Compétences

Active Directory

Conception, hardening ANSSI personnalisé avec couche de sécurité additionnelle, tiering T0/T1/T2, délégations fines, LAPS, audit PingCastle automatisé.

Tiering T0/T1/T2Hardening ANSSI+ KerberosLDAPS/ADCSPingCastle auto

Exchange Server

Administration Exchange 2010/2016/2019, DAG haute disponibilité, Edge Transport en DMZ, EdgeSync, coexistence multi-versions, migration de bases orchestrée.

DAG / HAEdge Transport DMZ EdgeSyncMigration basesMessage tracking

Virtualisation

VMware vCenter/vSphere, Proxmox cluster, Hyper-V — migration Hyper-V vers VMware, templates, snapshots, haute disponibilité.

VMware vCenter/vSphereProxmox Hyper-VMigration H-V → VMware

Cybersécurité Infrastructure

XDR/SIEM, durcissement Windows/Linux, SRP, bastion maison, Wazuh, CrowdSec, Cortex XDR, Fail2ban.

Cortex XDRWazuhCrowdSec SRP / AppLockerBastion custom

Réseau & Firewall

VLAN, interconnexion multi-site, pfSense HA, Palo Alto, FortiGate, Aruba, Cisco, VPN GlobalProtect / FortiClient, reverse proxy.

Palo AltoFortiGatepfSense HA Aruba / CiscoGlobalProtectFortiClient

Automatisation & Scripting

PowerShell, Python, Bash, Ansible. Scripts AD multi-domaines, Exchange, audit sécurité, backup, monitoring. GitLab self-hosted pour la gestion de version.

PowerShellPythonAnsible BashGitLab self-hostedAPI / REST

Citrix / VDI

CVAD/XenApp, MCS catalog management, delivery groups, profils UPM, restrictions logicielles SRP.

CVAD / MCSXenApp UPM profilesDelivery groups

Backup & Continuité

Veeam Backup & Replication en production avec scripts de test automatique des sauvegardes (vérification d'intégrité, alertes, rapports). Proxmox Backup Server (PBS) sur le homelab HELIX.

Veeam B&RPBS (HELIX) Test backup autoRétentionAlertes

Linux Server

Ubuntu/Debian, durcissement SSH et système complet, déploiement massif de services Docker (reverse proxy, monitoring, outils internes, self-hosted), intégration AD via SSSD/Realm. Ansible orchestre l'ensemble du parc : déploiement de VMs, configuration, durcissement, et remontée SNMP vers le serveur de monitoring maison — tout le cycle de vie d'un serveur automatisé.

Ubuntu / DebianDockerAnsible orchestration SSSD / AD joinNginx / NPMSNMP monitoringHardening SSH

Projets notables

Production · Multi-sites · Secteur critique Production

Hardening Active Directory — ANSSI + sécurité additionnelle

Restructuration complète d'un Active Directory multi-sites — plusieurs établissements, 10 000+ comptes. Hardening basé sur le référentiel ANSSI, enrichi d'un package de sécurité personnalisé allant au-delà des préconisations standard : règles supplémentaires, configurations renforcées et contrôles propres à l'environnement. Déploiement de 120+ GPOs — un volume justifié par la complexité d'un parc multi-sites de cette taille. Script PingCastle automatisé qui alerte en temps réel dès qu'un indicateur de sécurité AD baisse, avec la raison précise de la dégradation.

Hardening ANSSI+Tiering T0/T1/T2 120+ GPOsLAPSBitLocker AD PingCastle auto-alertPowerShell
Développement · Sécurité · Personnel Sécurité

Bastion RDP/SSH maison — Zéro credentials en clair

Développement complet d'un bastion d'accès sécurisé — frontend + backend maison avec interface d'administration dédiée. Authentification Kerberos pour les sessions RDP. Architecture conçue pour qu'aucun mot de passe ne circule ou ne soit stocké en clair à aucun moment.

Fonctionnement du cycle de session
L'utilisateur s'authentifie — le bastion vérifie ses droits AD et confirme l'existence d'un compte bastion dédié lié à son identité.
Le compte bastion AD est désactivé en permanence par défaut. À la demande de connexion validée, le mot de passe est régénéré aléatoirement et le compte est activé pour la durée de la session uniquement.
La session RDP s'établit via le compte bastion temporairement actif — l'utilisateur ne connaît jamais le mot de passe du compte.
À la déconnexion : la session est fermée proprement, le mot de passe est régénéré une nouvelle fois, le compte est immédiatement reverrouillé.
Alertes temps réel sur chaque événement sensible — webhook Discord + alertes mail via Exchange pour les accès, tentatives échouées et anomalies de session.
Frontend / Backend maisonKerberos RDP Comptes AD éphémèresZéro secret en clair Webhook DiscordAlertes ExchangeInterface admin
Production · Réseau · Pays Basque Production

Interconnexion réseau multi-sites via Izarlink

Mise en place de l'interconnexion réseau entre plusieurs sites géographiques via la fibre régionale Izarlink (Pays Basque). Architecture complète avec VLANs d'interconnexion dédiés, cœur de réseau centralisé sur le site principal, routage inter-VLAN, segmentation stricte par usage (production, administration, sécurité), redondance des liens. Pare-feux Palo Alto et FortiGate en coupure, Cortex XDR pour la supervision sécurité transverse.

