Teddy Ferdinand

Pourquoi `curl | bash` est une mauvaise habitude dangereuse

Wed, 29 Apr 2026 09:42:21 +0000

Dernièrement, je suis retombé sur une vieille mauvaise habitude du monde Linux/DevOps/Cloud : installer un outil avec une commande du type :

curl -sSL https://example.com/install.sh | bash

Ou pire :

curl -sSL https://example.com/install.sh | sudo bash

On l’a tous déjà vue.
On l’a probablement tous déjà utilisée.

Et soyons honnêtes deux minutes : dans beaucoup de documentations officielles, c’est encore présenté comme la manière “simple” d’installer un outil.

Sauf que cette commande pose un vrai problème de sécurité : elle revient à dire :

L’IA allait tout sécuriser, automatiser et coder (ou pas) : pourquoi on réembauche des cybersoc, ops et devs en 2026

Thu, 12 Mar 2026 10:47:37 +0000

J’observe le monde de l’IT depuis plusieurs années, et dernièrement la mode est de balancer des PowerPoint remplis de « AI-first » : agents autonomes qui scalent l’infra, corrigent les vulnérabilités seuls, génèrent du code sécurisé en 30 secondes… et la promesse que dans six mois on n’aurait plus besoin ni d’ops juniors, ni d’équipe sécurité, ni même de devs « classiques ».

J’ai souri en voyant ces takes. Parce que j’ai déjà vécu ça. Je suis dans le monde de l’IT, et plus précisément de l’infra/secu, depuis presque 20 ans et je code encore pour mes équipes ou mes propres outils, je sais exactement comment ça finit.

Jeux vidéo : et si votre anti-cheat était la plus grosse faille ?

Tue, 12 Aug 2025 13:17:47 +0000

Il y a quelques jours, la beta ouverte de Battlefield 6 était disponible.

Lors de l’installation du jeu, j’ai constaté, une fois de plus, que le programme anti triche (anti-cheat) d’EA s’installe au niveau du ring 0 (je reviendrai sur ce concept plus bas, pas de panique! 😄).

Les tricheurs étant de plus en plus prolifiques, les éditeurs de jeux vidéos ont du trouver de nouvelles parades pour identifier et bloquer le plus rapidement les nouvelles manières de tricher en jeu.

Les nouvelles des nuages - Septembre 2023

Thu, 05 Oct 2023 08:20:35 +0000

Bonjour à tous,

Bienvenue dans cette nouvelle édition de “Les Nouvelles des Nuages”. J’ai sélectionné pour vous les actualités les plus pertinentes dans le monde de la tech, du cloud et de la cybersécurité. Découvrons ce que septembre nous a réservé.

L’IA Générative dans la Lutte contre les Menaces

Source: Le Monde Informatique

Proofpoint intègre l’IA générative dans son arsenal pour combattre les menaces en ligne. Cette technologie pourrait révolutionner la manière dont les entreprises abordent la cybersécurité, en offrant des solutions plus proactives contre l’extorsion de données, la compromission d’e-mails et le vol d’identités.

Le biais du survivant dans la cybersécurité : pourquoi se fier uniquement aux incidents passés peut être risqué

Fri, 14 Apr 2023 15:56:04 +0000

Le biais du survivant est une tendance à se concentrer uniquement sur les exemples qui ont survécu à un événement, en ignorant ceux qui ont échoué. En matière de cybersécurité, cela signifie que les entreprises ont souvent tendance à se baser uniquement sur les incidents de sécurité passés qui ont été résolus, sans prendre en compte ceux qui ont échappé à leur détection ou n’ont pas été correctement résolus.

L’un des exemples les plus connus est celui des avions durant la seconde guerre mondiale:

ChatGPT : L'IA qui va tous nous mettre au chômage (ou pas)

Wed, 18 Jan 2023 17:44:51 +0000

Oui, je sais, j’arrive après la bataille sur ChatGPT!

Pour une raison simple, j’aime me faire un avis et ne pas suivre aveuglément les modes dans la Tech, surtout que lesdites modes ont tendance à passer bien vite, on se rappelle (ou pas) de nua.ge qui a fait un grand coup de com’ à coup de vouchers chez des “influenceurs” et a disparu des ondes aussi vite qu’il est apparu.

Twitter VS Mastodon : Et si on parlait de sécurité?

Thu, 10 Nov 2022 16:32:20 +0000

Depuis quelques jours, suite au rachat de Twitter par Elon Musk, on entend beaucoup parler de Mastodon.
Certains se disent prêts à migrer de Twitter vers Mastodon, si nombre de billets de blog parlent de Mastodon vs Twitter du point de vue fonctionnel, on parle assez peu des aspects liés à la sécurité.
Ici, je ne vous parlerais pas de modération, de changements d’habitude, etc. simplement de mon point de vue lié à la sécurité.

Les techniques d'attaque : comprendre l'ARP poisoning

Fri, 21 Oct 2022 05:09:58 +0000

Avertissement

Comme souvent sur ce genre de billet, je tiens à rappeler que le contenu que vous trouverez ici l’est uniquement à des fins pédagogiques.

L’intrusion non autorisée dans un système d’information est passible d’amende et/ou d’emprisonnement.

Comprendre les attaques, c’est savoir comment les éviter. Dans ce billet, je vous propose de voir un modèle d’attaque réseau courant : l’ARP poisoning.

L’ARP, c’est quoi ?

Pour comprendre l’attaque, il faut déjà comprendre sur quoi elle repose.

Pourquoi vous utilisez mal l'IAM d'AWS

Mon, 27 Jun 2022 06:00:31 +0000

Je travaille sur des environnements AWS depuis plus de 6 ans maintenant. Que ce soit en tant qu’Ops, architecte, ou architecte sécurité, il y toujours une constante que je constate autour de moi : l’IAM d’AWS est très souvent mal utilisé.

Dans ce billet, je vous propose de faire un petit tour d’horizon des raisons probables.

Parce que la doc vous indique de mettre du wildcard

La documentation est censée être le pilier sur lequel s’appuyer. Toutefois, force est d’admettre que la documentation d’AWS est loin d’être un exemple en ce qui concerne l’IAM.

Quand vos certificats TLS vous trahissent

Fri, 24 Jun 2022 16:15:53 +0000

Les certificats TLS font partie du quotidien pour n’importe qui manipule les technologies du web.

Mais saviez-vous que vos certificats peuvent trahir vos projets confidentiels, vos environnements non productifs ou la topologie de votre entreprise ?

Un besoin de transparence

Pour comprendre pourquoi vos certificats peuvent être un vecteur d’attaque, nous allons nous pencher sur le fonctionnement même d’un certificat TLS, du point de vue de votre navigateur.

Fonctionnement du TLS « classique »

…

Démarrer un blog en 2022

Mon, 20 Jun 2022 06:00:03 +0000

Ça y est, vous êtes décidé! Vous allez démarrer blog!

Bon, maintenant, la vraie question : par où je commence ?

Pas d’inquiétude, je vais vous donner quelques astuces que j’ai apprises en presque 3 ans de blogging.

Pourquoi je peux en parler ?

Il y a 3 ans de cela, je publiais mon premier billet sur ce blog, après des mois et des mois d’hésitations.

Content d’avoir eu mes 10 premiers lecteurs (des amis et collègues de travail), j’ai continué à publier, en améliorant petit à petit mon contenu.

Et si on responsabilisait tout le monde sur les mots de passe ?

Mon, 13 Jun 2022 06:00:12 +0000

Je vois souvent passer des communications indiquant qu’il faut faire des mots de passe avec beaucoup de caractères, car cela les sécurise, avec de jolis graphes qui expliquent qu’il ne faut que quelques secondes pour casser un mot de passe à 8 caractères.

C’est à la fois vrai et faux.

Aujourd’hui, je vais vous partager mon avis sur ce sujet.

Avoir un mot de passe fort est important…

…mais ce n’est pas la seule chose importante

Il est évident qu’il est indispensable d’avoir un mot de passe fort pour sécuriser ses différents accès.

Les nouvelles des nuages - Mars 2022

Fri, 01 Apr 2022 07:00:00 +0000

Février est trop court !

Certains l’ont remarqué, il n’y a pas eu de newsletter en février.

La raison est simple, le mois est tellement court que je n’ai pas eu le temps de la rédiger dans les temps ! Pour le coup, plutôt que de publier le 10 mars, je me suis dit que je pourrais vous partager le contenu de ces deux derniers mois en même temps.

La sélection du mois

Okta victime d’une intrusion

Le leader de l’authentification, Okta, a été victime d’une intrusion dans ses systèmes.

Un blog Hugo sur Scaleway avec Github et Github actions - Partie 3/3

Mon, 07 Feb 2022 05:00:00 +0000

Résumé des épisodes précédents

Dans les deux premiers billets de cette série, nous avons vu comment créer notre bucket de base, configurer notre nom de domaine, et manipuler rapidement Hugo.

