CV/Mission d'Expert POP3 freelance

Exemple de missions de Mohamed,
Expert POP3 habitant ?

• Consultant Sécurité Senior

  Wavatec
  Jan 2009 - aujourd'hui

  Fondateur d’une start-up spécialisée dans le domaine de la sécurité web et du développement d’applications SaaS. Nous éditons deux applications web mariant technologies web, voix sur IP et applications SaaS, le tout hautement disponible sur une architecture basée sur la solution Amazon EC2.
  * Je préfère ne pas détailler cette partie sur un CV comme ce projet se trouve à une phase embryonnaire et que l’effort marketing nécessaire pour le lancer n’a pas été effectué. L’application étant unique à l’heure de la rédaction de ce CV.
  Je maintiens mon rôle de consultant sécurité chez le client d’AMD-Consulting (La Française Des Jeux)

• Chef de Projet

  LA FRANCAISE DES JEUX
  Jan 2007 - Jan 2008

  Audit de Jeux en ligne, Intégrateur PKI.
  Projet de sécurisation des nouveaux jeux en ligne en appliquant les principales recommandations d’OWASP.
  
  • Rédaction des cahiers de recette sécurité et suivi des actions avec les différentes
  Équipes de développement.
  
  • Patch des outils précédemment développés afin de prendre en compte les
  Nouveaux vecteurs d’attaques possibles. Détection de failles en Black Box et en White Box
  • Revue de Code applicatif
  
  Projet de déploiement d’une PKI de 125000 certificats destinée aux terminaux de jeu en ligne.
  • Qualification de 4 solutions dont une outsourcée
  • Mise en place des maquettes techniques
  • Gestion de projet et planification des tâches
  • Coordination des tests de charge avec les équipes techniques.
  • Débuggage des problèmes techniques d’interopérabilité rencontrés entre les clients IPSec et la PKI
  • Optimisation
  - Conception de la PKI avec une CRL de 40 000 entrées pour des certificats d’1 an, 3 ans et 5 ans.
  - Dégroupage de la PKI par zone afin d’alléger le nombre de certificats gérés par une autorité donnée (Métropole, agglomérations, dom-tom).
  
  • Etude des différentes approches permettant de certifier les terminaux de Jeu via
  le protocole SCEP, en prenant en compte les particularité techniques de l’infrastructure de La Française Des Jeux

• Chef de Projet - Expert Crypto, Intégrateur PKI

  FUJITSU SIMENS – Cybertrust « Luxembourg »
  Jan 2006 - Jan 2007

  Objectif de la mission:
  • Développement d’une application de détection d’abus de l’ensemble des serveurs de la solution
  • Développement de la couche cryptographique d’une application J2EE chez un client d’Ubizen (identité client tenue confidentielle)
  
  Dans le cadre d'un forfait de 45 jours, encadrement d’une équipe de développement
   Intégration des mécanismes de sécurisations applicatifs basés sur les API Cryptographiques d’IAIK
   Développement d’une application de détection d’abus sur les différentes plateformes en analysant les évènements chiffrés relevés par les différents modules.
  Cette mission a aboutie à deux livrables.
  
  • Un package ‘sécurité’ encapsulant l’API d’IAIK, et permettant d’effectuer les opérations de signature/chiffrement SMIME, la génération de timeStamps, la signature électronique de records dans les bases de données, le chiffrements d’éléments sensibles en XML, le contrôle d’intégrité de records effectués par les utilisateurs des différentes applications.
  L’ensemble des API gèrent d’une manière transparente les clés privées stockées sur cartes à puces (Ikey 3000 de Rainbow) et Boîtiers HSM (Luna SA de SafeNet).
  
  • Un outil basé sur Eclipse RCP permettant de contrôler les abus sur le système. L’utilisateur est authentifié en SSL Client sur l’outil à l’aide d’une Carte à puce, déchiffre une configuration qui lui est distribuée et qui contient le mot de passe de la partition HSM, charge la partition et ces clés et effectue les opérations de déchiffrement des records directement sur le HSM. L’outil effectue occasionnellement des opérations d’audit en signant ces opérations et en les insérant dans une base dédiée. Cet outil intègre en effet le principe du ‘Triple Eye’ en séparant les rôles des administrateurs de ceux des contrôleurs applicatifs (une sorte de police des polices).

• Directeur Technique

  AMD Consulting
  Jan 2006 - Jan 2009

  - Conception et développement d’une application de gestion de TAN Listes. Ces cartes en plastique permettant de doter une application d’un système renforcé de sécurisation à double facteur. Une solution d’authentification forte à faible coût, destinée aux applications très grand public (Banques, assurances, opérateurs, Impôts …). La solution se positionne au niveau de la couche authentification d’une application.
  - Conception et livraison de l’application DATS destinée à optimiser la gestion des candidats dans une société de service. Un véritable workflow de suivi de parcours de recrutement/rappel intégrant aussi les appels d’offres client et les CVs au format XML-HR.
  - Conception et amélioration du framework de la société, conjointement avec les efforts effectués notre partenaire R&D Setic
  - Conception d’une application de scoring de tests de vulnérabilités basée sur un projet de recherche. La méthode CCWAPPS m’a semblé être la plus adaptée au besoin.