IzarlinkPalo AltoFortiGate Cortex XDRVLAN inter-siteCœur de réseauRoutage avancé
Homelab · HELIX Infrastructure Lab

HELIX — Infrastructure privée de niveau production

Infrastructure homelab conçue et maintenue comme un vrai environnement de production — socle de test, d'apprentissage et de validation avant tout déploiement réel. Active Directory durci (tiering, délégations fines, ADCS/LDAPS), Exchange 2019 avec Edge Transport isolé en DMZ et EdgeSync, deux pfSense en haute disponibilité (CARP), reverse proxy Nginx, DHCP dédié, bastion SSH/RDP maison, Proxmox Backup Server, GitLab self-hosted. Sécurité renforcée via Wazuh XDR et CrowdSec avec configurations personnalisées et scripts maison. Ansible orchestre l'ensemble du parc : déploiement de VMs, durcissement, configuration et supervision SNMP vers le serveur de monitoring. Proxmox cluster comme socle de virtualisation, segmentation VLAN stricte (LAN / DMZ / MGMT).

Proxmox clusterpfSense HA (CARP)Exchange 2019 Edge Transport DMZWazuh XDRCrowdSec PBSGitLab self-hosted Ansible orchestrationDockerSNMP monitoring
Mission client · Agence immobilière · Landes (40) Mission 2022

Infrastructure complète from scratch — GuyHoquet Ondres

Déploiement de toute l'infrastructure IT pour l'ouverture de l'agence GuyHoquet d'Ondres (Landes). Réseau LAN avec pare-feu FortiGate, Active Directory adapté à la taille de la structure avec tiering simplifié, VPN FortiClient permanent pour l'accès aux applications métier immobilières, partage réseau sécurisé pour les dossiers clients, déploiement et configuration des postes. Projet mené de A à Z — audit des besoins, déploiement, mise en production.

FortiGateActive Directory VPN FortiClientPartage réseauDéploiement postes
Production · Automatisation Production

Automatisation PowerShell — AD, Exchange, Audit & Backup

Suite de scripts PowerShell développés pour l'automatisation des opérations critiques :

01.Migration des bases de données Exchange : orchestration complète du processus — vérification de l'état des DAG, déplacement des bases, contrôle post-migration, gestion des erreurs et rapport final.
02.Test automatique des sauvegardes Veeam : script vérifiant l'intégrité des jobs, la cohérence des données, avec alertes et rapport structuré en cas d'anomalie.
03.Export multi-domaines pour campagnes de sensibilisation cybersécurité, avec filtrage par OU et attributs AD.
04.Détection et nettoyage automatisé des conflits DNS×DHCP×AD : croisement des trois sources, rapport des incohérences, proposition de correction.
05.Script PingCastle automatisé : audit planifié, alerte immédiate dès qu'un indicateur de sécurité AD baisse, avec la raison précise de la dégradation.
06.Backup SQL incrémental automatisé vers NAS, avec gestion des rétentions et logs d'exécution.
07.Audit de profils Citrix (2 600+ exécutables scannés), assignation GLPI automatique par extensionAttribute8 AD.
PowerShellExchange EMS AD multi-domainesVeeam API DNS/DHCP auditSQL backupPingCastle

Parcours

Actuellement Administrateur Systèmes & Réseaux dans un établissement multi-sites de plusieurs milliers d'utilisateurs, basé au Pays Basque. J'administre une infrastructure critique couvrant plusieurs domaines AD, des environnements Exchange en haute disponibilité, la virtualisation VMware vCenter/vSphere, le réseau, la sécurité opérationnelle et la continuité via Veeam.

Quasi entièrement autodidacte — la majorité de mes compétences ont été acquises par la pratique, le lab, et la confrontation directe à des problèmes réels en production. Un parcours atypique qui se lit dans les projets, pas dans les diplômes.

Avant ça, expérience dans l'écosystème AWS — une sensibilité cloud qui nourrit directement mon approche on-prem et hybride aujourd'hui.

Mon objectif : l'ingénierie systèmes et sécurité. Chaque projet, chaque ligne de script, chaque architecture posée va dans ce sens.

2025–
en cours
Admin Sys & Réseaux — Secteur critique multi-sites · Pays Basque
AD multi-domaines, Exchange DAG, VMware, FortiGate/Palo Alto, Cortex XDR, Veeam, Izarlink.
En poste
2025
AD Hardening ANSSI+ — 120+ GPOs, PingCastle auto-alert
Refonte complète du hardening AD avec package de sécurité personnalisé au-delà des recommandations ANSSI standard.
Déployé
2023–
en cours
HELIX — Lab Systèmes · Réseau · Cybersécurité
Infrastructure homelab de niveau production : AD, Exchange, pfSense HA, Wazuh, CrowdSec, Ansible, PBS, GitLab, bastion maison.
Actif en continu
2023–
en cours
Formation — Cybersécurité · Systèmes · Réseaux
Formation technique en parallèle de l'activité professionnelle.
En cours
2023
Cloud / Infrastructure — AWS
Expérience dans l'écosystème cloud AWS.
Terminé
2022
Mission GuyHoquet Ondres — Réseau + SI from scratch
FortiGate, Active Directory, VPN FortiClient, déploiement postes, Landes (40).
Livré