Mastère ESIEA · 2026

Soutenance protégée

Entrez le mot de passe pour accéder à la présentation

Navigation
F Plein ecran
T Timer (42 min)
O Vue grille / choisir slide
G Aller à une slide (numero)
H Aide (ce panneau)
R Reset (slide 1)

Soutenance de fin de Mastère · 21 juillet 2026

Une PME peut-elle sécuriser son infrastructure cloud sans équipe dédiée ?

Trois ans d'alternance en PME, entre cloud, sécurité et automatisation

Virtuoworks
ESIEA

William XU

Maître d'apprentissage Sami RADI

ESIEA · Architecte Cloud, DevSecOps & Cybersécurité

Qui suis-je

Le contexte, une PME sans équipe dédiée

MOI Ops / DevOps seul en PME Pipelines CI/CD, build, deploy Cloud AWS ECS, S3, ECR, CF Sécurité Security Hub, Zero Trust Réseau VLAN, firewall, VPN Backend Quand c'est nécessaire Maintenance Serveurs, MAJ, backup

D'observateur à autonome

3 ans de progression mesurable, depuis septembre 2023

Problématique

Une PME peut-elle sécuriser son infrastructure cloud sans équipe dédiée ?

Format pondéré, en deux temps

OUI
OUI MAIS

Plan

Deux temps, six arguments

I. OUI, les moyens existent

  • Pipeline CI/CD
  • Security Hub
  • Zero Trust

II. OUI MAIS, des limites réelles

  • Le pipeline ne fait pas de sécurité
  • L'humain reste indispensable
  • Cloud ou auto-hébergement, le bon arbitrage

Mes sources externes

Six références, pas du dogme mais du mesuré

DORA Report State of DevOps Fréquence de déploiement ↔ stabilité mesurée Argument 1, pipeline AWS Well-Architected Pilier sécurité Surveillance continue vs audits ponctuels Argument 2, Security Hub NIST SP 800-207 Zero Trust Architecture "Never trust, always verify" Standard formel Argument 3, tunnel OWASP DevSecOps Pipeline modèle complet SAST, SCA, DAST a chaque phase, l'idéal à viser Limite 1, pipeline CrowdStrike 2024 Cas d'école automatisation Update poussé sans jugement 8.5M de machines tombees Limite 2, humain Flexera State of Cloud Adoption PME mesurée défi numéro un cité, la gestion des coûts (avant sécurité) Limite 3, arbitrages Bonus, Google BeyondCorp Implémentation Zero Trust à l'échelle, sans VPN classique
I

Première partie

Oui, les moyens existent

Automatisation, détection continue et architecture moderne

1. Un pipeline qui fiabilise la livraison

BITBUCKET PIPELINES → AWS déclenchement automatique sur push sur la branche main FLUX CONTENEUR (backend applicatif) 5 à 12 minutes mediane selon l'application git push branche main ≈ 0 s Build & tag image docker build avec hash commit 60 à 90 s Push vers ECR registre privé AWS, tag immuable 20 à 40 s Deploy ECS ALB, TLS, healthcheck, rollback 2 à 6 min ✓ En ligne healthcheck OK, trafic basculé 5 à 12 min au total FLUX STATIQUE (front portfolio et fronts internes) ≈ 16 min mediane, build Next.js et invalidation CDN comprises git push branche main ≈ 0 s npm install & build Next.js, HTML, CSS, JS minifiés 8 à 12 min Upload S3 aws s3 sync --delete 10 à 20 s Invalidation CloudFront aws cloudfront create-invalidation 30 à 90 s ✓ En ligne CDN propagé sur l'edge mondial ≈ 16 min au total GARANTIES Reproductibilité, hash de commit Traçabilité, logs Bitbucket Rollback automatique NON INCLUS, VOLONTAIRE Pas de scan SAST, SCA, DAST Pas de lint, pas de tests Pas d'analyse de conformité