• Fondation de la société Setic (2 Salariés à ce jour)
  Jan 2006 - aujourd'hui

  Fondation de la société Setic, spécialisée dans le domaine du développement J2EE. Cette société deviendra plus tard le partenaire stratégique de notre département R&D chez AMD Consulting, et est actuellement le partenaire stratégique de Wavatec aussi dans le sens ou nos trois sociétés partagent les mêmes socles techniques de développements et optimisent ensemble le rendement de ce noyau.
  Setic sera (voir plus haut), le pilier responsable des développement des deux applications SaaS qui sont actuellement en cours de livraison chez Amazon.

• Intégrateur PKI – Auditeur Wava

  LA FRANCAISE DES JEUX
  Jan 2005 - Jan 2006

  Dans le cadre du projet de la mise en place de l’application d’offre de Jeu en ligne.
  
  Conseil et accompagnement du responsable sécurité dans sa démarche de sécurisation de l’application de prise de jeu Online.
  
  Cette mission a aboutie à la rédaction d’un ensemble de documents et recommandations, et à l’édition d’un outil d’intrusion spécifique à l’application en ligne capable de générer plusieurs milliers de vecteurs d’attaques web en partant du code même de l’application. Cet outil a permis de détecter plusieurs failles graves dans l’application en ligne et de les remédier.
  
  L’outil en question se basait sur le Guide OWASP V2 (aujourd’hui mis à jour vers les recommandations du Guide V3). Un port du code de l’outil vers une nouvelle version est actuellement en cours de développement et sera généralisé pour l’ensemble des nouveaux Jeux proposés par l’application de prise de jeu en ligne (Bingo, Jeux Temps réel, Jeux de Grattage, et les autres ).
  
  Dans le cadre de cette même mission, et du projet de migration X.25 > IP :
   Etude et mise en place d’une PKI pour authentifier d’une manière sécurisée
  l’ensemble des terminaux de prise de Jeu de la société.
  Un projet ambitieux, un des plus grand déploiement IPSec au monde (non mis en production à l’heure actuelle). Cette étude s’est concrétisée par le développement d’une PKI utilisant le code d’EJBCA (en partie), et l’implémentation du protocole SCEP d’une manière à ce qu’il puisse interagir avec les concentrateurs VPN propriétaires retenus par le client. Le projet de PKI a aussi abouti à la rédaction des documents d’architecture et de déploiement de la PKI.

• Consultant Sécurité, Expert PKI

  NATIXIS Banques Populaires
  Jan 2004 - Jan 2005

  Objectif : Intégrer une solution de certification du marché en respectant les directives de la Politique de Référencement Intersectorielle de Sécurité (voir ADAE)
  Dans le cadre de projet de mise en place de l'offre de certification Nexus Smart Trust Certificate Manager de la société Nexus technologies.
  
  Accompagner la MOA, en temps que maîtrise d'Œuvre,
  Cette mission a aboutie à l'élaboration de 8 livrables, notamment :
  1. Présentation aux équipes concernées des avantages des PKI et de l'offre de certification de la solution retenue de Nexus
  2. Elaboration d'une documentation synthétisant l'ensemble des fonctionnalités offertes par la solution SmartTrust
  3. Présentation d'un dossier de Qualification d'une maquette pour validation par les équipes techniques
  4. Elaboration d'un certain nombre de benchmarks sur la solution, qualification et synthèse d'un bilan de maquette
  5. Rédaction d'un 'Fiche de Candidature' pour démarrer officiellement le cycle de validation du produit
  6. Rédaction d'un 'Document d'architecture technique' résumant l'ensemble des éléments nécessaires à la mise en place de la solution en production
  7. Rédaction d'un 'Contrat d'Avant Projet' expliquant les avantages fonctionnels offert par l'intégration de cette solution dans la maison
  8. Rédaction d'un plan de migration entre la solution actuelle de certification et la solution retenue
  
  Sécurité des projets
  • Analyse des risques liés à la sécurité en phase avant projet
  • Préconisations pour limiter les risques
  • Accompagnement des projets dans la mise en place des éléments de sécurité
  • Vérification de l'application des normes internes de la maison et des préconisations de sécurité du département SSI
  
  Développements systèmes distribués
  • Maintenance d'une application J2EE/MVC2 de certification interne
  • Développement de modules cryptographiques abstrait pour exploitation par les métiers
  • Développement intégration et support d'une solution d'authentification forte en SSL avec JSSE, intégrant la vérification OCSP de la validité des certificats
  • Développement d'un client SSH/SFTP en Java pour les systèmes distribués avec JSch
  • Maintenance d'un protocole d'authentification forte interne sur site central via des certificats X.509
  • Développement d'un gestionnaire abstrait de fournisseurs cryptographiques
  • Developpement d'une applicatio...