windows Internals : access tokens, privilèges, contrôle d’accès et exposition des ressources
● Rédaction d’un rapport final d’audit : méthodologie, résultats, hypothèses, conclusions et recommandations de durcissement
Adentis
Pentest Web
CONSEIL & AUDIT
février 2023 - septembre 2024 (1 an et 7 mois)
Boulogne-Billancourt, France
- Mission de pentest web et audit de sécurité applicative – Audit et durcissement Apache Tomcat (CIS Benchmarks)

Dans le cadre de missions de tests d’intrusion web et d’audit de sécurité applicative, j’ai réalisé des évaluations de sécurité complètes d’applications exposées sur Internet et d’environnements applicatifs Java basés sur Apache Tomcat, avec pour objectif d’identifier les vulnérabilités exploitables, les mauvaises configurations et les risques d’exposition des interfaces critiques.

Les audits ont été conduits selon des méthodologies reconnues telles que OWASP Testing Guide et MITRE ATT&CK, en combinant des approches black-box (DAST), white-box (SAST) et gray-box (IAST), afin d’identifier des vulnérabilités applicatives, des défauts de configuration et des vecteurs d’attaque potentiels.

Taches réalisées :

● Réalisation de tests d’intrusion web selon les méthodologies OWASP (DAST, SAST, IAST)
● Identification de vulnérabilités : XSS, SQL Injection, RCE, défauts d’authentification et de contrôle d’accès
● Utilisation d’outils spécialisés tels que Burp Suite Pro et Enterprise, SonarQube, Qualis, etc.
● Audit et durcissement de serveurs Apache Tomcat (configuration, comptes, permissions, interfaces d’administration, TLS)
● Analyse des mécanismes d’authentification, des permissions et de la surface d’attaque applicative
● Cartographie des vulnérabilités selon OWASP Top 10 et MITRE ATT&CK
● Rédaction de rapports d’audit détaillés avec recommandations de remédiation et de durcissement
Pentest Web
Le Groupe La Poste
Consultant Cybersécurité
HIGH TECH
septembre 2021 - décembre 2022 (1 an et 3 mois)
92130 Issy-les-Moulineaux, France
● Tests d’intrusion d’applications web

● Accompagnement des développeurs Colissimo sur la sécurité applicative avant et après la mise en production

● Mise en place d’une solution sécurisée ELK (Elasticsearch, Logstash, Kibana) pour faciliter l’analyse des logs, puis déploiement d’une solution de supervision sécurité efficace