Ce que ça a changé

AVANT

Déploiement manuel
Risque d'erreur
Dépendance à une personne
Temps imprévisible

APRÈS

Automatisé au push
Reproductible
Lisible par l'équipe
5 à 16 min selon le flux

Confirmé par les données

2. Security Hub, la sécurité en continu

AWS MON ROLE ECS, S3, ECR, IAM... Infrastructure cloud Security Hub Scan continu 24/7 ⚠ Finding Sévérité et description J'évalue Contexte réel Exposé ? Sensible ? Je corrige Fix + vérification Resolved Détection séparée du pipeline, deux logiques indépendantes

Exemples de findings que j'ai traités

CRITICAL

CVE Inspector sur OpenSSL embarqué

→ Rebuild image et redéploiement via pipeline

HIGH

Bucket S3 accessible publiquement

→ Block public access et policy restreinte

HIGH

Security group VPC par défaut ouvert

→ Règles vidées pour empêcher tout usage

Mon process face à un finding

1. Recevoir l'alerte
2. Vérifier le contexte
3. Prioriser sur l'impact réel
4. Corriger et vérifier au scan suivant

Un réflexe construit en pratiquant

Anatomie d'un finding, exemple réel

HIGH Bucket S3 accessible publiquement (test-terraform-local-…) Détecté par AWS Security Hub 1. DÉTECTION Security Hub remonte bucket S3 public control S3.2 severity HIGH region eu-west-3 → je vais au contexte 2. CONTEXTE Volontaire ou erreur ? Contenu interne Non, c'est une erreur Depuis la création CloudTrail vérifié → priorité confirmée 3. ACTION Correction ciblée Block Public Access Policy resserrée ACL privées Test non-régression → documenté 4. VÉRIFICATION Le finding disparaît Resolved Aucun accès public Re-scan ≈ 1 h → retour d'expérience T+0 détection T+5 min contexte évalué T+15 min correction appliquée T+1 h finding résolu

3. Zero Trust, zéro port ouvert

INTERNET PUBLIC MON RÉSEAU PRIVÉ 👤 Visiteur HTTPS 443 Cloudflare Edge DNS & TLS WAF, anti-DDoS Cache CDN Access et règles seul point visible 🔒 TUNNEL chiffré, sortant uniquement cloudflared sur le proxy Routeur Switch traversés, aucun port ouvert configuré Reverse Proxy Terminaison TLS interne Routage par sous-domaine cloudflared connecté point d'entrée unique Web Portfolio API Backend BDD Interne only Lab IA LLM local 3 tunnels actifs · ~26 services publiés · zéro port ouvert sur la Freebox PÉRIMÈTRE TRADITIONNEL Ports ouverts, serveur scannable ZERO TRUST Zéro port ouvert, surface ramenée à zéro

Mon infrastructure perso, segmentée par VLAN

HYPERVISEUR (UNE MACHINE PHYSIQUE) 15 VMs prod sur 25 · 8 segments réseau dont 4 principaux ci-dessous Reverse Proxy tunnel Cloudflare + TLS + routage VLAN 10 · DMZ services exposés au public Web portfolio API publique HTTPS ↓ entrant 443 via tunnel uniquement VLAN 20 · Applis services internes Runner CI / Gitea Outils internes ↕ DMZ et BDD, sortie web VLAN 30 · Données sensible, jamais exposé PostgreSQL :5432 Vault, secrets, backups ↓ entrant VLAN 20 uniquement VLAN 40 · Lab IA isolé, sortie web uniquement LLM local (ollama) Trading et analyse ⊘ aucun lien vers VLAN 30 PRINCIPE MOINDRE PRIVILÈGE DMZ entrant 443 via tunnel, sortie web Applis dialogue DMZ et BDD, sortie web Données VLAN 20 uniquement, aucune sortie Lab IA sortie web, aucun autre VLAN

Pourquoi Zero Trust

NIST SP 800-207 · Google BeyondCorp

Synthèse de la première partie

Oui, les moyens existent

Mais est-ce suffisant ?

II

Deuxième partie

Oui mais, des limites réelles

L'outil ne remplace ni le jugement humain ni les arbitrages contextuels

1. Le pipeline ne couvre pas la sécurité

✗ Pas de lint
✗ Pas de tests automatisés
✗ Pas de scan de sécurité (SAST, SCA, DAST)
✓ Build
✓ Deploy

Choix assumé. Pas un oubli.