Dans ce dernier billet de la série, nous allons donc passer à l’étape manquante : le déploiement.

Automatiser le déploiement sur Scaleway

Créer un utilisateur API

Nous allons commencer par créer un utilisateur API sur la console Scaleway.

Pour cela, rendez-vous sur le menu en haut à droite, puis “Identifiants”

Les nouvelles des nuages - Janvier 2022

Mon, 31 Jan 2022 06:00:00 +0000

Bonne année 2022

Bienvenue pour cette première newsletter de l’année. J’en profite donc pour vous souhaiter à tous une excellente année 2022!

Comme le mois dernier, je sélectionne ce mois-ci 5 news liées à la tech que j’ai trouvé intéressante ce mois-ci.

C’est parti!

La sélection du mois

Quand saboter son projet devient une manière de se faire entendre

En fin d’année dernière, je vous avais parlé de la faille log4shell, une vulnérabilité dans la librairie de login Java très populaire log4j.

Un blog Hugo sur Scaleway avec Github et Github actions - Partie 2/3

Mon, 31 Jan 2022 05:00:00 +0000

Résumé de l’épisode précédent

Dans mon billet précédent, nous avons créer le socle nécessaire pour recevoir notre code et notre site terminé.

Si vous ne l’avez pas lu, vous pouvez le retrouver ici:

Un blog Hugo sur Scaleway avec Github et Github actions - Partie 1/3

Héberger un blog ne demande pas forcément une énorme infrastructure et beaucoup de moyens. Il est possible de créer un blog simplement pour quelques euros par an (et encore). Il y a quelques mois, j’avais écrit un billet indiquant l’importance de publier son contenu “chez soi”, que vous pouvez retro…

Teddy FERDINAND

Cette semaine, nous allons passer à Hugo. Nous allons voir comment l’utiliser de manière très basique pour créer notre blog, et nous créerons le repository Github qui hébergera le code de notre blog.

Un blog Hugo sur Scaleway avec Github et Github actions - Partie 1/3

Mon, 24 Jan 2022 05:00:00 +0000

Héberger un blog ne demande pas forcément une énorme infrastructure et beaucoup de moyens. Il est possible de créer un blog simplement pour quelques euros par an (et encore).

Il y a quelques mois, j’avais écrit un billet indiquant l’importance de publier son contenu “chez soi”, que vous pouvez retrouver ci-dessous.

Pourquoi c’est important de publier chez soi

Je vois nombre de personnes que je suis publier des contenus sur les espaces prévus sur les réseaux sociaux, ou sur des plateformes comme YouTube, TikTok, etc. Je ne pense pas que ce soit forcément une bonne idée : plutôt que de mettre en avant votre contenu à coup de “like”

Teddy FERDINAND

Suite à ce dernier, beaucoup m’ont contacté pour me demander des exemples concrets de ce que j’entendais par là.

[Triple format] Interview de Carl CHENET, créateur du journal du hacker

Mon, 17 Jan 2022 05:00:00 +0000

Il y a quelques semaines, j’ai reçu Carl Chenet, créateur (notamment) du journal du hacker.

J’en ai donc profité pour échanger avec lui autour de sujets qu’il connait bien : le télétravail et l’open source.

Pour la première fois sur ce blog, vous pouvez retrouver cette interview dans 3 formats :

En vidéo, via le lien Youtube, ou sur mon serveur Peertube
En podcast, sur Spotify, Deezer ou Amazon Music
En transcription texte, ci dessous

⚠️

Juniors : mes 12 astuces pour mieux réussir vos entretiens techniques

Mon, 10 Jan 2022 05:00:00 +0000

Cela fait quelques années que je fais passer régulièrement des entretiens techniques. Dans ce billet, j’ai voulu vous compiler un peu mes astuces/remarques/points (rayez la mention inutile) afin que ces derniers se passent au mieux pour vous.

Comme indiqué dans le titre, ce billet s’adresse plus particulièrement aux profils juniors (sans aucune condescendance), mais chacun peut y trouver des points utiles.

Avant l’entretien

1) Se renseigner sur l’entreprise

Lorsque vous allez en entretien, cela signifie que vous envisagez de rejoindre une entreprise. Le mieux dans ce cas est de vous renseigner un minimum sur celle-ci. Cela passe par le site institutionnel de cette dernière, son (ou ses) blog(s), mais aussi des sites tiers qui permettent d’avoir les avis des employés actuels ou passés.

L'IT en 2022 : Les 5 sujets "tendances" que je vois cette année

Mon, 03 Jan 2022 05:30:00 +0000

L’année 2022 commence, l’occasion pour moi de vous livrer ma vision des tendances dans l’IT et la sécurité.

Comme souvent dans mes billets, il s’agit de mon avis, et vous avez le droit de ne pas être d’accord avec moi.

Dans tous les cas, n’hésitez pas à donner votre point de vue dans les commentaires, aucune inscription n’est nécessaire.

La part du télétravail va augmenter

On l’a vu depuis le début de la pandémie du Covid, le télétravail permet aux entreprises de continuer leur activité malgré les aléas sanitaires.

Les nouvelles des nuages - Décembre 2021

Tue, 28 Dec 2021 07:30:00 +0000

Bonjour à tous, plusieurs mois après l’avoir annoncé, voici ma première newsletter !

Tous les mois, je sélectionnerais 5 actualités liées au cloud, la sécurité ou l’open source que je commenterais et partagerais avec vous.

Sans plus attendre, voici la sélection du mois !

La sélection du mois

Log4j — Quand l’open source porte le web mondial

Mi-décembre, une faille majeure a été décelée dans la librairie Java très populaire log4j. Cette faille permettant l’exécution de code arbitraire via de simples requêtes sur un site web.

Log4j depuis l'œil de la tempête

Mon, 20 Dec 2021 20:22:55 +0000

À moins de vivre dans une grotte, vous n’avez pas pu passer ces derniers jours à côté des failles découvertes sur la librairie Java log4j.

Je ne vais pas vous faire un énième post pour parler de cette faille, mais plutôt parler de mon expérience sur le terrain sur l’impact de cette dernière au niveau opérationnel.

L’importance d’avoir un inventaire à jour

J’en ai parlé sur Twitter, mais pour moi, cette faille met en exergue le fait que beaucoup d’entreprises manquent d’un inventaire à jour de leurs ressources.

Le jour où j'ai compris que je n'étais pas un (bon) développeur

Mon, 13 Dec 2021 06:30:00 +0000

Sur les réseaux sociaux, blog et autres publications, on parle très souvent de nos réussites (moi le premier). Aujourd’hui, j’ai décidé de vous parler d’un de mes “échecs” (notez les guillemets) récents : le jour où j’ai compris que je ne faisais pas du bon code.

Résumé d’un drame en trois actes.

Situation initiale : seul au monde

J’ai commencé chez mon client actuel (le groupe SeLoger) en octobre 2019. À ce moment, je remplace quelqu’un de mon ESN (WeScale) qui quitte ce client.

Les GAFAM aussi ont des incidents

Mon, 11 Oct 2021 05:11:49 +0000

Dernièrement Facebook a eu un incident majeur et a disparu du net pendant plusieurs heures.

Les réactions que cela a suscitées, dans la sphère technique, m’ont quelque peu surpris, donc nous allons parler dans ce billet des pannes chez les big tech.

Par big tech, j’entends ces boites que l’on pense bien trop grandes pour avoir le moindre incident visible de l’extérieur.

Facebook : Tu me vois, tu me vois plus !

Facebook a rencontré un incident réseau impressionnant et très simple en même temps. Une erreur de manipulation a conduit à la suppression des routes BGP vers Facebook.

Pourquoi c'est important de publier chez soi

Mon, 20 Sep 2021 05:00:00 +0000

Je vois nombre de personnes que je suis publier des contenus sur les espaces prévus sur les réseaux sociaux, ou sur des plateformes comme YouTube, TikTok, etc.

Je ne pense pas que ce soit forcément une bonne idée : plutôt que de mettre en avant votre contenu à coup de “like”, vous mettez en fait en avant la plateforme, qui peut se targuer d’avoir du contenu de qualité.

Petit tour d’horizon de mon point de vue à ce sujet.

Un VPN protège-t-il réellement votre vie privée ?

Mon, 13 Sep 2021 05:00:00 +0000

Dernièrement, je vois de plus en plus de publicité indiquant que tel ou tel VPN protège votre vie privée.

On m’a aussi posé plusieurs fois la question afin de comprendre si c’était vraiment le cas ou non. Aujourd’hui, j’ai donc décidé de vous parler de VPN.

