Guy - Expert Réseaux Sécurité

JOB ROLE CHEZ LE CLIENT : ARCHITECTE RESEAUX SECURITE DU PROJET HYDERABAD (INDE)

• Rédaction des dossiers d’architectures techniques DAT-G (HLD), soutenance au TASK pour validation et DAT-D (LLD)

JOB ROLE CHEZ LE CLIENT : EXPERT RESEAUX SECURITE

CONTEXTE : PROJET URBASEC : c’est l’urbanisation des architectures réseaux & sécurité des Data Center du groupe SAFRAN : maison mère et toutes les sociétés du groupe SAFRAN
ACTIVITES : Thème Principale
• Segmenter les infrastructures réseaux & sécurités en plusieurs zones en tenant compte de leurs fonctionnalités,
• Assigner à chacune des zones un niveau de sécurité en fonction des sensibilités des données hébergées dans chacune des zones,
• Après validation des segmentations des zones et leur niveau de sécurité, générer une matrice des divers flux nécessaires aux différentes zones,
• Les sessions des flux des sociétés sont uniquement initiées depuis les zones à sensibilités plus élevées vers les zones à sensibilités moins élevées,
• Les flux sont filtrés par des pare-feu Palo Alto et (ou) load-balancés par des F5 LTM,
• Les règles de filtrages entre zones sont mises en œuvre par des VSYS configurés sur les pares-feux PaloAlto et Panorama plateforme de management des Palo,
• Certaines zones sont transverses aux autres zones : administration, supervision, sauvegarde,
• Les zones frontales Internet ont des architectures spécifiques que je ne peux détailler ici pour des raisons de professionnelles et de sécurité,
• Certaines zones sont complètement isolées pour des besoins spécifiques : tests, validation, …
• Organisation et animation des réunions techniques d’explications, conseils et présentation d’un exemple réel d’une société SAFRAN auprès des autres sociétés,
• Accompagner, conseiller et rassurer les experts réseaux et les architectes des sociétés SAFRAN,
• Comptes rendus hebdomadaires sur l’évolution du projet aux managers,
• Echanges fréquentes avec l’équipe PSSI en charge de la mise en œuvre des politiques de sécurités des systèmes informatique et réseaux du groupe Safran,

JOB ROLE CHEZ LE CLIENT : EXPERT RESEAUX & SECURITE

CONTEXTE
Au sein de l’équipe d’ingénieurs réseaux et sécurité, responsable support niveau 3 réseaux & sécurité en charge des déploiements, support des équipements réseau et pare-feu des réseaux CSA et RLI

ACTIVITES : Thème Principale
• Administration de 240 pares-feux ForcePoint en clusters, déployés sur 120 agences ENEDIS :
• Ouvertures de flux, configuration de tunnels IPsec,
• Configuration réseaux niveau 2 et 3 pour des nouveaux projets,
• Administration de 8 Nexus 7K, interconnexion avec les serveurs ESXi, les pare-feu CSA, RLI
• Projet de migration réseaux des Switch Cisco 600 2960X, 420 switchs 3850 et 3650 vers des switchs HP ArubaOS-CX,
• Mise en place d’une plateforme de tests et validation des configurations des switchs Cisco vers HP ArubaOS-CX,
• Validation des configurations diverses en version HP ArubaOS-CX :
• Authentification TACACS,
• Configuration de la supervision SNMP v3 supervision sur la VRF d’administration,
• Configuration et propagation des VLANs,
• Configuration des clusters de switchs ArubaOS-CX en clusters VSX, tests et validation,
• Rédaction des documents techniques de déploiement et des recettes de bon fonctionnement,