Sécurité répartie sur trois mécanismes complémentaires

CI/CD PIPELINE périmètre, la livraison build · deploy · rollback ~3 min push → prod N'inclut PAS scan secu, lint, tests automatisés 24/7 SECURITY HUB périmètre, la détection scan IAM · S3 · SG · EC2 findings classes N'inclut PAS la priorisation contextuelle reelle moi HUMAIN périmètre, le jugement priorisation · arbitrage ce qu'aucun outil ne fait SE NOURRIT DE la connaissance fine de l'infrastructure Découplage volontaire, chaque mécanisme à son périmètre trois mécanismes, trois logiques séparées, une sécurité globale qui tient

Un choix assume

Lucide sur le périmètre de chaque outil

2. L'humain reste au centre

Security Hub détecte. Mais qui décide de la priorité ?

Un MEDIUM sur un service public

> un HIGH sur une ressource isolée

Le raisonnement contextuel ne s'automatise pas

Severite vs exposition reelle

SÉVÉRITÉ BRUTE EXPOSITION RÉELLE HIGH MEDIUM LOW isolee interne publique A peut attendre HIGH isole (VLAN interne, no exposure) B URGENT MEDIUM exposé (service public Internet) Le score brut prioriserait A Le contexte prioritise B. Le score est un point de départ, jamais la décision finale

Le jugement, c'est le vrai savoir-faire

Une posture, pas un outil

L'envers du décor, automatiser sans jugement

19 juillet 2024 CrowdStrike Falcon, update kernel poussé mondialement 1. PUSH AUTOMATIQUE Mise à jour déployée a l'echelle planetaire aucune phase canary aucun rollout progressif 2. BUG DRIVER Boucle de boot infinie sur Windows 8,5 M de machines tombees 3. CONSÉQUENCES Aeroports, hopitaux, banques, chaines TV → arret total Cout estime ~ 5,4 Md$ chez les Fortune 500 (source : Parametrix) CE QUE J'EN RETIENS L'automatisation sans jugement contextuel peut faire autant de degats que l'absence d'automatisation. c'est ce que mon « oui mais » cherche à défendre, l'humain qui priorise reste irremplaçable.

3. Cloud vs auto-hébergement

CritèreCloud (AWS)Auto-hébergé
CoûtPay-as-you-goFixe (CAPEX)
ContrôleLimitéTotal
ScalabilitéÉlastiqueMatérielle
MaintenanceManagéeÀ ma charge

Source Flexera State of the Cloud, défi numéro un cité par les PME, la gestion des coûts

Ma grille de décision, cinq critères

Cloud AWS Auto-hébergé Scalabilité Maintenance Coût Contrôle Conformité 1. COUT à l'usage vs investissement fixe, quel coût total sur 3 ans ? 2. CONTRÔLE SUR LES DONNÉES qui peut y acceder physiquement et legalement ? 3. CONFORMITÉ RÉGLEMENTAIRE RGPD, hébergement EU, secteur régulé (santé, finance) ? 4. EFFORT DE MAINTENANCE manage par AWS ou a ma charge ? (patches, backups, MAJ) 5. COMPÉTENCES DISPONIBLES qui sait operer dans l'equipe ? quel cout d'apprentissage ? Aucun gagnant universel, c'est une grille, pas un dogme

Pas de réponse universelle

Savoir quand utiliser quoi

Synthèse de la deuxième partie

Oui, mais avec lucidité

Conclusion

Oui, sous trois conditions.

