Automatisation Ansible — DSI Mairie (plus de 100 équipements)
À la DSI de la Ville de Saint-Maur-des-Fossés, j'ai conçu une infrastructure
d'automatisation complète avec Ansible pour industrialiser
la gestion de plus de 100 équipements hétérogènes (Aruba, Cisco, Stormshield).
-
Inventaire structuré — classification de 100+ équipements
par type, site et version OS pour cibler les déploiements avec précision
-
Ansible Vault — chiffrement de tous les secrets
(credentials, enable passwords, clés SSH) pour éliminer les mots de passe
en clair dans les playbooks et dépôts Git
-
Gestion multi-constructeurs — playbooks compatibles avec
les modules
aruba_osswitches, ios et
netconf pour adresser des équipements de générations et
constructeurs différents
-
Reporting automatisé — playbook dédié collectant l'état,
les versions firmware, les VLANs actifs et les statistiques d'interfaces
de chaque équipement, puis générant des rapports JSON horodatés
Supervision réseau — LibreNMS (DSI Mairie)
Dans le cadre de mes missions à la DSI de la Ville de Saint-Maur-des-Fossés,
mise en place et administration d'une supervision réseau complète sous
LibreNMS couvrant l'ensemble de l'infrastructure active :
plus de 200 équipements réseau (switchs, routeurs, pare-feux)
et 350 caméras IP répartis sur les sites de la collectivité.
L'objectif était d'offrir une visibilité en temps réel sur la disponibilité
et les performances de l'infrastructure.
- Intégration SNMP — supervision avancée des switchs, routeurs et pare-feux
- Supervision ICMP — monitoring de disponibilité des 350 caméras IP
- Ajout en masse via script bash — automatisation de l'intégration des équipements
- Découverte automatique par sous-réseau — scan et onboarding des nouveaux équipements
- Custom Maps — cartographie visuelle de l'infrastructure par site géographique
- Alerting — détection et notification en temps réel des équipements hors ligne
Stacking VSF — Aruba CX6100 (DSI Mairie)
Dans le cadre de mes missions à la DSI de la Ville de Saint-Maur-des-Fossés,
mise en place d'une architecture de commutation hautement disponible en
regroupant trois switches physiques Aruba CX6100 en un
switch logique unique via le protocole VSF (Virtual
Switching Framework). L'objectif était de simplifier l'administration
du réseau tout en éliminant les points de défaillance uniques au niveau
de la couche distribution.
- Mise à jour firmware (≥ 10.16) — prérequis VSF via interface web Aruba
- Configuration VSF auto-stacking — deux switches fusionnés en un switch logique
- Liens physiques 10 Gbps — interconnexion haute performance entre membres
- Gestion conducteur/standby — basculement automatique en cas de panne
- Administration centralisée — une seule IP de management, une seule config
- Vérification et validation —
sh vsf, sh vsf link, tests de continuité
Architecture Réseau Zero Trust
Dans le cadre d’un projet académique orienté cybersécurité, j’ai conçu et
déployé avec SOORIYAKUMAR Karthikan une architecture réseau basée sur le modèle Zero Trust.
L’objectif était de démontrer comment une approche reposant sur la
vérification systématique des identités et la micro-segmentation peut
améliorer la sécurité d’un réseau d’entreprise. L’architecture a été
simulée à l’aide d’un contrôleur SDN et de l’outil
- Mise en place d’une authentification forte (MFA)
- Segmentation réseau via VLAN et ACL
- Application du principe de least privilege
- Supervision et monitoring du réseau
- Révocation automatique des accès en cas de comportement suspect
- Blocage des scans réseau — détection et interdiction automatique des tentatives de reconnaissance (nmap, port scanning) émises par des machines ou utilisateurs non autorisés
Voir le rapport complet du projet (PDF)
L'État de l'art
Expérimentations en Software Defined Networking (SDN)
Réalisation de plusieurs laboratoires autour du Software Defined Networking (SDN)
afin de comprendre le fonctionnement des architectures réseau programmables.