JOB ROLE CHEZ LE CLIENT : ARCHITECTE RESEAUX & SECURITE

CONTEXTE
Concevoir l’architecture d’une infrastructure applicative à mettre en production au Kazakhstan
• Etudes des architectures et réseaux, rédaction des documents HLD & LLD,
• Animation des réunions techniques pour arbitrage des choix techniques et critiques,
• Durcissement des systèmes d’exploitation Linux et Windows Server,
• Intégration et validation des systèmes sur plateformes Openstack et Pare-feu réseaux,
• Intégration et validation des pare-feu applicatifs :
• Configuration et optimisation des serveurs Web Proxy hébergeant les modules pare-feu applicatifs,
• Audits des flux avant activation des règles du pare-feu applicatif
• Activation des règles CRS 3.2 et audits des flux avec les outils BURP, OWASP-ZAP,
• Validation des redirections d’URLS et des échanges SSO via IAM KeyCloack,
• Déploiement et maintient opérationnel des pare-feu front-end : cluster Fortinet,
• Gestion, génération des certificats sur l’infrastructure PKI,
• Projet de migration de 200 utilisateurs VPN IPsec vers VPN SSL double authentifications sur Fortinet,
• Génération et installation des certificats et clé privée sur le Fortinet,
• Remote Access – FortiClient : configuration des accès distants SSL avec split tunneling, DNS, routage et configuration des flux vers les zones applicatives,
• Pour le Remote Access, : Génération des certificats X.509 machines installés sur les ordinateurs des développeurs pour validation avant l’authentification de l’utilisateur par le Fortinet et l’ouverture de l’application et clés privées protégées par mot-de-passe,
Configuration de 30 tunnels IPSec avec les partenaires fournisseurs des données sur le projet,
• Projet WAF Amérique Latine : Intégration et déploiement du WAF Apache/Mod-security en frontal des flux « web services » et serveur applicatif motorisé par JBoss,
• Configuration et optimisation des serveurs Web Proxy hébergeant les modules pare-feu applicatifs,
• Audits des flux avant activation des règles du pare-feu applicatif
• Activation des règles CRS 3.2 et audits des flux avec les outils BURP, OWASP-ZAP,
• Validation des redirections d’URLS
• Tests des flux Web Services avec le WAF désactivé et activé avec l’outil SOAP- UI,
• Rédaction des documents d’architecture, intégration, tests et déploiement,

ARCHITECTE RESEAUX SECURITE

CONTEXTE
Définir les architectures réseaux et sécurité des projets assignés avec une analyse des risques EBIOS si nécessaires

ACTIVITES : Architectures sécurités des solutions cloud Zscaler, Azure AD, Juniper Pulse
• Etude comparative des solution Juniper Pulse Remote Access et le cloud ZPA – Zscaler Private Access,
• Projet de migration du cluster de pare-feu frontaux ALSTOM : deux clusters de CheckPoint vers la solution Pare-feu Zscaler Cloud Security Platform, réalisation d’un POC, Inventaire des règles et tunnels IPsec en production et conversion des règles au format Zscaler pour la mise en place du POC, configuration du tunnel GRE (pare-feu Alstom et pare-feu Zscaler),
• Validation sécurité de l’architecture choisie : Pulse & Microsoft Azure AD,
• Architecture réseau et sécurité de la solution Azure Application Proxy, réalisation du POC QlickSense,
• Big data : Configuration des ports fibres Nexus vers serveurs de stockages des données et tests de la vitesse de transfert de données, dans les deux sens,
• Tests de performance et latence dans le transfert des données en réponse à deux flux des entrées et sorties,
• Corrections et validations des architectures de divers projets applicatifs : Dell Boomi couplé à Zscaler et Microsoft Azure, livrables : HLD, LLD,
• Validation des contrats SIP : Security Insurance Plan des fournisseurs de services Cloud et autres,
• Réalisation d’analyse des risques sur certains projets sensibles : identification des actifs, identifications des vulnérabilités et menaces, restitutions et validations des mesures de remédiations,
• Conduite des audits et tests d’intrusion des infrastructures liées aux projets sensibles,

ACTIVITES : Plusieurs Thèmes sont possibles
• Architectures réseaux sécurités de divers projets,
• Analyse des risques (méthode EBIOS) avec prise en compte dabs l’architecture,
• Pare-feu frontal Internet Zscaler,

