Mohamed Ghazi

Mise en place d'une gouvernance de la sécurité applicative :

• Mise en place de directives/politiques de sécurité applicative

• Mise en place de plan d'audit de risque de sécurité applicative

• Mise en place et animation de programmes de sensibilisations et formations à la sécurité applicative

• Mise en place d'un plan de gestion des incidents de sécurité applicative

• Assurer le suivi du respect des processus de sécurité dans les projets

Mise en place d'une gestion opérationnelle de la sécurité applicative :

• Mise en place d'un outil d'audit de code SAST & SCA pour les équipes de développement (Veracode)

• Animer les séances de sensibilisations et formations à la sécurité applicative

• Suivre l'implémentation des exigences de sécurité dans les projets

• Mise en place d'un outil sur la conteneurisation (images et conteneurs/runtime)

• Mise en place d'un outil d'audit sur l'Infrastructure As Code (IaC)

• Effectuer des pentests de projets en vue d'un passage en production

• Mettre en place des mécanismes de sécurité dans la "CI/CD" (Intégration Continue & Déploiement Continu)

• Mise en place d'une solution de protections des API (Imperva, Akamai/Noname, Checkpoint)

• Etablir des déclinaisons très techniques d'exigence de sécurité applicative

:

• Définition et mise en œuvre d'un outil de sensibilisation

• Sensibiliser les développeurs sur les bonnes pratiques de développement

• Animation de séance « CTF » (Capture The Flag) avec les développeurs Conception :

• Définir et maintenir les exigences de sécurité (OWASP)

• Participer aux réflexions et aux choix des architectures sur le plan sécurité Codes & Tests :

• Mis en place mécanismes de sécurité dans la « CI/CD » (Intégration Continue & Déploiement Continu)

• Intégrer des scans automatiques Checkmarx (JenkinsJob)

• Validation via un plan de test manuel suivant le contexte du projet Déploiements :

• Scans réguliers des sites en production (Acunetix, Nessus)

• Test de pénétration manuel Suivi de projets :

• Suivi de la mise en place des recommandations sécurité (JIRA) Audit de sécurité

Audit de configuration Windows et Linux Conformité CIS Windows Server Conformité CIS Debian Linux Analyse manuelle complémentaire Audit de mécanisme d'authentification Authentification à double facteur Authentification forte Audit de sécurité sur une infrastructure Client-Serveur Etude de l'architecture Etude de la configuration Attaque et injection de trafic Récupération des informations trouvées Audit de sécurité sur des applications Web Collecte d'information sur l'application Scan automatique pour détection de point d'entrée Scan manuelle complémentaire Tentative de pénétration et d'injection Récupération des informations trouvées Nombreuses missions d'audit de sécurité pour mes clients