< RETOUR
E-PORTFOLIO

Cette section regroupe mes activités réalisées en entreprise au sein du Crédit Mutuel Arkéa en tant qu'alternant ingénieur cybersécurité.

INTRODUCTION

Travailler au sein du Crédit Mutuel Arkéa me permet d'appliquer concrètement mes connaissances en cyberdéfense sur une infrastructure bancaire réelle. Les missions détaillées ici retracent mes interventions techniques et les responsabilités qui m'ont été confiées durant mon alternance.


INTÉGRATION ET ACCULTURATION PROFESSIONNELLE 09/2025 - 12/2025

> CONTEXTE

Rejoindre une entreprise implique de s'approprier rapidement ses méthodes de travail. L'enjeu était d'appréhender les processus internes, la culture d'entreprise et les outils collaboratifs pour devenir opérationnel efficacement. En parallèle de l'aspect technique, l'intégration humaine était également un objectif central de mes premières périodes en alternance.

> DÉMARCHE & ACTION

  • Découverte de la méthode agile utilisée au sein de l'équipe.
  • Prise de notes active (mots-clés, abréviations, hiérarchie, outils...).
  • Gestion des démarches RH et des demandes de droits d'accès.
  • Participation aux rituels d'équipe (daily meetings et réunions de service).
  • Développement du réseau interne et intégration sociale au sein du pôle.

> BILAN

Ma phase d'intégration m'a permis de comprendre les enjeux de collaboration au sein d'un grand groupe bancaire. Cette étape était indispensable pour situer mon rôle et devenir autonome sur les outils internes avant d'entamer les missions techniques.


CONCEPTION : PROJET MIMIRSBRUNNR 10/2025 - 12/2025

> CONTEXTE

Mimir est une plateforme de partage de rapports de pentest interne. Mimirsbrunnr répond à un besoin spécifique : récupérer des rapports de scans et de pentests et les importer dans Mimir. Ma mission consistait à définir l'architecture de la solution et à tester la faisabilité technique de la génération de rapports PDF (unification graphique).

> DÉMARCHE & ACTION

Avec l'aide de mon maître d'alternance, j'ai réalisé toute la phase de spécifications et de tests de bibliothèques, articulée comme suit :

  • Architecture & Flux : Création de diagrammes de séquences complexes intégrant une brique Apigee, la gestion des Tokens et les notifications d'événements.
  • Référentiel d'Exigences : Modélisation d'un diagramme de classes pour structurer les données du rapport (Périmètre, Synthèse, Criticité, Remédiation).
  • R&D PDFBox : Tests approfondis de la bibliothèque PDFBox pour la génération dynamique : gestion des couleurs (RGB 0-1), tableaux, et tables des matières cliquables.
  • Analyse de Flux : Étude du parsing de flux JSON pour les mapper vers les classes Java du référentiel.

> Focus : La complexité résidait dans le positionnement précis des éléments et la gestion des sauts de page via PDFBox.

> BILAN

Ce projet a été un excellent exercice de conception logicielle. J'ai appris à anticiper les cas d'erreurs (reprise de traitement par lot) et à modéliser des interactions complexes via API Gateway.

Analyse réflexive : Bien que le développement complet ait été arrêté au profit d'une solution interne plus adaptée (Mimir), les schémas d'architecture ont permis de valider la structure de données des futurs rapports.


DÉVELOPPEMENT & ARCHITECTURE : ÉVOLUTION DE MIMIR 01/2026 - 02/2026

> CONTEXTE

Mimir est l'application interne de référence pour le partage des rapports de pentest. Ma mission portait sur deux évolutions majeures : l'implémentation d'une suppression sécurisée et l'enrichissement du modèle de données pour l'affectation aux entités (EFS).

> DÉMARCHE & ACTION

J'ai suivi le cycle complet de développement, de la modification de l'API à la mise en production :

  • Design d'API (APICurio) : Modification de l'endpoint DELETE /reports/{reportId}, définition des codes retours (200, 403, 404) et documentation Swagger.
  • Contrôle d'Habilitations : Mise en place de règles limitant la suppression aux super-admins (niveau 600+) avec gestion des erreurs 403 Forbidden.
  • Architecture de Données : Mise à jour du MCD/MPD pour gérer les suppressions en cascade (ARP, références externes, S3) et le rattachement aux EFS.
  • Développement & Qualité : Implémentation en Java, intégration de logs d'audit et validation de la couverture via JaCoCo.

> Focus : Utilisation de Mockito pour simuler les niveaux de droits lors des tests unitaires.

> BILAN

Cette mission m'a permis de comprendre concrètement la maintenance d'une application en production. J'ai appris qu'une grande partie du travail consiste à adapter le code et les schémas existants aux nouveaux besoins.

Analyse technique : Travailler en binôme avec mon maître d'alternance m'a permis de valider chaque étape, m'assurant que mes modifications s'intégraient correctement sans créer de régressions.


PENTEST - INJECTIONS SQL 10/2025 - 10/2025

> CONTEXTE

Dans le cadre de mon évolution au sein de l'équipe, je serai prochainement amené à participer à des tests d'intrusion (pentest). Pour m'y préparer, mes collègues m'ont enseigné les mécanismes fondamentaux des injections SQL.

> DÉMARCHE & ACTION

Mon apprentissage s'est articulé autour de l'étude théorique des vecteurs d'attaque et de la mise en pratique réelle :

  • Typologies de SQLi : Étude des variantes (Boolean-based, Error-based, Time-based).
  • Utilisation de SQLmap : Automatisation de la détection sur des périmètres autorisés.
  • Contournement de filtres : Utilisation de l'encodage URL (%27) et conversion hexadécimale.

> Focus : Utilisation de PayloadsAllTheThings et de cheat sheets spécialisées pour le bypass MySQL.

J'ai utilisé la plateforme Root-Me pour mettre en pratique ces acquis :

> BILAN

Les challenges Root-Me m'ont permis de comprendre l'importance d'un code sécurisé (requêtes préparées). J'ai également approfondi l'utilisation de Burp Suite et de sqlmap pour l'audit applicatif.