Le but de ce billet est avant tout de comprendre le fonctionnement de base d’un VPN et de savoir ce qu’il protège, et ce qu’il ne protège pas.

Travailler en public, ça s'apprend!

Mon, 06 Sep 2021 12:08:53 +0000

Comme beaucoup de gens, je suis parti quelques jours en vacances cet été. Pour me déplacer, j’ai utilisé le TGV.

J’ai été surpris du nombre de personnes que j’ai croisées dans mes trains qui travaillaient aux vues et au su de tous !

Aujourd’hui, j’ai donc décidé de vous parler des “bonnes pratiques” pour travailler en public de manière plus sûre.

Attention aux documents confidentiels !

Posé bien en évidence sur un siège, à côté d’un voyageur qui travaillait, j’ai pu voir un document sur lequel un filigrane “Confidentiel” ornait les pages. Bon, qu’on se le dise clairement, le document n’avait plus rien de confidentiel vu qu’il était partagé avec nombre de personnes inconnues.

Traefik 2.5, quoi de neuf ?

Tue, 29 Jun 2021 16:56:13 +0000

Traefik a annoncé la sortie de la version 2.5 (en version préliminaire).

Cette nouvelle version, comme d’habitude, porte le nom d’un fromage, à savoir Brie, habitant à côté de Meaux, je suis obligé de couvrir cette version!

Embarquez avec moi pour un petit tour d’horizon des changements.

Bienvenue au HTTP/3

Le HTTP/3 est maintenant pris en charge (en mode expérimental) par cette nouvelle version.

Le HTTP/3 est comme son nom l’indique le successeur du HTTP/2 que nous utilisons encore en grande partie sur Internet. Basé sur l’UDP, il permet d’améliorer le confort des connexions en évitant le redémarrage du handshake TCP lors d’une perte de paquet. De plus, la couche TLS (Transport Layer Security) est incluse nativement dans le connecteur HTTPS.

API VS bibliothèques : comprendre l'intérêt

Mon, 21 Jun 2021 04:35:47 +0000

Lorsque l’on doit communiquer avec des services tiers, des APIs sont souvent mises en place pour simplifier l’échange d’information.

Très souvent, en parallèle de ces dernières, on peut trouver des SDK, fourni par l’éditeur ou bien en open source.

Aujourd’hui, nous allons voir pourquoi l’utilisation des SDK est souvent à préférer à celles des API au travers d’un exemple simple : AWS et son SDK Boto3.

Le choix d’AWS est arbitraire, tout autant que Boto3, simplement parce que ce sont des technologies que je maîtrise, mais cet exemple est transposable à beaucoup de fournisseurs et langages de programmations différents. Les codes indiqués dans ce billet n’ont pas été testés et sont simplement indiqués à titre d’illustration.

Contenu créatif : le dilemme de la monétisation

Mon, 03 May 2021 05:07:00 +0000

Lorsqu’on édite du contenu créatif (chaine vidéo, site web, blog, etc.), il peut parfois se poser la question de la monétisation.

Je fais partie des gens qui considèrent que ce n’est pas un sujet tabou que de parler d’argent pour son contenu.

Dans ce billet, je vous propose de faire un petit tour d’horizon des solutions et des pour et contre de ces solutions.

Pourquoi monétiser ?

Déjà, parlons du sujet de base : pourquoi monétiser son contenu ?

Cloudflare : configurer rapidement avec Terraform et Traefik

Mon, 19 Apr 2021 06:23:00 +0000

Depuis quelques semaines maintenant ce blog est derrière Cloudflare.

Bascule sur @Cloudflare, c’est fait! :) pic.twitter.com/pZyq0x6Juy

— Teddy FERDINAND (@TeddyFERDINAND1) March 16, 2021

Dans ce billet, je vais vous expliquer pourquoi et comment j’ai configuré Cloudflare devant Traefik.

Cloudflare : Pourquoi utiliser un CDN?

Cloudflare est avant tout un CDN, un Content Delivery Network. Le rôle d’un CDN est de réduire autant que possible la latence de réponse pour l’utilisateur final, en exploitant plusieurs points.

Attirer les plus jeunes vers l'IT

Mon, 12 Apr 2021 07:30:15 +0000

Il y a quelques jours, une campagne publicitaire du ministère du Travail essayait d’attirer des jeunes vers le métier de développeur, avec un raccourci pour le moins fallacieux : tu aimes tenir une manette, deviens développeur ! On ne parle pas de “digital”, je devrais déjà m’estimer heureux !

Toi aussi tu aimes t’entendre parler sur TikTok, deviens politicien !

Quitte à faire des raccourcis stupides, je peux aussi m’y mettre !

Sauvegarder... un sujet (très) complexe

Tue, 30 Mar 2021 17:23:11 +0000

Dernièrement, j’ai beaucoup évoqué le sujet des sauvegardes sur mon blog, notamment à cause de l’incendie OVH et une indisponibilité de mon serveur, billets que vous pouvez retrouver ici :

Comment mon serveur est revenu rapidement en ligne

Dernièrement, j’ai rencontré plusieurs soucis sur mon serveur dédié qui héberge(entre autres) ce blog. Aujourd’hui, je vous propose de voir comment j’ai réussi à remettre rapidementmon serveur en ligne, en le réinstallant intégralement, et en changeant d’OS. Un drame en 3 actesDurant la nuit, à…

Teddy FERDINAND

OVH brûle, Internet hurle

Le 10 mars au matin, un incendie se déclarait dans un datacenter d’OVH, àStrasbourg. Cet incendie a eu un énorme impact, brulant un datacenter au complet, et enendommageant un autre. Voici donc mon analyse à chaud de la situation et de la réaction sur les réseauxsociaux. Petit rappel : OVH c’e…

Teddy FERDINAND

Aujourd’hui, je vous propose de parler des sauvegardes, et de comprendre pourquoi c’est un domaine qui demande de l’expertise et du recul pour choisir le format le plus adapté.

Comment mon serveur est revenu rapidement en ligne

Mon, 22 Mar 2021 04:20:10 +0000

Dernièrement, j’ai rencontré plusieurs soucis sur mon serveur dédié qui héberge (entre autres) ce blog.

Aujourd’hui, je vous propose de voir comment j’ai réussi à remettre rapidement mon serveur en ligne, en le réinstallant intégralement, et en changeant d’OS.

Un drame en 3 actes

Durant la nuit, à 2h du matin le 8, mon serveur a redémarré suite à un kernel panic. Arbre qui cache souvent la forêt, le kernel panic est une erreur grave que le système n’a pas réussi à empêcher et qui a eu trop d’impact pour qu’il maintienne sa stabilité. Pour les amateurs de Windows, nous pourrions comparer ça à un écran bleu (BSOD).

Mon métier de Cloud Security Architect

Mon, 15 Mar 2021 06:53:09 +0000

Pour faire écho aux articles récents de Damy.R, et mcorbin, je me suis dit qu’il serait sympa que je vous explique en quoi consistait mon métier :

À la découverte du métier de consultant cloud et DevOps

Envie de découvrir le quotidien d’un consultant cloud et DevOps ?

Damy.R

(mcorbin.fr): Le métier de développeur Cloud

(mcorbin.fr)

En effet les métiers de l’IT sont très nombreux, et il est parfois compliqué de comprendre ce qui se cache derrière nos étiquettes.

OVH brûle, Internet hurle

Wed, 10 Mar 2021 17:22:58 +0000

Le 10 mars au matin, un incendie se déclarait dans un datacenter d’OVH, à Strasbourg.

Cet incendie a eu un énorme impact, brulant un datacenter au complet, et en endommageant un autre.

Voici donc mon analyse à chaud de la situation et de la réaction sur les réseaux sociaux.

Petit rappel : OVH c’est quoi ?

Commençons par le commencement. OVH (rebrandée OVH Cloud depuis peu) est une entreprise spécialisée dans l’hébergement informatique de manière très large :

Ces petites phrases de l'IT qui m'agacent

Mon, 08 Mar 2021 16:15:50 +0000

Dernièrement, j’ai publié sur Twitter un petit message d’humeur et j’ai été très surpris de l’écho que ce dernier a eu.

Visiblement, je ne suis pas le seul à en avoir assez d’entre cette phrase très (trop) souvent.

Du coup, je me suis dit que j’allais vous compiler quelques-unes de ces fameuses phrases qui m’agacent, en développant un peu sur le pourquoi.

On a toujours fait comme ça

Phrase par excellence que nous avons tous déjà entendu, et visiblement d’après les réactions sur mon Tweet, cela va bien au-delà de l’IT.

Bref, j'ai passé ma certification AWS

Mon, 22 Feb 2021 06:00:00 +0000

Au début de l’année, je vous expliquais que j’avais comme ambition une certification AWS. Vendredi dernier, j’ai donc passé et obtenu ma première certification.