Condition 1

Automatiser

Condition 2

Détecter en continu

Condition 3

Arbitrer sans dogme

Et moi dans tout ça

Mes valeurs

Valeur 1

Pragmatisme

L'idéal ingérable ne sert personne

Valeur 2

Polyvalence

Cloud, sécurité, coûts, indissociables

Valeur 3

Lucidité

Assumer un écart documenté

Aider les PME, c'est protéger un maillon clé de l'économie

Mon profil, DevSecOps polyvalent

DevSecOps PME · vision liée CLOUD AWS · ECS · S3 · CF SÉCURITÉ Sec Hub · ZT · IAM AUTOMATIS. CI/CD · scripting EXPLOITATION supervision · maintenance

Ma valeur, relier ces quatre sujets plutôt que maîtriser un seul stack à outrance

Expert, la preuve

Bilan critique de mes compétences

TECHNIQUES cinq compétences Architecture cloud Automatisation DevOps Monitoring et observabilité Bonnes pratiques sécurité FinOps et maîtrise des coûts Preuves portfolio · alternance HUMAINES cinq compétences Communication technique Travail en équipe Gestion du temps Autonomie progressive Pédagogie envers les non-tech Construites par la pratique quotidienne FONCTIONNELLES posture professionnelle Arbitrage coût-valeur Contextualisation des alertes Vision transverse Lucidité face au standard Pragmatisme PME Ce qui fait la différence sur le terrain NIVEAU ESIEA 4 Autonome · 6 Confirmé · 0 Expert revendiqué Choix assumé à Bac+5, encore en alternance AXE D'AMÉLIORATION Taux d'échec pipelines (DORA) ~25-30% stable · viser high DORA

Comment je me projette

temps Maintenant Industrialiser IaC Terraform, étendre GAITA aux autres environnements réduire le taux d'échec DORA des pipelines + 2 ans DevSecOps ou SRE ingénieur fiabilité production, plus de moyens, plus d'impact sécurité et fiabilité en production + 5 ans Architecte Cloud et Sécurité concevoir des architectures complètes dès le départ sécurité, coût, performance comme fondement + 10 ans Lead / Consulting transmettre cette approche à d'autres PME et startups sans armée d'ingénieurs Une trajectoire qui prolonge ce que je fais déjà, pas un virage

Et demain ? Les quatre lignes que je vais suivre

AI IA dans la détection tri automatique, moins de fausses alertes Les SIEM, plateformes de surveillance, classent les alertes par machine learning. → ce que je veux expérimenter sur Security Hub λ Serverless et edge cloud où l'on ne gère plus les serveurs La responsabilité de l'infrastructure se déplace vers le code et la configuration. → moins d'exploitation, plus de conception ZT Maturation Zero Trust de l'exception au standard PME Cloudflare Tunnel, Tailscale, Twingate, les outils deviennent accessibles aux PME. → ce que j'ai déjà en perso, partout demain DevSecOps comme norme sécurité intégrée tôt dans les pipelines, plus comme un sujet à part Le profil que je construis n'est plus rare, il devient le mode de fonctionnement attendu. → je suis dans le sens du marché

On n'est jamais seul

Des initiatives qui rejoignent ma problématique

INSTITUTIONNEL ANSSI MaSécuritéCyber Kits cyber et guides PME CyberMalveillance.gouv.fr Assistance et sensibilisation Accessibles sans expert interne FRAMEWORKS NIST Cybersecurity Framework Grille d'auto-évaluation reconnue CIS Controls v8 Version adaptée aux PME Standards reconnus à l'international OUTILS ACCESSIBLES Cloudflare Tunnel · Tailscale Zero Trust démocratisé Microsoft Defender for Business Antivirus avancé pour petites équipes Hier réservés aux grands groupes SOUVERAINETÉ EUROPÉENNE Bleu (France) · S3NS (Thales · Google) · OVHcloud Un cloud souverain européen devient une réalité opérationnelle Alternatives crédibles aux géants américains du cloud

Mon engagement

Écologie humaine et environnementale

Environnement

FinOps égal GreenIT

Dimensionner utile, c'est consommer moins d'énergie. Mon hyperviseur tourne à 115 W pour ~20 services.

Humain

Réduire l'asymétrie PME et grandes structures

Protéger les PME, c'est protéger toute la chaîne en aval.

Transmettre, dans dix ans, à d'autres petites structures

À vous, jury

Merci.

Je suis à votre disposition pour vos questions et pour échanger sur les choix présentés.

William XU · portfolio.w-x.fr · ESIEA Mastère 2026

Virtuoworks
ESIEA