CV/Mission MICRO-SEGMENTATION freelance

Aperçu des emplois de Stephane,
freelance MICRO-SEGMENTATION résidant dans l'Essonne (91)

Lead SecOps / AI Platform Security Architect
Theodo x GTT
octobre 2025 - aujourd'hui
Context: Security architecture for an AI/ML platform on a stretched OpenShift cluster (on-prem + Azure), handling classified data (C1�) with strong sovereignty constraints.
• Security design of a stretched OpenShift cluster: on-prem nodes (sovereign C4�) + Azure burst (C1�) using node affinity and taints/tolerations
• Security ADRs: secrets management (Vault + HSM), IAM/RBAC, BYOK/HYOK encryption, Zero Trust networking, AI supply chain security (AI-BOM, model signing), STRIDE-AI
• Clearance Level model (C1�) with Keycloak / federated AD OIDC: clearance as JWT claim, multi-layer ABAC filtering for RAG
• AI guardrails architecture with NeMo Guardrails: Input / Output / Retrieval / Dialog rails, Colang policies, Open WebUI integration
• Risk matrix including AI-specific risks (prompt injection, data leakage, model supply chain)

Reference implementation to validate architectural decisions (ADRs) in homelab environments: GitOps (ArgoCD), Keycloak, Ollama, RAG (Qdrant), guardrails – GitHub: Z3ROX-lab/ai-security-platform
OpenShift AI, KServe, vLLM, Vault Enterprise + HSM, Keycloak, Azure, MinIO, Splunk, NeMo Guardrails, Open WebUI, Sigstore/Cosign, AI-BOM, Trivy, Falco

Cloud Security Architect (OpenShift-Kubernetes-Helm)
Nokia-Orange
janvier 2023 - janvier 2025
Contexte:
Responsable technique de la conception et du déploiement d’une solution cloud sécurisée pour client Orange, alignée sur les exigences (sécurité, coûts, performance) et les standards CIS/NIST/ISO 27001

Missions
Architecture sécurisée Cloud on-premise (openshift-kubernetes), intégrant approche defense-in-depth et conformité aux standards NIST CSF/SP 800-53, avec automatisation des audits de conformité via Ansible et Prowler.

Sécurisation Avancée des Environnements Cloud-Native:

Sécurité des Workloads & Conteneurs :
Chiffrement de bout en bout TLS, encryption at rest (etcd, secrets Kubernetes natifs chiffrés), RBAC granulaire (Keycloak, SCCs), et durcissement des clusters (CIS Benchmarks, PSA, SELinux).

Isolation et Réseau Sécurisé:
Segmentation par namespaces/NetworkPolicies et micro-segmentation (OVN-Kubernetes) pour une approche Zero Trust.

Automatisation de la conformité:
Helm et Playbooks Ansible pour déploiement et audit via Prowler-Kubernetes CIS/NIST pour corriger automatiquement les mmisconfigurations.

Sécurité des APIs et monitoring:
Protection des APIs via OAuth2/OIDC (Keycloak) et monitoring avec Prometheus/Grafana/ELK pour la détection des anomalies.

Résultats
Solution PoC/Trial deployee en production chez Orange
Environnement technique
Red Hat OpenShift, Kubernetes (RBAC, PSA, PSS, NetworkPolicies, namespaces), Docker/PodmanREST/gRPC API, Nginx Ingress Controller (OAuth/OIDC, mTLS), Ansible, Helm, IPsec/PKI, SELinux, firewalld, Prometheus/Grafana/ELK, Prowler, Keycloak, cert-manager, conformité NIST CSF, SP 800-53, ISO27001

Cloud Hybrid Security Architect – Migration Kubernetes-AWS
Nokia-Telefonica
juin 2022 - janvier 2023
Contexte : Client Telefónica
Architecture Zero Trust pour migration CloudRan Kubernetes : control plane AWS EKS Multi-AZ + data plane on-premise via EKS Outposts, garantissant scalabilité cloud et latence maîtrisée pour workloads temps réel critiques.

Missions:
Conception sécurisée end-to-end avec chiffrement complet (TLS/KMS), isolation stricte (RBAC granulaire + Network Policies + micro-segmentation), connectivité VPN IPsec renforcée, et conformité NIST/ISO 27001 pour infrastructure hybride résiliente et évolutive.
Documentation complète (HLD/LLD) et alignement sur NIST/ISO 27001 et bonnes pratiques AWS Well-Architected (sécurité, résilience, performance).
Environnement technique:
Cloud & Conteneurs :
AWS : EKS (Elastic Kubernetes Service), EKS Outposts (hybride), VPC, Security Groups, AWS KMS (gestion des clés), AWS Config (conformité), Multi-AZ.
Kubernetes :
RBAC, Network Policies, Pod Security Standards (PSS), Secrets Management.
Sécurité & Réseau :
Connectivité hybride : VPN Site-to-Site (IPsec), chiffrement des flux
Isolation et segmentation : VLAN, Security Groups restrictifs, NACLs (Network ACLs).
Gouvernance et conformité : AWS Well-Archit

Cloud Solution Architect – Security and AI/ML Optimization
Nokia-Orange
octobre 2021 - août 2023
Contexte:
Leader technique Orange/Nokia: Projet Orange FaBRIC
Plateforme cloud-native IA/ML sécurisée temps réel pour optimisation dynamique du réseau 5G.

