Benoit Vu

En tant que responsable de la sécurité des applications, je suis chargé d'intégrer et d'automatiser les processus de sécurité dans le cadre du cycle de développement durable (SSDLC).

Basé sur les frameworks OWASP et NIST, mon rôle a été de concevoir la gouvernance de la sécurité pour les équipes de sécurité, DevOps et développeurs dans le cadre la sécurité applicative.

Mise en place de Gate de sécurité à différentes étapes d'un projet (conception & architecture, vérification que tous les tests qualités, sécurités ont été effectués, passage par le CAB).

Intégration et gestion des outils SCA/SAST (SonarCloud & Snyk), onboarding des équipes Dev dans l'utilisation de ces outils en utilisant les meilleures pratiques de code et de sécurité,

+ Production de tutoriels vidéos et de documentation technique

Analyse et reporting des vulnérabilités, mise en place d'une politique de sécurité d'acceptation, déploiement de politiques de gestion des vulnérabilités. Mise en place de guidelines et framework sécurité pour accepter ou bloquer les merges request

Stack technique : Azure DevOps, Snyk, SonarCloud, Kubernetes

Framework sécurité utilisé : NIST, OWASP Top 10, CIS Benchmark

Chez Crédit Agricole, j'occupé le poste stratégique de DevSecOps, où ma responsabilité principale est de gérer et sécuriser les applications en production. Je joue un rôle crucial dans l'implémentation de solutions de sécurité avancées, notamment une solution CNAPP (Cloud Native Application Protection Platform) comprenant des fonctionnalités telles que CWPP (Cloud Workload Protection Platform), CSPM (Cloud Security Posture Management) et KSPM (Kubernetes Security Posture Management).

Pour atteindre ces objectifs, j'ai réalisé une phase de RFI et RFP. Je suis amené à utiliser une combinaison d'outils et de technologies de pointe, parmi lesquels Docker, Kubernetes, Helm, Ansible, Terraform et bien sûr, la solution CNAPP.

En collaborant étroitement avec les équipes techniques et de sécurité, je contribue à renforcer la posture de sécurité de l'entreprise et à protéger ses applications contre les menaces émergentes.

Chez Thalès, j'ai eu le privilège de diriger l'implémentation d'une chaîne CI/CD dédiée aux tests de systèmes d'exploitation pour les radars. Mon rôle consistait à concevoir une architecture robuste pour cette infrastructure CI, en intégrant de manière précise les différents éléments nécessaires. J'ai automatisé le processus de build, de test et de déploiement pour garantir un flux de travail efficace et fiable.

Pour mener à bien cette mission, j'ai utilisé une combinaison d'outils essentiels tels que GitLab CI, Terraform, Linux, ansible et Docker. Cette architecture a permis de rationaliser les opérations de développement et de tester rapidement et précisément les systèmes d'exploitation destinés aux radars. Ma contribution chez Thalès a été cruciale pour assurer la qualité et la sécurité des logiciels déployés, tout en optimisant les processus de développement.