Les expérimentations ont été menées avec Mininet, OpenFlow et
un contrôleur POX, dans un environnement virtualisé sous Linux.
- Création de topologies réseau virtuelles avec Mininet
- Configuration et utilisation d’un contrôleur SDN (POX)
- Tests de connectivité entre hôtes et analyse du trafic
- Observation et gestion des tables de flux OpenFlow
- Simulation de contraintes réseau : bande passante, latence et défaillance de lien
Rapport 1 – Découverte de Mininet et OpenFlow
Rapport 2 – Topologies SDN et contrôleur POX
Rapport 3 – Tests avancés et simulation de contraintes réseau
HA OpenBSD — Tolérance de panne avec PF
Dans le cadre du Master CNS SR (Université Paris-Saclay), conception et déploiement
d'une architecture réseau redondante sous OpenBSD pour garantir la continuité de service
en cas de défaillance d'un routeur. Deux routeurs pare-feux (PF1/PF2) configurés en
mode maître/secours via CARP et pfsync, avec
basculement automatique et maintien des sessions actives (SSH, TCP).
- CARP — passerelle virtuelle partagée, failover transparent
- pfsync — synchronisation des tables d'états en temps réel
- Pare-feu PF — filtrage, routage inter-VLAN, préemption
- 0 % de perte de paquets validé par ping, traceroute et Wireshark
-
Documentation technique — rédaction d'une documentation
complète et structurée couvrant l'architecture, les choix techniques,
les configurations et les procédures de validation, exploitable
directement par une équipe d'administration
Voir le rapport complet (PDF)
Infrastructure multi‑VLAN — NFS, LACP & VRRP
Dans le cadre du Master CNS SR (Université Paris-Saclay, groupe 5), conception et
déploiement complet d'une infrastructure réseau d'entreprise multi-couches sous
Cumulus Linux, répondant à des exigences d'isolation, de partage de
ressources et de haute disponibilité. L'infrastructure devait isoler deux machines
clientes, leur offrir un accès sécurisé à un serveur NFS, et tolérer la panne de
n'importe quel équipement actif.
- Segmentation par VLANs (10/20/30) et routage inter-VLAN via Switch L3
- Agrégation LACP (802.3ad) sur le serveur NFS — redondance et performance
- MLAG entre Switch1 et Switch2 — tolérance de panne couche Access
- VRRP (Switch3/Switch4) — passerelle virtuelle haute disponibilité L3
- Automatisation Ansible — déploiement et vérification de configuration
- 0 % de perte de paquets validé sous panne, ping, traceroute et Wireshark
Voir le rapport complet (PDF)
Cluster LVS + Keepalived — Load Balancing & Failover
Mise en place d'une infrastructure de répartition de charge et de haute disponibilité combinant
LVS-NAT et Keepalived. L'enjeu était de garantir
la continuité du service web en cas de panne d'un directeur ou d'un serveur
backend, tout en distribuant équitablement le trafic entre les serveurs réels.
- VRRP (Keepalived) — IP virtuelle partagée entre deux directeurs LVS maître/secours
- LVS-NAT (ipvsadm) — répartition de charge Round Robin vers les serveurs réels
- Health checker TCP — détection automatique des pannes et mise à jour de la table IPVS
- Sorry Server — backend de dernier recours activé sous quorum minimal
- Analyse Wireshark — traçage du flux NAT complet (client → directeur → serveur → retour)
- Basculement validé : 0 interruption de service lors de la panne du directeur maître
Voir le rapport complet (PDF)
Sécurité réseau & sauvegarde — BorgBackup & ZFS
Dans le cadre du Master M1 ASR (Université Paris-Saclay), mise en place d'une
infrastructure de sauvegarde sécurisée et automatisée avec BorgBackup
sur un dépôt distant. L'enjeu était de protéger les données contre la perte accidentelle
tout en garantissant la confidentialité, l'intégrité et la rétention maîtrisée des archives,
avec une couche de protection supplémentaire via ZFS.