JOB ROLE CHEZ LE CLIENT : EXPERT RESEAUX SECURITE

CONTEXTE
SFR et COMPLETEL : Clients sensibles sous LPM : audits réseaux, analyse des risques et remédiations des vulnérabilités :
ACTIVITES : Thème Principale
• Routeurs Cisco, Huawei, One Access : audit des vulnérabilités et analyse des risques :
o Audit des vulnéraires : configurations et réseaux en particulier sur les interfaces avec adresses IP publiques,
o Analyse des risques : méthode EBIOS :
 Etudes du contexte par rapport aux exigences du client,
 Délimitation du périmètre de l’étude,
 Identification des menaces potentielles,
 Définition des niveaux de gravité et des critères de gestion des risques,
 Identification des biens, ressources et infrastructures à protéger,
 Analyse et évaluation des évènements redoutés,
 Analyse et évaluation de chaque scénario de menace,
 Appréciation et évaluation des risques,
 Choix des solutions de traitement et remédiation des risques,
 Analyse des risques résiduels,
 Mise en œuvre des solutions de remédiation
• Etudes des remédiations sur maquettes,
• Validation et rédaction des modes opératoires des remédiations,
• Déploiement de masse sur une flotte cible de plusieurs dizaines de milliers de routeurs

 Réunions avec toutes les parties concernées pour effectuer l’analyse des risques et proposer des
 Solutions de remédiations,
 Solutions de remédiation Schémas d’architectures, documents d’architectures HLD et LLD

: ARCHITECTE RESEAUX SECURITE

DESIGN DE L’ARCHITECTURE DU RESEAU D’ADMINISTRATION D’INFRANET, CONFORME AUX EXIGENCES DE L’ANSSI, ANALYSE DES RISQUES ET MODIFICATIONS EVENTUELLES, SYSTEMES ET SECURITE DU RESEAU D’ADMINISTRATION. ARCHITECTURES : REALISATION D’AUDITS INTERMEDIAIRES DE L’ARCHITECTURE DU RESEAU D’ADMINISTRATION CONFORMEMENT AUX EXIGENCES DE L’ANSSI,
• Architecture réseau redondante de type Datacenter autour d'ESXi VMware, de switch cœur N3 Juniper QFX5100, de switch niveau 2 Juniper EX-3400, cluster de pare-feu Juniper SRX-1500 et de routeurs Juniper MX-80 pour les accès au réseau INFRANET,
• Analyse des risques – méthode EBIOS - du réseau d’administration à déployer,
• Mise en œuvre des politiques de sécurité N2 : 802.1X, DHCP Snooping,
• Chiffrement des flux LAN dans le réseau d'admin : mise en place d'une infrastructure PKI privée pour la gestion des certificats et le chiffrement des flux LAN - exigence ANSSI,
• L'infrastructure système construite sur des machines virtuelles sur deux ESXi redondantes pour la haute disponibilité et POC du bastion Wallix pour la gestion des élévations des droits accès aux équipements,
• Durcissement des serveurs avec OpenSCAP et Audits des vulnérabilités et remédiation par openVAS et NESSUS,

EXPERT RESEAUX SECURITE EN CHARGE DE : ARKEMA, DSM, LCL, MERCK, ALTLAS, COPCO RESPONSABLE DE LA PRODUCTION DES INFRASTRUCTURES RESEAUX & SECURITE DE MES CLIENTS

ACTIVITES :

ARKEMA :
• Migration vers l’offre Zscaler Internet Access et administration quotidienne :
• Configuration tunnel GRE vers les 3 POP Zscaler : Paris (50% du trafic), Londres (30% du trafic) et Frankfurt (20% du trafic) : gestion de la charge du trafic par F5 LTM,
• Synchronisation des AD Arkema vers Zscaler
• Interface Administration Zscaler : configuration de utilisateurs (groupe, privilèges, profils d’accès Internet),
• Administration quotidienne : configuration des nouveaux utilisateurs, whitelister certain sites Internet à la demande de Arkema,

• Design et validation des architectures réseaux des frontaux Internet Europe et Asie conformes aux normes ANSSI DAT-NT-22 :
• Pares-feux frontaux : cluster de CheckPoint 4800,
• Passerelles IPsec et SSL AnyConnect : cluster Cisco ASA 5500,
• Accès SSL partenaires et sous-traitants : Juniper PULSE SSL
• Pare-feu interne : cluster Fortigate 1500D,
• Loadbalancer : cluster de F5 LTM : traffic Internet, messagerie sortante,
• Externalisation des frontaux pour les trafics de messagerie entrant dans 3 POP « cloud » ZSCALER : Paris, Frankfort et Londres,
• Sécurisation de la zone de récupération des journaux (logs),