J’ai donc décidé de vous parler dans ce billet de ma préparation et de mon ressenti sur cette dernière.

Hard mode: ON

La seule certification que j’avais passée jusqu’à présent était la certification Ansible, qui soit dit en passant est une énorme blague. AWS propose en effet plusieurs certifications et pour le socle de base il existe trois niveaux : Practitioner, Associate, Professional.

De l'audimetrie de Traefik libre avec Matomo

Mon, 15 Feb 2021 06:00:00 +0000

Il y a quelque temps, je vous avais parlé du tracking et des raisons pour lesquelles je tenais à ma vie privée. Dans ma conclusion, j’indiquais que le tracking utilisateur restait tout de même un outil utile pour une entreprise, à condition qu’il soit éthique et respectueux des utilisateurs.

Toutefois, très souvent, je vois que Google Analytics est utilisé par les sites sur lesquels je navigue. Ce dernier est loin (même très loin) d’être respectueux des données de vos utilisateurs. Pire! Vous permettez à Google de connaitre l’activité de votre site de bout en bout et de savoir comment mieux cibler ses publicités (entre autres).

[IT] Le salaire n'est pas le seul critère de recrutement

Mon, 08 Feb 2021 06:00:00 +0000

De par mon parcours professionnel, je suis passé par pas mal d’entreprises, que ce soit en prestation ou en interne.

Le salaire est souvent :

Un sujet tabou, il ne faut surtout pas parler du salaire que l’on touche et encore moins avec ses collègues
Vu comme le seul critère pour recruter : Si on ne recrute pas c’est qu’on ne paie pas assez, si les collaborateurs partent c’est à cause du salaire

Aujourd’hui, je vous livre ma vision des choses sur ce point.

Pour une posture efficace de la sécurité

Mon, 01 Feb 2021 06:00:00 +0000

Je travaille dans le domaine de l’IT depuis plus de 10 ans maintenant et j’ai côtoyé pas mal d’équipes “sécurité” au sein des entreprises dans lesquelles je suis passé. Je suis moi-même un “security guy” (Cloud Security Architect) depuis un peu plus d’un an.

Durant ces années, j’ai souvent constaté une posture bloquante des équipes sécurité, parfois même déconnectées du terrain, conduisant de fait à des ralentissements et tensions dans les projets.

French Tech - Interview de Xavier Pestel aka Xavki, YouTubeur émérite

Mon, 25 Jan 2021 06:36:00 +0000

Après une première interview fin 2020 d’Émile Vauge, j’ai décidé de renouveler l’expérience.

French Tech - Interview d’Emile Vauge, créateur de Traefik

Pour terminer cette année 2020, je vous propose un nouveau format pour ce blog,je vais interviewer ponctuellement des personnes qui composent le paysage de laFrench Tech ! Pour ce premier billet, j’ai eu l’occasion d’échanger avec Emile Vauge, le papade Traefik et de Containous, qui s’appelle de…

Teddy FERDINAND

Aujourd’hui, je vous propose une interview avec Xavier Pestel, plus connu sous le pseudonyme de Xavki sur YouTube.

Le danger du Grey IT en entreprise

Mon, 18 Jan 2021 07:07:48 +0000

Les confinements ont beaucoup changé nos habitudes de travail. Le télétravail est devenu quelque chose de plus courant qu’il y a tout juste un an.

Avec la mise en place de télétravail très rapidement, de nouveaux risques sont apparus. Aujourd’hui, je vous propose d’aborder le sujet du Grey IT.

Le Grey IT qu’est ce que c’est ?

Dans une entreprise, de manière classique, les applications utilisées sont référencées dans un catalogue de service.

Créer des boxes Vagrant facilement en utilisant Packer

Mon, 11 Jan 2021 08:15:18 +0000

Il y a quelques mois, j’ai écrit un billet pour expliquer comment créer facilement un cluster Kubernetes local en exploitant Vagrant et Traefik. Vous pouvez d’ailleurs le retrouver ici :

Créer un cluster Kubernetes local avec Vagrant

Tester Kubernetes est assez facile grâce à des solutions telles que Minikube. Toutefois, lorsqu’on souhaite tester des fonctionnalités propres à du cluster,comme de l’équilibrage de charge ou de la bascule, ce n’est plus forcémentadapté. Il est possible de monter son infrastructure Kubernetes su…

Teddy FERDINAND

Aujourd’hui, je vous propose de voir comment on peut accélérer encore cette création en construisant nous-mêmes la box utilisée par Vagrant, préconfiguré avec nos outils. Ce billet est donc la suite de celui cité au-dessus. Certaines notions ne seront donc pas de nouveau abordées.

Mon année 2020 (et mes projets pour 2021)

Mon, 04 Jan 2021 13:03:23 +0000

L’année 2020 s’est finie il y a quelques jours, l’occasion pour moi de faire une rétrospective sur cette année pour le moins mouvementée.

Au niveau professionnel

Le coronavirus et les deux confinements ont pas mal modifié mes habitudes de travail. Durant le premier confinement, j’ai eu un énorme “passage à vide”, n’arrivant plus à être productif et vivant mal le fait de me retrouver enfermé pour travailler.

Je ne suis pas du tout contre le télétravail, par contre, le fait de ne voir ses collègues qu’autour de réunions est déshumanisant. Fort heureusement, durant cette période compliquée, j’ai pu compter sur le soutien de ma moitié, de mes collègues de WeScale et de mon client, SeLoger. Je considère que c’est une chance d’avoir autant de gens bienveillants dans mon environnement professionnel.

Cyberpunk 2077 : Analyse d'un échec de l'agilité

Thu, 24 Dec 2020 11:46:37 +0000

Le 10 décembre dernier est sorti l’un des jeux les plus attendus de l’année : Cyberpunk 2077.

Personnellement, je prends beaucoup de plaisir à y jouer, mais ce n’est pas le cas pour tout le monde.

Avec un regard extérieur de professionnel de l’IT, je vous propose de voir aujourd’hui les “loupés” qu’il y a eu, d’après moi dans ce projet, et comment certaines erreurs auraient pues être évitées. Cet article n’a pas pour but de parler du jeu en lui-même, mais plutôt de l’aspect organisationnel et technique.

AWS re:Cap (Semaine 3)

Thu, 24 Dec 2020 10:05:17 +0000

Fêtes de fin d’année obligent, ce dernier re:Cap arrive avec quelques jours de retard.

Le re:Invent s’est terminé ce 18 décembre, l’occasion pour moi de vous parler des annonces de cette dernière semaine.

Comme tous les ans, cet événement a été une avalanche d’annonces, certaines sur lesquelles AWS était attendu, d’autres qui ont largement surpris.

Une fois de plus, AWS a pu affirmer sa position de leader dans le domaine du cloud public.

French Tech - Interview d'Emile Vauge, créateur de Traefik

Thu, 17 Dec 2020 06:00:00 +0000

Pour terminer cette année 2020, je vous propose un nouveau format pour ce blog, je vais interviewer ponctuellement des personnes qui composent le paysage de la French Tech !

Pour ce premier billet, j’ai eu l’occasion d’échanger avec Emile Vauge, le papa de Traefik et de Containous, qui s’appelle depuis peu Traefik Labs.

L’occasion de faire une rétrospective sur Traefik qui a soufflé dernièrement sa cinquième bougie.

Afin de ne pas “dénaturer” le contenu de cet échange, cet article ne sera pas disponible en anglais.

AWS re:Cap (Semaine 2)

Mon, 14 Dec 2020 07:53:35 +0000

Comme la semaine passée, je vous propose un billet récapitulatif des annonces que j’ai retenues du re:Invent sur cette seconde semaine.

Vous pouvez retrouver la première semaine ici :

AWS re:Cap (Semaine 1)

Cette année, j’ai décidé de vous faire un billet chaque semaine avec lesannonces que j’ai retenu du Re:Invent. Ce billet est purement subjectif, ce que j’ai retenu n’est pas forcément le plusimportant, mais plutôt les informations que j’ai jugé pertinentes. En complément de ce billet, vous pouve…

Teddy FERDINAND

Une fois de plus, ces annonces sont sélectionnées de manière complètement arbitraire, et ne sont pas forcément les plus intéressantes pour tout le monde.

AWS re:Cap (Semaine 1)

Sun, 06 Dec 2020 20:29:14 +0000

Cette année, j’ai décidé de vous faire un billet chaque semaine avec les annonces que j’ai retenu du Re:Invent.

Ce billet est purement subjectif, ce que j’ai retenu n’est pas forcément le plus important, mais plutôt les informations que j’ai jugé pertinentes.

En complément de ce billet, vous pouvez aussi suivre les annonces via le GitHub de mon ami Victor :

zoph-io/awscon-onepager

📝 AWS Conferences One-Pagers. Contribute to zoph-io/awscon-onepager development by creating an account on GitHub.

zoph-io

Accrochez vous, il y a de l’annonce à la pelle !

