Abdellah AZOUGARH

Durant ma mission chez ORANGE (pour le compte de la SSII AUSY), je suis en charge des audits de code manuels sur plusieurs technologies ainsi que la réalisation de tests d'intrusion sur des applications web

Réalisation de différents tests d'intrusion et audits de code manuels orientés applications Web (Struts, Spring, Drupal, Zend, Wicket, ...) pour des missions ponctuelles.

En poste chez ORANGE pour le compte d'ECONOCOM. Je suis en charge de : -La réalisation des audits de code (JAVA,PHP) pour les projets développés en interne ou par des sociétés externes.L'audit est réalisé via des outils d'audit de code ou manuellement pour certains langages non supportés. -La réalisation des tests d'intrusion (boîte noire et grise). -La supervision de sécurité (analyse de logs, investigation)

► Réalisation des Tests d'intrusion externes et internes (méthodologie OWASP). ► Évaluation du niveau de sécurité systèmes et réseaux (Scan de vulnérabilités) ► Audit de code (manuel et avec des outils Open Source): Analyse du code source applicatif pour y déceler des potentielles vulnérabilités : • Des comportements non gérés • Des fonctions obsolètes, non supportées par l’éditeur, • Des exécutions de commandes systèmes avec des droits trop permissifs, • … ► Audit de configuration : Revue de la configuration des serveurs (Linux, Windows) Vérification des paramètres des fichiers de configuration (Apache, PHP, MySql,…) Etablissement d’un score de conformité selon les check-lists CIS (Center for Internet Security) Récriture des fichiers d’audit de Nessus pour la réalisation d’un audit automatique. ► Mise en place et suivi des revues et validations documentaires : Étude de l'existant, des vulnérabilités, des méthodes et des outils d'audit, Prototypage de méthodes et mise en pratique sur maquettes, Développement d'attaques et d'outils d'audit, Qualification de la méthode et des outils lors des missions d'audit technique. ► Participation active à l’avant-vente.

Gestion des demandes des collaborateurs ayant un impact sur le SI de l’entreprise. Réalisation des tests d’intrusions sur les applications web appartenant à l’entreprise et à ses filiales. Audit du code source des projets internes et formation des développeurs aux bonnes pratiques en matière de développement sécurisé (HP Fortify SSC & SCA).

Gestion et maintenance du parc informatique Evaluation et mise en œuvre d'une solution de réplication de données en temps réel (DRBD : Distributed Replicated Block device) Sécurisation du système (Backup, Cluster, Monitoring, …).