- Accès SSH sécurisé — clé ed25519, utilisateur dédié, mode append-only
- Chiffrement du dépôt Borg (repokey) — confidentialité des archives
- Compression lz4 + déduplication — optimisation de l'espace disque
- Automatisation cron + script bash — sauvegardes planifiées avec logs
- Politique de rétention prune — 7 quotidiennes, 4 hebdomadaires, 6 mensuelles
- ZFS + snapshots immuables — protection anti-suppression accidentelle du dépôt
Voir le rapport complet (PDF)
Cloud & Sécurité Wi-Fi — Aruba Central & ClearPass (DSI Mairie)
À la DSI de la Ville de Saint-Maur-des-Fossés, migration de la gestion
du parc Wi-Fi vers Aruba Central pour centraliser
l'administration des bornes et des contrôleurs depuis une plateforme
cloud unique, couplée à ClearPass pour sécuriser
les accès réseau contre les intrusions.
-
Aruba Central — centralisation cloud de la gestion
de l'ensemble des équipements Wi-Fi de la collectivité depuis une
interface unique
-
Contrôleur virtuel — déploiement et configuration
d'un contrôleur Wi-Fi virtualisé pour orchestrer et provisionner
les bornes Wi-Fi des différents sites
-
Provisioning des APs — génération et déploiement
des bornes Wi-Fi via le contrôleur virtuel avec profils de
configuration centralisés par site
-
ClearPass — NAC — mise en place du contrôle
d'accès réseau pour authentifier les équipements et bloquer
automatiquement tout accès non autorisé au réseau de la collectivité
-
Segmentation & politique d'accès — définition
des rôles utilisateurs et équipements pour cloisonner les flux
entre les réseaux agents, invités et équipements IoT
-
Résultat — visibilité centralisée sur l'ensemble
du parc Wi-Fi, sécurité renforcée contre les intrusions et
administration simplifiée depuis Aruba Central
Active Directory — Gestion d'identités & GPO
Projet personnel de lab virtualisé sous Proxmox simulant
l'environnement d'un SI d'entreprise : déploiement d'un domaine
Active Directory complet avec gestion des identités,
des droits et des politiques de sécurité, reproduisant les pratiques
réelles d'administration système en entreprise.
-
Déploiement du domaine — installation et configuration
d'un contrôleur de domaine Windows Server, création de la forêt AD
et des unités d'organisation (OU) hiérarchisées par département
-
Gestion des utilisateurs & groupes — création de comptes
utilisateurs, groupes de sécurité et attribution des droits selon
le principe du moindre privilège (least privilege)
-
GPO — Politiques de sécurité — déploiement de stratégies
de groupe pour restreindre l'accès au panneau de configuration,
bloquer les périphériques USB, forcer le verrouillage de session
et appliquer des politiques de mot de passe robustes
-
Contrôle d'accès aux ressources — gestion des
permissions NTFS sur les partages réseau, accès différenciés
selon les groupes métiers (RH, IT, direction)
-
Jonction au domaine — intégration de machines
Windows clientes au domaine et vérification de l'application
des GPO sur les postes de travail
Authentification forte avec YubiKey — MFA, U2F & FIDO2
Mise en place d'une infrastructure d’authentification sécurisée dans un environnement
Linux (Debian) afin de renforcer la protection des accès SSH et systèmes face aux
menaces actuelles (phishing, vol de credentials, brute force).
Conception et déploiement d’une solution multi-facteurs basée sur des clés matérielles
YubiKey, intégrant TOTP, U2F et FIDO2 pour une authentification robuste
et moderne de type passwordless.
- MFA (TOTP + YubiKey) via PAM — sécurisation des accès SSH
- Configuration avancée OpenSSH (publickey + keyboard-interactive)
- Implémentation U2F (pam_u2f) pour authentification système Linux
- Déploiement FIDO2 / Passkeys — résistance au phishing
- Clés SSH matérielles (ed25519-sk) — sécurité renforcée
- Analyse des mécanismes cryptographiques (challenge / response)
- Tests validés : authentification robuste et sans mot de passe
Voir le rapport complet (PDF)