Eprouvez votre antivirus avec un cryptolocker (maitrisé)

Fri, 04 Dec 2020 20:53:18 +0000

Les modèles d’attaques informatiques ont évolué ces dernières années. Les cryptolockers sont devenus le fer de lance de beaucoup de pirates.

Votre éditeur d’antivirus vous assure que vous être protégé contre ces nouvelles menaces ? OK, prouvez-le avant d’être bloqué par une vraie attaque.

Parlons cryptolocker

Le principe de base d’un cryptolocker est assez simple : chiffrer les fichiers cibles (souvent .doc, .txt, .odt etc…) et demander ensuite une rançon. Un ransomware n’a rien à gagner à détruire l’OS sous-jacent, donc les fichiers systèmes sont rarement touchés.

Arretez Internet : AWS ne répond plus!

Sat, 28 Nov 2020 12:30:00 +0000

Il y a quelques jours, un incident impactant le fournisseur cloud AWS a eu un écho important chez beaucoup d’entreprises et de services, directement touchés par cette instabilité.

J’ai vu sur les réseaux sociaux de nombreuses réactions, souvent à côté du sujet (malheureusement) et je me suis dit qu’il pouvait être utile de vous donner mon analyse du sujet.

On rembobine

Commençons par rappeler un peu l’incident.

Mercredi soir (heure française), AWS a rencontré un nombre d’erreurs de plus en plus important sur certains de ces services dans la région us-east-1 (North Virginia).

Les EDR, avenir des antivirus

Thu, 26 Nov 2020 16:55:34 +0000

Les virus sont devenus de plus en plus présents ces dernières années avec des vecteurs et modèles d’attaques toujours plus évolués.

Avoir une protection adaptée à ces nouveaux modèles d’attaques est aujourd’hui indispensable.

L’histoire (accélérée) des antivirus

Depuis les débuts de l’informatique, nous avons toujours des personnes malveillantes tentant d’exploiter des faiblesses de systèmes ou programmes.

Les objectifs de ces virus étaient divers :

créer un poste zombie pour un botnet ;
immobiliser un ordinateur ou un SI ;
extraire les informations;
par défi.

Pour contrer ces menaces, des éditeurs ont mis à disposition d’autres programmes : les antivirus.

Ecologie et technologie ne sont pas incompatibles!

Tue, 03 Nov 2020 09:01:39 +0000

L’écologie est un thème de plus en plus présent ces dernières années, à juste escient.

Nous sommes sans nul doute la génération qui a le plus conscience de son impact sur son environnement et qui, surtout, a les outils nécessaires pour le mesurer ou le percevoir.

Très souvent, on oppose écologie et technologie en disant que l’évolution technologique rime avec pollution.

Je vous propose au travers de ce petit billet de vous exposer mon point de vue sur ce sujet. Je vous parlerai ici de ma manière de réduire mon empreinte.

Rendons les interfaces plus accessibles

Tue, 27 Oct 2020 07:13:56 +0000

Travaillant et étant joueur sur PC (#PCMasterRace), je passe beaucoup de temps sur mon ordinateur.

Dans ce billet, j’ai décidé de vous parler d’un “problème” que je rencontre souvent dans des jeux ou sites : leur manque d’accessibilité, car ils ne prennent pas en compte des problèmes courants pour rendre leurs sites, programmes ou jeux accessibles au plus grand nombre.

Ce billet n’a pas pour ambition d’être exhaustif, je ne vais pas vous parler de tous les points pour rendre votre site accessible, mais simplement de 3 points majeurs que je subis ou côtoie très souvent.

Gérer un blog est plus compliqué que je l'imaginais

Mon, 19 Oct 2020 05:00:00 +0000

Il y a un an et demi, j’écrivais les premières lignes de ce blog. Mon premier article était surtout un défi pour moi : le but premier était “d’oser” mettre sur un site mon point de vue, et de le soumettre à une potentielle critique.

À cette époque, j’étais très content d’avoir une dizaine de lecteurs sur mes billets, aujourd’hui, j’ai plusieurs milliers de lectures hebdomadaires…

Statistique de mon blog semaine 41/2020

Obtenir des clés temporaires pour le CLI AWS, c'est possible!

Mon, 12 Oct 2020 05:21:00 +0000

Lorsque l’on veut utiliser le CLI AWS pour piloter ses ressources en ligne de commande, la solution la plus simple est de passer par des access keys. Ces clés APIs, gérées par AWS permettent de s’authentifier simplement en passant par un utilisateur IAM.

Toutefois, quand on veut centraliser en dehors d’AWS ses utilisateurs, la tâche se gâte ! Aujourd’hui, je vais vous expliquer comment j’ai mis en place une gestion de credentials AWS temporaires avec une fédération externe à AWS, et pourquoi.

Recrutement : Assumez vos différences

Tue, 06 Oct 2020 06:32:04 +0000

J’ai déjà évoqué plusieurs fois le sujet du recrutement dans l’IT et de mon parcours que l’on juge souvent “atypique”.

Il m’a fallu plusieurs années pour comprendre que ce que je prenais pour une faiblesse était en fait une force.

Les diplômes ne sont pas tout

Pendant longtemps, j’ai perçu le manque de diplômes sur mon CV comme un énorme point jouant contre moi.

Pourquoi ça ? Parce que nous sommes formatés pour mettre en avant notre formation, nos diplômes avant tout. La faute à beaucoup de recruteurs qui s’arrêtent sur cette information, et qui ne prennent même pas le temps de voir ce dont est capable le candidat.

Scanner les vulnérabilités de son site web

Thu, 24 Sep 2020 14:03:35 +0000

Héberger un site web est quelque chose de normal de nos jours. Je ne connais pas beaucoup d’entreprises qui n’ont pas de site Internet.

Toutefois, cette ouverture sur le monde est aussi une porte d’entrée pour les pirates !

Aujourd’hui, je vous propose de découvrir (ou revoir) deux outils vous permettant de renforcer la sécurité de vos applications.

Sécuriser son site site web, pourquoi?

Retrouvez la suite de ce billet sur le blog de WeScale!

Créer un cluster Kubernetes local avec Vagrant

Sun, 13 Sep 2020 10:17:22 +0000

Tester Kubernetes est assez facile grâce à des solutions telles que Minikube.

Toutefois, lorsqu’on souhaite tester des fonctionnalités propres à du cluster, comme de l’équilibrage de charge ou de la bascule, ce n’est plus forcément adapté.

Il est possible de monter son infrastructure Kubernetes sur des serveurs, ou en exploitant des services managés chez un fournisseur cloud (Kapsule chez Scaleway, AKS chez Azure, GKE chez GCP ou EKS chez AWS par exemple).

AWS CDK, le gamechanger ?

Tue, 01 Sep 2020 14:30:26 +0000

Il y a quelques semaines, AWS annonçait la disponibilité publique de son nouvel outil AWS Cloud Development Kit (AWS CDK).

Plus qu’un nouvel outil parmi d’autres chez AWS, je pense qu’il a le potentiel de changer les règles du jeu en ce qui concerne le déploiement.

Dans ce billet, j’ai pris le parti de ne le comparer qu’aux deux autres solutions populaires sur AWS : CloudFormation, l’outil d’Amazon et Terraform, l’outil open source d’HashiCorp. Pour avoir mon point de vue sur ces outils, je vous invite à lire mon billet associé.

Sécuriser son application web sur AWS

Wed, 26 Aug 2020 06:00:14 +0000

Lorsque l’on déploie son application web sur AWS, il est nécessaire de sécuriser son utilisation.

On pense souvent qu’il s’agit de déployer tout dans AWS et que notre application est directement en ligne et sécurisée. Ce qui est faux. Si la protection DDOS au niveau 4 (TCP/UDP) est effectivement effectuée par Amazon Web Services, le niveau 7 doit quant à lui être géré par le client.

Je vous propose dans cet article de voir les différentes couches de sécurité que l’on peut mettre en place pour sécuriser son application web sur AWS.

Fortnite VS Apple : Et si les deux parties avaient tort?

Sun, 23 Aug 2020 17:42:22 +0000

Il y a quelques jours, Epic Games entrait en croisade contre Apple, leur reprochant de ponctionner une part trop importante des revenus des éditeurs. Étant moi-même un joueur (pas de Fortnite, mais un joueur tout de même), je me suis senti concerné par ce débat.

Dans ce billet, je vous propose de vous livrer mon point de vue sur ce drame en 3 actes.

Présentation des acteurs

Epic Games

Epic Games est connu principalement pour son jeu phare, Fortnite. Ce dernier fait partie de ceux qui ont posé les bases des battle royale. Néanmoins, Epic Games, c’est bien plus que ça. C’est aussi l’éditeur d’un moteur de rendu graphique très populaire, l’Unreal Engine, utilisé dans de nombreux jeux vidéos, toutes plateformes confondues.