Missions:
Architecture et sécurisation d’une plateforme cloud pour l’IA/ML:
Automatisation de la création et de la sécurisation d’un cluster Kubernetes/OpenShift via playbooks Ansible, avec intégration des standards CIS Benchmarks, NIST et GDPR.
Chiffrement des données (TLS 1.3), RBAC, isolation des workloads (Network Policies).

Ingestion sécurisée de données massives :
Pipeline pour l’ingestion temps réel de données depuis simulateur VIAVI (reproduisant un trafic 5G complet) vers les pods d’ingestion Kubernetes, via gRPC chiffré (TLS 1.3).
Contrôle d�ès granulaire (RBAC) - isolation des workloads (Network Policies) - protection des données en transit et au repos. Validation integrite via schémas JSON.

Intégration et gouvernance sécurisée des solutions IA/ML conteneurisées:
Utilisation d’images signées et déploiement via Helm, avec validation de conformité NIST/GDPR.
Traitement temps réel des données pour optimiser dynamiquement le réseau 5G.

Automatisation des audits et monitoring proactif:
Audit continu conformité via templates Ansible automatisés intégrant Prowler et kube-bench pour validation CIS Benchmarks.
Monitoring via Prometheus/Grafana, avec détection proactive des anomalies et des vulnérabilités.

Travail avec des équipes multidisciplinaires :
Collaboration avec des equipes techniques (Nokia) et des équipes métiers Orange pour valider l’interopérabilité et la sécurité des solutions.

Résultats:
Démo présentée lors de l’Orange O-RAN PlugFest, validant l’interopérabilité et la conformité O-RAN WG3/WG11 Security).
Environnement technique:
Red Hat OpenShift, Kubernetes (PSS, Network Policies, namespaces), Helm, Docker/Podman, TLS 1.3, RBAC, Prowler, Prometheus/Grafana, O-RAN E2/O1, gRPC, conformité O-RAN WG3/WG11, NIST, GDPR.

Cloud OpenStack Real-Time IaaS Solution Architect
Nokia-ByTel
juillet 2020 - octobre 2021
Contexte: Projet Bytel (Bouygues)
Modernisation infrastructure RAN via cloud OpenStack privé sécurisé Zero Trust : virtualisation fonctions réseau télécom critiques avec chiffrement end-to-end, isolation stricte, haute disponibilité et conformité aux normes sécuritaires.

Missions:
Architecture Cloud OpenStack Sécurisée

Deploiement infrastructure IaaS:
Haute disponibilité : Déploiement en mode HA (nodes compute et controller redondants) avec load balancing pour les services critiques (Keystone, Neutron, Nova).
Isolation réseau via VLANs/VXLANs et groupes de sécurité (Neutron).
Chiffrement des données (TLS pour les endpoints API, chiffrement des volumes Cinder).

Automatisation et Orchestration:
Heat pour l’orchestration des ressources (compute, réseaux, volumes) via des templates validés et reproductibles.
Virtualisation des fonctions réseau RAN avec garantie de performance et faible latence.
Conformité aux normes télécoms (sécurité, résilience, interopérabilité).

Sécurité et Gouvernance:
Endpoints API sécurisés (TLS 1.2+), RBAC granulaire pour limiter les accès aux ressources (IAM Keystone).
Logs centralisés et politiques de rétention pour répondre aux exigences réglementaires.
Environnement technique:
Keystone, SDN Neutron, Nova, Horizon, Cinder, Glance ,HEAT, TLS, RBAC, VLANs, OpenStack CLI.

Network Security Architect
Nokia
janvier 2020 - janvier 2022
Contexte:
Design et implémentation d'architectures réseau sécurisées Zero Trust pour environnements critiques, intégrant gouvernance des identités, micro-segmentation et conformité réglementaire (NIST/ISO 27001).

Missions:
Architecture Sécurisée Zero Trust:
Conception sécurisée dès le design : micro-segmentation, chiffrement end-to-end, principe du moindre privilège.
Automatisation PKI et gestion certificats TLS/SSL avec intégration VPN IPsec
Conformité aux standards NIST/ISO 27001 et collaboration étroite avec équipes Cyber IT

Gouvernance IAM Multi-Plateforme:
RBAC granulaire sur OpenStack/Kubernetes/vSphere avec isolation stricte des environnements
Automatisation workflows IAM via Python/Ansible pour réduire les erreurs humaines
Authentification renforcée et audit continu des permissions

Détection de Menaces & Forensique:
Analyse avancée du trafic réseau (Wireshark/Zeek/Tshark) pour détection d'anomalies
Corrélation des logs et détection d'intrusions via SIEM Wazuh/ELK
Environnement technique:
Keycloak, Keystone, vSphere/vCenter,PKI, certificats TLS/SSL, VPN IPsec,Wireshark, Zeek, Tshark, SIEM (Wazuh/ELK), Python, Bash, Ansible, Jira (collaboration Cyber IT), Microsoft Visio (documentation HLD/LLD), NIST 800-53, ISO 27001

Security consultant - Virtualized Infrastructures
Nokia-AT&T-Verizon-Orange
janvier 2015 - janvier 2018
Contexte: Client: AT&T, Verizon, Orange
Leadership technique pour architectures OSS VMware sécurisées chez opérateurs télécoms critiques.

Missions:
Conception sécurisée : segmentation control/data plane, micro-segmentation NSX, cloisonnement par sensibilité.
Intégration des exigences de sécurité (segmentation réseau, contrôle d�ès, chiffrement des données, ESXI hardening, securisation vCenter en alignement avec les politiques internes des clients et les normes sectorielles.

Gouvernance et documentation technique :
Rédaction des spécifications techniques (HLD/LLD) et des guides de sécurité pour l...