Depuis plus de 8 ans chez SFEIR, Seifeddin Mansri commence son parcours en tant que développeur Java pour gravir les échelons, se former et devenir Head of Cloud.
Très impliqué dans la vie de SFEIR, Seifeddin organise de nombreux événements, participe à de nombreux talks internes et externes pour partager ses connaissances.
Sa mission actuelle consiste à faire un audit de sécurité de l’infrastructure GCP pour un client dans le secteur du luxe.
Dans cet article, il nous raconte comment il intervient chez son client, quels sont les enjeux et challenges de sa mission !
🕵️♂️ Peux-tu te présenter ?
Je m’appelle Seifeddin Mansri, ingénieur informatique de formation et je travaille chez SFEIR depuis plus de 8 ans où j’ai commencé en tant que développeur Java.
Aujourd’hui, je suis Head of Cloud, responsable des activités Cloud infrastructure et DevOps et je gère une équipe d’une quarantaine de consultants Cloud.
J’interviens habituellement chez plusieurs clients en parallèle en mode audit, expertise, conseil et accompagnement.
Je suis également Google Cloud Authorized Trainer ce qui m’amène à donner beaucoup de formations sur la GCP.
🚀 Peux-tu nous parler du contexte de la mission ?
Mon client est un géant du luxe qui compte plus de 70 filiales à travers le monde.
Ma mission consiste à faire un audit de sécurité de l’infrastructure GCP mise en place pour l’une de leurs plateformes.
Cette plateforme en question est hébergée sur Google Cloud Platform et utilise principalement des clusters Kubernetes et des bases de données Cloud SQL.
Mon rôle dans ce projet était Cloud Architect expert sur GCP et sur les aspects de sécurité dans le Cloud.
J’étais accompagné lors de cet audit de sécurité par un strategy consultant qui m’a beaucoup appris sur la partie formalisme et livrable.
🛠 Quelles technologies & framework utilisez-vous ?
L’audit s’est déroulé sur plusieurs étapes.
Une première étape consistait à faire un inventaire automatique de l’infrastructure GCP en vue de dresser la liste des produits et services utilisés et surtout détecter certaines failles ou mauvaises pratiques.
Pour cela je me suis appuyé sur une méthodologie Google qui s’appelle ‘Cloud Security Posture Review’qui définit un cadre et formalisme pour faire ce genre d’audit de sécurité.
En parallèle, un ensemble de workshops sur différentes thématiques ont été menés avec les équipes, qui sont en charge de la plateforme, pour compléter et enrichir ce qui a été détecté automatiquement car tout n’est pas automatisable.
Enfin un rapport a été livré au client contenant l’ensemble des sujets abordés et l’ensemble des vulnérabilités détectées avec des recommandations de remédiation.
💪 Qu’est-ce-que le projet t’a apporté en hardskills et softskills ?
Ce projet m’a permis d’appliquer la méthodologie ‘Cloud Security Posture Review’ à l’échelle sur environnement très riche techniquement.
Les échanges avec les équipes en charge de la plateforme étaient très enrichissants et constructifs.
En softskills, j’ai vraiment pu améliorer ma posture d’auditeur.
J’ai appris à faire passer des messages pédagogiques aux clients pour leur faire remarquer les erreurs détectées.
🧠 Quels ont été les challenges techniques ?
Il n’y avait pas forcément de gros challenges techniques sur la plateforme.
Le plus gros challenge était de bien maîtriser et exécuter la méthodologie adoptée.
Merci d’avoir pris le temps de lire cet article. Nous espérons qu’il vous a plu, si c’est le cas, n’hésitez pas à mettre un petit “clap” pour soutenir notre Sfeirien.
Vous voulez en savoir plus sur SFEIR ?
Voici notre site internet : https://www.sfeir.com/fr
Et nos offres d’emplois : https://jobs.lever.co/sfeir