Être hacker, ce n'est pas comme dans les films!

Tue, 18 Aug 2020 16:35:23 +0000

Les hackers… nous en voyons souvent dans les films et séries. Ces experts sont capables de détourner des satellites de la NSA avec une ficelle et un coupe-ongles (#MacGyver) ! (Image de couverture tirée du film Die hard 4)

J’ai décidé aujourd’hui de vous parler du hacking dans la “vraie vie”. Je me considère moi-même comme un white hat (un hacker éthique) et je vais vous parler des méthodes courantes qu’un hacker utilise. Je me focaliserais ici sur la partie la plus simple : les sites web.

AWS IAM : Entre rêve et cauchemar

Sat, 15 Aug 2020 06:51:26 +0000

J’utilise professionnellement AWS depuis plus de 4 ans maintenant.

Pour faire un peu mon vieux, lorsque j’ai commencé sur AWS, les services et fonctionnalités suivantes n’existaient pas :

Les ALB/NLB
ACM
ElasticSearch Service
Les lambda dans les VPC ou avec durée supérieure à 5 minutes
ECS/EKS/ECR

Durant ces 4 années, j’ai eu l’occasion de faire beaucoup d’IAM, indispensable pour déployer des solutions sécurisées sur Amazon.

IAM et least privilege

Le service IAM (Identity and Access Management) est le service d’AWS qui définit les utilisateurs ou rôles ainsi que les permissions qui leur sont associées.

Traefik 2.3 + ECS + Fargate : Reverse proxy serverless dans AWS

Wed, 29 Jul 2020 15:33:32 +0000

Traefik est un reverse proxy que nous avons déjà évoqué sur ce blog par le passé. Très puissant couplé avec des containers, il permet une gestion fine et légère du trafic.

Il y a quelques jours, Containous, l’éditeur de Traefik, a annoncé la sortie de Traefik 2.3.0-rc2. Cette nouvelle version apporte quelques changements, et notamment :

L’ajout d’un nouveau service : Traefik Pilot
La possibilité d’ajouter des plugins à Traefik
L’ajout du provider ECS

J’ai déjà abordé les deux premiers points sur mon blog personnel et je vais m’intéresser ici au support du backend ECS (Elastic Container Service) sur AWS via un nouveau provider Traefik.

Traefik 2.3 : Vers les plugins et au-delà!

Wed, 22 Jul 2020 19:30:27 +0000

Mise à jour le 22/12/2021

Ce contenu a été mis à jour le 22/12/2021 pour pointer vers la version 2.5.5 de Traefik Proxy et Kubernetes 1.20.

Traefik Pilot n’est plus en beta, donc la ligne de lancement a été modifiée pour refléter cet état.

Traefik 2.3 (nom de code : Picodon - le picodon est un fromage, que vous pouvez voir en bannière de cet article) est disponible en release candidate depuis quelques jours. Plus qu’une simple incrémentation de version, il apporte son lot de nouveautés.

Pourquoi et comment je me suis débarrassé de Disqus

Mon, 20 Jul 2020 20:27:41 +0000

Mise à jour le 22/12/2021

Ce contenu a été mis à jour le 16/12/2021 pour pointer vers la version 2.5.5 de Traefik Proxy et Kubernetes 1.20

Dernièrement, j’ai fait quelques changements sur ce blog, discrètement. L’un des principaux changements est la gestion des commentaires, au revoir Disqus, bonjour Commento. Je vais vous expliquer pourquoi…

Un peu d’histoire de ce blog

Au commencement (je parle de février 2019, pas de temps anciens) de ce blog, mon but était assez simpliste : je voulais partager mes connaissances, ma vision sur certains sujets et parler d’anecdotes en tous genres. Un an et demi et une quarantaine de posts plus tard, objectif atteint!

Ce que nous apprend (ou rappelle) le hack de Twitter

Sat, 18 Jul 2020 20:59:59 +0000

Il y a quelques jours, Twitter a été la cible d’un hack invitant, via des “comptes vérifiés”, les utilisateurs à envoyer des BitCoins pour en recevoir le double. Je vous propose un petit post sur ce que nous pouvons retenir de cette attaque, du point de vue sécurité informatique.

Disclaimer

Cet article n’a pas pour ambition de faire une énième analyse de cette attaque, mais plutot de rappeler des règles de base de sécurité informatique que cette attaque me rappelle.

"Il faut recruter des femmes dans l'IT"

Wed, 15 Jul 2020 07:51:58 +0000

Je vois et j’entends régulièrement dire qu’“il faut recruter plus de femmes dans l’IT”. Derrière cette phrase se cachent pourtant beaucoup de choses.

Dans ce post, je vais vous donner mon avis sur la présence des femmes dans les métiers de l’IT.

Les faux a priori

Cela fait plusieurs dizaines d’années que l’on répète en boucle que l’IT est un monde d’hommes, on le répète tellement qu’on finit par croire que c’est réel…

Le télétravail est-il (vraiment) la réponse ?

Wed, 08 Jul 2020 18:34:15 +0000

Depuis le début du confinement, le télétravail est devenu la norme pour beaucoup, dont je fais partie, toutefois, le retour au bureau se profile, et j’entends déjà les premiers mécontents à ce sujet. Petit post concernant mon point de vue.

Parlons du CoVid

Avec la propagation du CoVid et le confinement, le télétravail est devenu obligatoire pour beaucoup d’entreprises, afin de ne pas être contraintes de fermer. Certaines entreprises se vantant même d’être dans celles qui font le plus de télétravail quand 2 mois plus tôt elles avaient du mal à autoriser 2 à 3 jours dans le mois… mais passons.

Transformez votre pipeline AWS DevSecOps en bunker - Partie 1

Thu, 18 Jun 2020 15:16:01 +0000

Ce billet a été co-écrit par Victor Grenu. Qui travaille en tant que Cloud Architect

Introduction

Dans cette série, nous parlerons de l’émergence du mouvement DevSecOps, et plus particulièrement, quels sont les avantages de l’introduction d’une approche DevSecOps sur vos pipelines CI/CD existants.

Pipeline CI/CD

Pour vous donner un peu de contexte, vous trouverez dans le diagramme ci-dessous un pipeline standard de CI/CD.

DevSecQuoi?

Le DevSecOps pourraient être définies comme un passage d’une équipe centrale de sécurité interne à l’inclusion de pratiques de sécurité dans les équipes DevOps existantes : DevSecOps

Mon setup de télétravail

Thu, 11 Jun 2020 07:20:15 +0000

Comme beaucoup, je suis en télétravail “forcé” depuis plusieurs semaines. Bien avant le CoVid, faisait déjà régulièrement du télétravail, j’avais investi un peu de temps (et d’argent) pour avoir un setup qui me permettait de travailler au mieux de chez moi. Petit tour d’horizon…

Les liens Amazon que vous trouverez plus bas ne sont pas sponsorisés, et sont simplement mis à titre de référence.

Mon besoin

J’ai un bureau avec un ordinateur personnel, j’ai deux écrans, un clavier et une souris au top. Mon but est de pouvoir utiliser ce matériel sur mon PC personnel et celui de mon client.

La difficulté de la lutte antibot sur le web

Tue, 02 Jun 2020 07:11:15 +0000

Les robots, appelés plus couramment bots, pullulent aujourd’hui sur Internet. Il représente une part du trafic Internet global non négligeable.

Aujourd’hui, je vous propose de découvrir le monde des bots de l’Internet.

Des bots… mais pour quoi faire ?

La première question que l’on pourrait se poser serait de savoir pourquoi des bots se baladent en liberté sur Internet.

Vous utilisez, parfois sans le savoir, des bots quotidiennement lorsque vous naviguez sur Internet. Vous avez lancé une recherche sur un moteur de recherche, un bot l’a indexé auparavant pour vous. Une grosse partie des messages d’entreprises présents sur les réseaux sociaux proviennent de bots qui les publient en leurs noms.

Pourquoi est-ce que je tiens à mes données personnelles

Mon, 25 May 2020 10:54:24 +0000

Je suis dans l’IT depuis assez longtemps pour connaître la valeur des données personnelles. Il s’agit de données très précieuses pour les entreprises, leur permettant de cibler toujours plus efficacement leur public.

J’ai travaillé durant 3 ans pour Médiamétrie qui, en France, réalise des études et sondages pour les entreprises ainsi que la plupart des mesures d’audience pour les chaines de télévision et les radios.

