Expérience professionnelle
BNP Parisbas - Paris 09/2021 - 04/2024
Ingénieur DevSecOps – Python
Automatiser les tâches quotidiennes dans la chaîne d'outils CI/CD avec Fortify et nexusIQ. Développer la fonction Python en utilisant fortify et nexusIQ
API rest. Déploiement server apache et application avec ANSIBLE, Suivi de la consommation des services cloud par les équipes de la plate-forme.
Rédaction des normes de sécurités applicatives et participation aux sprints des équipes en mode agile pour s’assure de l’intégration de bonnes
pratiques de sécurité dans le processus de développement.
Créer une image Docker pour lancer les commandes Fortify et nexusIQ. Déployer les images sur le Cloud IBM et Openshift pour une utilisation dans la
CI/CD.
Fournir une bibliothèque partagée (Jenkins & GitlabCI) avec toutes les étapes des tests de sécurité dans la chaîne d'outils CI/CD. Résolution
des incidents sur les vulnérabilités détectées avant le déploiement en production. Fournir une bibliothèque Python pour les utilisateurs
internes de la banque. Accompagner les nouveaux utilisateurs sur les fonctionnalités SAST/SCA.
Suivi des incidents, résolution des vulnérabilités applicatives et de pénétration.
Automatiser le déploiement d’applications et serveurs Apache, postgreSQL BD avec Ansible. Automatisation des montées de versions avec
des playbooks Ansible. Gestion et sécurisation des images à travers des pods sur kubernetes.
Fournir un graphique évolutif de la consommation des services aux utilisateurs avec Grafana, stockage et récupération des données dans une base de
donnée PostgreSQL avec la librairie psycopg2 et SQLAchemy de Python, Récupération par un script des données dans les bases de données avec Python
pour mesurer la criticité des services. Optimisation des requêtes sur les tables par indexation composite.
Développer la fonction Python en utilisant fortify et nexusIQ API rest. Créer une image Docker pour lancer les commandes Fortify et nexusIQ.
Fournir un module python pour les utilisateurs internes de la Banque. Accompagner les utilisateurs sur les fonctionnalités SAST/SCA.
CONTEXTE:
Intégration des outils SAST/SCA dans la chaîne d'outils CI/CD de la plateforme devops de BNP Paribas en configurant fortify (SAST) et Nexus (SCA) et en
fournissant une bibliothèque partagée pour les utilisateurs de jenkins/GitlabCI BNP Paribas. Pour ces tâches, nous devons utiliser l'API REST (fortify et
NexusIQ) afin d'automatiser l'intégration des entités BNP qui souscrivent aux services fortify et nexusIQ, pour automatiser toutes les étapes de scan du code
source (fortify) et des dépendances (nexusIQ) dans CI /CD. Gestion des pods Kubernetes sur IBM et ensuite Openshift.
Gestion des incidents de sécurité afin de les résoudre, mettre en place les normes de sécurité applicative et s’assurer que les appplications respectent les
normes et valident les tests de sécurité avant leurs déploiement en production.
METHODOLOGY :
Agile
TECHNICAL TOOLS:
IBM Cloud, Openshift cloud, Python, Shell scripting, Groovy, Ansible, Docker, Kubernetes, Flask, Pytest, Gitlab, Jenkins, Octopus, Artifactory, Crowsdstrike,
Splunk, Servicenow, Sonarqube, fortify, nexusIQ.
MICROEJ - Nantes 09/2019 – 08/2021
Developer Python & DevSecOps
• Évaluation des risques potentiels, rédaction des normes de sécurité, mise en place de bonnes pratiques de sécurité.
• Automatisation des tests de sécurité sur les applications dans la CI/CD et résolutions des vulnérabilités détectées (SAST/SCA/DAST e t Pénétrastion)
• Gestion de la sécurité des services du Cloud AZURE ( AAD, VM, Serveurs , container blob, Kubernetes…). Ainsi que AWS cloud et Management AWS resources
et services. ( EKS, S3 bucket, IAM, lamda...).
• Securisation DBAs par le chiffrage des données TDE (accèes et actions gérés par des policies attribuant l’accès à certaines données à des utilisateurs spécifiques).
• Former les développeurs aux meilleurs pratiques de développement sur la chaîne CI/CD. Fournir une marketplace pour l'intégration des outils SAST/SCA/DAST
dans les pipilenes CI/CD ( Jenkins, Github actions)
• Participer au revue de code avant mise en production afin de valider la conformité aux normes de sécurité et les tests de sécurité applicative et de
pénétration. Revue de code sécurisée par la gestion des droits, permissions et les policies pour le déploiement en production.
• Gestion des incidents de sécurité et mise en place de plan de remédiation afin de renforcer la sécurité des applications. Audits applicatifs pour s’assurer de la
bonne pratique des règles de sécurité.
• Scripting Python, shell Bash et automatisation de la mise à jour des applications avec Ansible. Développement des API et librairies Python.