• Réalisation d’un POC et tests de validation,
• Déploiement :
• Refonte de la matrice des flux et des règles des différents pares-feux,
• Mise en production HNO des près 300 tunnels IPsec pour les partenaires et sous-traitants
• Mise en production de 150 accès SSL Juniper Pulse,
• Réalisation de plusieurs audits intermédiaires validés par les consultants de l’ANSSI,

• Différentes tâches opérationnelles de maintien bon état de fonctionnement des frontaux Internet Arkema :
• Migrations des VRF Bostik et Sunclear, routage, flux et monitoring, tests et validation,
• Support utilisateurs niveau 3 et résolution des incidents sécurités,
• Préparation, réalisation et validation des changements sécurités sur Cisco ASA, Check Point, Fortigate, Pare-feu Juniper et Passerelles Juniper SSL en HO et HNO,
• Administration des Cisco IronPort ESA : filtrage et mise en quarantaine des mails entrants,
• Administration des serveurs de mails SMTP sortants sous Linux CentOS Server et Postfix,
• F5 LTM : Installation de certificats, configuration de nouveaux serveurs virtuels et VIP,
• Déploiement et migration des pare-feu des sites industriels, des Checkpoint UTM Edge N et NOKIA vers des Checkpoint GAiA R77, intégration des nouveaux pares-feux dans Smart Center Server pour un management configuration SNMP des nouveaux pare-feu et intégration dans les outils de monitoring et de support proactif.
• Efficient IP : Administration et upgrade des serveurs DHCP et DNS externes et internes,
• Configuration des tunnels IPSec sur Cisco ASA et clients SSL partenaires sur Gateway Juniper SSL,
• Big data : Dimensionnement et configuration des ports fibre d’interconnexion avec les serveurs de stockages des données et tests de la vitesse de transfert de données, dans les deux sens

• Cisco : ASA 55XX – Cisco1841 et 1900, Catalyst 7000,
• Cisco : Cisco IronPort WSA, ESA : proxy web et filtrage mails
• ANGLO GOLD : Zscaler ZIA : Proxy et filtrage du trafic web vers Internet, administration quotidienne, ZPA
• Configuration tunnel GRE vers Zscaler,
• Synchronisation des AD local vers Zscaler
• Interface Administration Zscaler : configuration de utilisateurs (groupe, privilèges, profils d’accès Internet),
• Administration quotidienne : configuration des nouveaux utilisateurs, whitelister certain sites Internet,
• Efficient IP : serveurs DHCP et DNS externes et internes,
• Checkpoint: Splat, GAiA R75, R77, UTM Edge N, Smart Center Server R77, Nokia
• Fortinet : Fortigate 1240B pour iDMZ, 1 FortiManager server
• Juniper : 12 pare-feu Juniper PI en cours de migration vers des Fortigate, 20 passerelles SSL Juniper pour les nomades,
• F5 LTM : clusters de 12 load balanceurs F5 LTM pour équilibrer divers flux : web, DNS, etc.
• Linux RedHat : 2 clusters de 2 serveurs SMTP pour les flux des mails sortants Arkema et Bostik,

• Administration de 30 BlueCoat ProxySG et 12 F5 LTM
• Résolution d’incidents, mise à jour des systèmes d’exploitation,
• 15 Bluecoat proxy internes EMEA (6), NA (3), ASIA (6),
• 15 Bluecoat proxy externes EMEA (6), NA (3), ASIA (6),
• 12 F5 LTM équilibreur de charge sur les différents nœuds,

UPGRADE CLUSTER CHECKPOINT (FRONTAUX INTERNET) SPLAT R75.40 VERS GAIA R77.30

• Préparation de la procédure de migration,
• Validation de la procédure de migration sur une plateforme VMware ESXi,
• Réalisation de la migration du cluster en HNO,
• Installation des règles par SmartCenter,
• Déroulement de tous les tests de validation : tunnels Ipsec, trafic Internet, O365, SMTP, etc …
Configuration, validation et mise en production des accès Cisco AnyConnect pour 1500 utilisateurs
AngloGold avec double authentification PINGRID :
• Plateforme SSL : Cisco ASA et client AnyConnect,
• Création des profils et des « Dynamic Access Policies »,
• Interface avec Cisco ISE 2.0 et PINGRID 2 factors authentification system,
• Tests de validation pour quinze utilisateurs,
• Mise en production progressive par paliers de 500 utilisateurs.