Ce qui ressortait des études est souvent la même chose, ce qui est intéressant n’est pas la masse, c’est la CSP (Catégorie socioprofessionnelle). Savoir que TF1 a fait 12% d’audience la veille est une information, savoir que les “personnes responsables des achats” (de mémoire, nom commercial pour “homme/femme au foyer”) de 30 à 40 ans représentaient 26% des parts de marché est bien plus précieux.

Créons nos utilisateurs

Mon, 11 May 2020 06:59:11 +0000

Maintenant que nous avons vu les bases de l’IAM, je vous propose que nous créions nos premiers utilisateurs.

Pour les besoins de ce tutoriel, nous allons créer trois utilisateurs :

Un utilisateur console, qui aura des droits sur l’ensemble d’Amazon, mais uniquement en lecture seule, il nous permettra de contrôler nos déploiements.
Un utilisateur programmatique, qui nous permettra de faire nos déploiements. Pour ce dernier, nous appliquerons la politique du least privilege, et nous n’allons pour l’instant lui donner aucun droit.
Un utilisateur “Superadmin” programmatique, qui permettra de piloter le compte de déploiement (dans une infrastructure classique, il s’agit souvent d’une autre équipe, qui va créer le compte de déploiement)

Créer l’utilisateur console (web)

Nous allons donc commencer par créer notre utilisateur console. Pour ce dernier, nous lui donnerons une AWS managed policy lui donnant un accès en lecture seule sur l’ensemble du compte.

Utilisateurs et Rôles

Mon, 11 May 2020 06:59:03 +0000

Nous l’avons vu précédemment, AWS permet de créer des policies qui vont positionner des autorisations.

Maintenant comment “connecte-t-on” ces dernières à quelque chose de concret, d’utilisable, comme un utilisateur.

Il faut savoir qu’AWS fait un distinguo entre deux types d’utilisations:

Les utilisateurs
Les rôles (et instance profile dont je ne parlerais pas maintenant)

Les utilisateurs

Les utilisateurs sont comme leur nom l’indique … des utilisateurs, c’est vous et moi. Ce sont nos logins AWS par exemple.

Accélérez le test de vos fonctions lambda avec Docker

Mon, 27 Apr 2020 06:00:00 +0000

Lambda est un outil AWS très puissant. L’exécution de scripts en mode serverless permet de réduire drastiquement les coûts et la complexité d’avoir à gérer une infrastructure scalable, néanmoins, tester directement ses fonctions sur Lambda peut parfois être frustrant, car nécessitant des allers retours entre le poste de développement et l’environnement AWS.

Il existe des fonctionnalités de tests intégrées au toolkit AWS pour les éditeurs les plus populaires (pour Microsoft Visual Studio Code / PyCharm, par exemple), néanmoins, cela restreint les éditeurs possibles et créé une adhérence que l’on ne souhaite pas particulièrement.

Le root account

Sat, 25 Apr 2020 08:41:51 +0000

Vous venez de créer votre compte Amazon Web Service, félicitations!

L’adresse mail avec laquelle vous allez vous connecter est très importante, en effet ce compte est couramment appelé le root account.

Nous allons faire le nécessaire pour sécuriser ce compte dans l’étape suivante, mais il est d’abord important de comprendre à quoi sert ce compte.

Un compte pour les dominer tous

Le root account est le compte maître de votre compte AWS. Ce compte est le seul à :

Chiffrement de bout en bout ou chiffrement en transit : quelles différences?

Mon, 20 Apr 2020 15:35:55 +0000

Avec la crise du coronavirus, le recours à des technologies externes est nécessaire.

Pour ce post, je vais parler (entre autres) de Zoom, l’application à la mode pour faire des conférences vidéo qui jouent sur les termes pour la sécurisation de leur solution.

Chiffrer les échanges, pourquoi ?

Pourquoi faisons-nous du chiffrement? Il peut y avoir beaucoup de raison, la plus évidente est pour éviter l’interception des données.

Dans le cadre d’un échange chiffré, quand bien même mon flux de données serait intercepté, l’impact serait nul, puisque l’attaquant serait dans l’impossibilité de lire ce flux, en supposant bien sûr que j’ai mis en place un chiffrement assez fort.

Déployer automatiquement ses thèmes Ghost avec CircleCI

Tue, 07 Apr 2020 07:26:56 +0000

Comme vous pouvez le voir, ce site utilise le CMS Ghost. De plus, j’utilise un thème que je modifie ponctuellement en fonction de mes besoins, comme par exemple pour ajouter le multi-auteur qui n’était pas actif nativement.

Néanmoins, le défaut est que Ghost nécessite à chaque fois de redéployer le thème via le backoffice. Il faut de plus le compresser avec un nom unique à chaque fois.

Rien d’énormément bloquant, sauf que lorsqu’on travaille sur certaines améliorations, les allers-retours pour les tests peuvent être nombreux.

Je me suis fait hameçonner, mais c'est pour la science!

Mon, 30 Mar 2020 05:00:00 +0000

On entend souvent parler de scam, de phising, ou leurs équivalents en français, l’hameçonnage et l’arnaque sur internet.

Aujourd’hui, je vous propose un petit billet spécial : je me suis fait volontairement hameçonner pour vous montrer l’envers du décor de ce monde!

Point TRES important!

Les manipulations que vous allez voir ci dessous (et notamment le fait d’aller volontairement sur un site de phising) peuvent être dangereuses pour votre système et/ou vos données personnelles. Elles ont été réalisées dans un environnement “bac à sable” (sandbox) et ne doivent pas être reproduites sans protection préalable.

Confinement : Danger sur les SI

Mon, 23 Mar 2020 07:49:28 +0000

Depuis une semaine maintenant, nous sommes pour beaucoup confiné à domicile. Le télétravail a été l’arme dégainée par beaucoup d’entreprise pour parvenir à poursuivre leur activité, et beaucoup ne comprennent donc pas pourquoi certaines entreprise qui ne pratiquaient pas ou peu de télétravail arrivent maintenant à fonctionner en télétravail complet. De même, certains ne comprennent pas que même dans le domaine de l’informatique, il existe toujours des personnes devant travailler sur site. Petit tour d’horizon…

J'ai testé pour vous : Raspberry Pi imager

Tue, 10 Mar 2020 09:08:18 +0000

Il y a quelques jours, la Raspberry Pi foundation annonçait la sortie d’un nouvel utilitaire pour déployer son OS sur son Raspberry.

Ayant 2 Raspberry à réinstaller, je me suis dis que j’allais le tester pour vous. Petit tour d’horizon.

Installation user friendly

J’en parlais la semaine dernière, l’un des défis de Linux est d’arriver à être plus accessible pour les utilisateurs non techniques.

Cette utilitaire s’adresse particulièrement à ce type d’utilisateur, vu que l’installation est très simple à côté des alternatives existantes.

Traefik 2 - Reverse proxy dans Kubernetes

Thu, 05 Mar 2020 23:00:00 +0000

Aujourd’hui, nous déployons de plus en plus d’applications et de micro-services dans Kubernetes. Gérer tous les points d’entrée de ces applications peut être problématique. Pour faciliter cette gestion, il existe des ingress controller, Traefik est l’un d’entre eux…

Post disponible sur le blog de WeScale : https://blog.wescale.fr/2020/03/06/traefik-2-reverse-proxy-dans-kubernetes/

Tous les systèmes d'exploitation sont mauvais!

Mon, 02 Mar 2020 08:25:03 +0000

Je travaille dans le monde de l’IT depuis ma majorité, c’est à dire un peu plus de 14 ans maintenant.

Une des seules règles constantes que j’ai toujours constatée et que l’OS que l’on aime est toujours mieux que tous les autres.

Les perles que j’ai entendu autour de moi

Parmi les phrases que je peux entendre souvent, je pourrais en citer quelques une :

Comment tu veux développer sous Windows?
Un MacBook, c’est un PC avec une pomme à 1K dessus
Linux c’est comme un Mac, mais sans la stabilité

Je pourrais continuer longtemps ainsi.

Le syndrome de l'imposteur

Mon, 24 Feb 2020 06:57:52 +0000

Il y a tout juste un an, je démarrais ce blog. Plus qu’un passe-temps, ce dernier m’a permis de prendre confiance en moi et mes capacités.

J’en ai déjà parlé par le passé, de par ma non-formation professionnelle, je suis souvent entouré de personnes diplômées et très compétentes, et j’ai toujours eu cette gêne, celle de ne pas me sentir à ma place, d’être un imposteur à mon poste.

Un problème humain plus que technique

Quand je regarde, dans toutes mes missions, je n’ai pourtant que très rarement eu des commentaires négatifs. Mes clients ont toujours été satisfaits de mon travail. Néanmoins, j’avais l’impression d’usurper un poste que je ne méritais pas autant que des personnes qui avaient fait de longues études pour l’atteindre.