CONTEXTE:
Fournir une nouvelle architecture et une chaîne d'outils CI/CD avec Veracode et automatiser ce processus avec les étapes de build, de compilation, de tests,
de qualité/sécurité et de déploiement. Utilisation hybride de Cloud ( AWS & Azure). Stockage des fichiers sur S3 bucket. Gestions des clusters et Pods sur
Azure Cloud avec AKS. Utilisation des awsCLI et AzCLI. Fournir à travers une marketplace l'intégration des outils SAST/SCA. Créer des images Docker et les
orchestrer avec Kubernetes et configurer des VM pour builder et compiler différents projets en fonction des languages. Automatiser le déploiement des
binaires sur artifactory JFROG et des applications avec Ansible. Développement de la bibliothèque partagée grâce à l'API REST fournie par différents outils.
Gestions des incidents et mise en place de plan de remédiation pour résoudre et prévenir la recrudescence des ménaces.
MÉTHODOLOGIE :
Agile
OUTILS TECHNIQUES :
Python, Shell scripting, Groovy, Azure, Docker, Kubernetes, Ansible, Flask, Pytest, Gitlab, Jenkins, Veracode, Splunk, Azure, GIT.
MYSCRIPT - Nantes 03/2016 – 08/2019
DevOps & DevSecOps
• Conception de l’architecture et mise en place de la chaîne d'outils CI/CD avec Jenkins et Azure Devops. (Tests unitaires, Build/Run, Tests de sécurité).
• Gestion des services du Cloud AZURE (VM, Serveurs , container blob, AKS…)sur les droits d’accès et permissions. Mise en place des normes de sécurité.
• Automatisation des tests de qualité et sécurité dans la CI/CD. Remédiation des vulnérabilités applicatives
• Fournir une bibliothèque partagée pour les utilisateurs internes dans différents systèmes d'exploitation (linux, windows et Android), Résoudreles
incidents. majeurs avec les utilisateurs.
• Automatiser les tâches répétitives pour SonarQube. Développement API REST avec Django, Flask et FastAPI. Développement de la fonction en utilisant l'API
REST.
• Accompagnement des équipes de développement à l’utilisation de bonnes pratiques de sécurité afin de renforcer la sécurité des applications.
• Gestion et stockage de la base de donnée PostgreSQL sur Cloud Azure , Optimisation des requêtes SQL et partitionnement. Stockage base de
donnée PostgreSQL avec la librairie psycopg2 de Python, Optimisation des requêtes sur les tables par indexation composite. Sécurisation des bases
de données par chiffrement TDE.
• Script Shell, PowerShell, Batch, Python.
• Azure Devops, Bitbucket, gitlabCI, jenkins.
CONTEXTE :
Fournir une chaîne d'outils CI/CD basée sur le pipeline multi-branche Jenkins pour différents systèmes d'exploitation (IOS, windows, android) grâce à une
bibliothèque partagée. Gérer les services Cloud AZURE (VM, Serveurs , container blob, AKS) avec azCLI. Développement de la bibliothèque partagée grâce à
l'API REST . Automatiser les tâches sur sonarQube dans CI/CD toolchain avec Jenkins & Azure Devops. Gestions des clusters et pods Kubernetes. Réviser la
qualité du code avec les développeurs. Déploiement et gestion des montée de version avec Ansible. Alerter les utilisateurs lorsqu'un problème survient
pendant le pipeline. Maintenir la bibliothèque partagée pour plus de tâches. Développement de la bibliothèque partagée.
MÉTHODOLOGIE :
Agile
OUTILS TECHNIQUES :
Azure, Python, Shell, Powershell, Groovy, Docker, Splunk, Kubernetes, Flask, Pytest, Gitlab, Jenkins, GIT, SonarQube, Ansible, PostgreSQL.
BNP Parisbas - Paris 09/2021 - 09/2023
DevSecOps – Python Engineer
Automatiser Fortify et nexusIQ en utilisant les API pour les tâches quotidiennes dans la chaîne d'outils CI/CD.
Développer la fonction Python en utilisant fortify et nexusIQ API rest.
Créer une image Docker pour lancer les commandes Fortify et nexusIQ.
Fournir une bibliothèque partagée (Jenkins & GitlabCI) avec toutes les étapes des tests de sécurité dans la chaîne d'outils CI/CD.
Fournir une bibliothèque Python pour les utilisateurs internes de la banque.
Accompagner les nouveaux utilisateurs sur les fonctionnalités SAST/SCA.
Gestion des images à travers des pods sur kubernetes
Fournir un graphique évolutif de la consommation des services aux utilisateurs avec Grafana, stockage et récupération des données dans une base de
donnée PostgreSQL avec la librairie psycopg2 et SQLAchemy de Python, Optimisation des requêtes sur les tables par indexation composite.
Récupération par un script des données dans les bases de données avec Python pour mesurer la criticité des services.
Automatiser les tâches quotidiennes grâce à Jenkins et GitHub, Déploiement server apache et application avec ANSIBLE, Suivi de la consommation des
services cloud par les équipes de la plate-forme.
CONTEXT :
Intégration des outils SAST/SCA dans la chaîne d'outils CI/CD de la plateforme devops de BNP Paribas en configurant fortify (SAST) et Nexus (SCA) et en
fournissant une bibliothèque partagée pour les utilisateurs de jenkins/GitlabCI BNP Paribas. Pour ces tâches, nous devons utiliser l'API REST (fortify et
NexusIQ) afin d'automatiser l'intégrati...