Les GAFAM : Souriez, vous offrez vos données

Tue, 18 Feb 2020 07:33:29 +0000

Les GAFAM, ils sont partout, parfois clairement visibles, comme lorsque vous allez sur Google, parfois beaucoup moins, comme par exemple Amazon qui détient le site IMDB.

Les GAFAM, qu’est-ce c’est ?

Je met ce petit point pour ceux qui ignoreraient en quoi consiste les GAFAM. Ce qu’on appelle couramment ainsi ne sont autres que :

Google
Apple
Facebook
Amazon
Microsoft

Ces cinq entreprises dominent aujourd’hui largement internet, et il est très difficile de s’en passer réellement.

Est-ce vraiment plus vert dans le cloud ?

Mon, 10 Feb 2020 19:35:31 +0000

“It’s greener on AWS”, je ne compte plus le nombre de fois où j’ai entendu cette phrase lors de conférence autour d’Amazon.

Ce mantra que se répètent des entreprises pour avoir l’air cool est-il vrai ?

L’écologie, nouveau fer de lance des entreprises

D’année en année, les entreprises, et surtout les grands groupes, mettent en avant leur effort pour être toujours “plus vert”. Chaque entreprise étant bien sûr plus engagée que son concurrent. Je me demande d’ailleurs comment nous pouvons avoir encore des problème liés à la pollution avec autant d’engagement…

Traefik 2 - Configuration du TLS (Rang A+ sur SSLLabs)

Mon, 03 Feb 2020 06:50:00 +0000

Mise à jour le 22/12/2021

Ce contenu a été mis à jour le 22/12/2021 pour pointer vers la version 2.5.5 de Traefik Proxy et Kubernetes 1.20, le middleware modifiant les headers, ainsi que les ciphers autorisés ont aussi été mis à jour

Disclaimer : De part les descriptions que je donne ci dessous, ce post sera plus long que mes post habituels.

La sécurité est l’affaire de tous. En tant qu’architecte sécurité, je suis quelqu’un d’assez sensible à ces sujets.

Extraction des accesslogs Traefik et création de dashboard

Mon, 20 Jan 2020 06:30:00 +0000

Mise à jour le 22/12/2021

Ce contenu a été mis à jour le 22/12/2021 pour pointer vers la version 2.5.5 de Traefik Proxy et Kubernetes 1.20

Il y a quelques semaines, je vous ai proposé un article expliquant la migration de Traefik 1 à Traefik 2. Je vous propose cette fois d’aborder un point crucial dans la mise en place d’une application, son monitoring.

Cet article explique comment j’ai mis en place mon dashboarding, il n’explique en aucun cas du dashboarding “entreprise” devant être plus fiable et complet sur certains points.

La difficulté de la mise en place du DevOps dans une entreprise

Mon, 13 Jan 2020 08:17:36 +0000

“DevOps”, ce mot, on ne peut plus voir une offre d’emploi dans l’IT à des postes d’infrastructure ou développement sans qu’il soit évoqué. De nombreuses entreprises prennent le virage du DevOps, les idées et les notions se mélangent, la cible est souvent floue, alors que les objectifs sont limpides, conduire cette transformation est donc loin d’être une tâche aisée.

Cet article est écrit en collaboration avec Pierre Galdon, ami ingénieur SysOps avec qui j’ai travaillé durant plusieurs années.

Petit guide de migration de Traefik 1 à Traefik 2

Mon, 06 Jan 2020 06:03:56 +0000

Mise à jour le 16/12/2021

Ce contenu a été mis à jour le 16/12/2021 pour pointer vers la version 2.5.5 de Traefik Proxy et Kubernetes 1.20

J’ai récemment migré le front de ce blog de Traefik 1 à Traefik 2, et le moins que l’on puisse dire, c’est que ce n’est pas une partie de plaisir.

Mon cas d’usage de Traefik

J’utilise Traefik en tant que load balancer/reverse proxy front dans une infrastructure Kubernetes. Mon utilisation est très basique. En fonction de certains chemin et/ou domaine, je redirige vers des pods distincts. Dans le cas ci dessous, je vais considérer que je n’ai qu’un pod, ce blog. Je gère aussi mes certificats avec Traefik via Let’s Encrypt.

"Quand je serais grand, je veux être YouTubeur"

Mon, 30 Dec 2019 07:21:27 +0000

Je vous propose aujourd’hui un post inspiré d’une phrase de ma femme dernièrement, qui travaille avec des enfants en école primaire et maternelle. Lorsqu’elle demande ce que veulent faire les enfants plus tard, la réponse est souvent la même : YouTubeur.

Cet article est écrit en collaboration avec Julien Monrousseau, ami analyste d’exploitation, qui est en train de lancer sa petite chaîne YouTube axée autour des jeux vidéos.

YouTube, créateur de star “2.0”

A Noël, ne donnez pas les clés de votre maison aux hackers

Sun, 22 Dec 2019 20:46:56 +0000

La période de Noël est une période propice aux hacks en entreprise, avec les congés de fin d’années, il y a en effet moins d’effectif, et donc moins de réactivité. Mais il serait simpliste de ne voir que cet aspect.

L’enfer a un emballage cadeau

Ces dernières années, la mode est aux objets connectés en tout genre : enceintes, montres, balances, aspirateurs, et l’objet à la mode cette année, les caméras connectées. Tous ces gadgets peuvent être très utiles et avoir des fonctionnalités très sympathiques, il n’empêche qu’ils sont aussi l’accès rêvé à votre domicile pour un pirate. Malheureusement, ces périphériques sont très souvent “léger” en termes de sécurité embarquée. On pourrait penser que ce n’est pas trop gênant, mais depuis un périphérique compromis, il peut éventuellement être possible d’infecter tout un réseau pour extraire des données par exemple.

Comprendre le succès du modèle "Serverless"

Thu, 19 Dec 2019 12:30:30 +0000

Quiconque à déjà fait de l’infrastructure sur un provider cloud a déjà entendu parler du modèle serverless, derrière ce nom se cache en réalité beaucoup d’aspects. Petit tour d’horizon…

Le modèle serverless : Evolution logique des containers ?

Depuis maintenant plusieurs années, on parle de containers. Révolution de ces 5 dernières années, les containers (et les orchestrateurs) ont profondément changé l’approche de l’infrastructure, permettant de déployer de plus en plus simplement et rapidement des applications composées de microservices. Je ne vais pas parler de cette évolution ici.

Terraform VS CloudFormation : Quel outil pour déployer sur AWS?

Fri, 13 Dec 2019 11:00:00 +0000

Terraform ou CloudFormation, les deux outils sont souvent mis en opposition, demandant au DevOps de trancher et choisir un outil ou l’autre. Pourtant, de mon point de vue, ces deux outils n’adressent pas forcément les même besoins.

Se poser la question de son besoin exact

Avant de savoir vers quel outil aller, il est important de savoir quel est le besoin exact qu’on doit adresser:

Est-ce que je veux déployer uniquement sur AWS?
Est-ce que je dois m’interfacer avec des outils (notament CI/CD) déjà existants?
Est-ce que je veux héberger moi-même la solution de déploiement ou dépendre d’un service managé?
Est-ce que j’utilise déjà d’autres outils de l’écosystème HashiCorp (Nomad, Packer, Consul ou Vault par exemple)?

En effet, avec ces questions on peut déjà cibler plus facilement l’outil que l’on souhaite utiliser.

"Arrête de jouer aux jeux vidéo, c'est pas comme ça que tu auras un vrai boulot!"

Wed, 04 Dec 2019 21:01:05 +0000

“Arrête de jouer aux jeux vidéo, ce n’est pas comme ça que tu auras un vrai boulot !”, cette phrase, je ne compte plus le nombre de fois où je l’ai entendue. Vous l’aurez compris, aujourd’hui, je veux vous parler d’une de mes passions, les jeux vidéo.

Dans l’esprit de beaucoup de gens, jouer est quelque chose de futile, qui ne cultive qu’une chose : l’oisiveté. Sans vouloir dire que c’est complètement faux, car il y a un peu de vérité dans ce point, je ne suis pas forcément d’accord.

Non, le cadenas près de votre barre d'adresse ne veut pas dire qu'un site est "fiable"

Sat, 21 Sep 2019 07:27:39 +0000

Je vois régulièrement ce message sur des sites marchand, et je constate que des amalgames sont souvent fait sur ce qu’est une connexion sécurisée.

Sécuriser l’échange avec le serveur web

La présence d’un verrou près de la barre d’adresse signifie que ce site utilise un certificat TLS pour échanger les données avec vous. Cela permet que les données échangées avec vous sont chiffrées. Le but premier d’un certificat TLS est d’empêcher les attaques de type “man in the middle”

Linux sans SSH ? C'est possible avec Amazon SSM

Thu, 18 Jul 2019 07:10:54 +0000

Dans un parc informatique possédant des machines linux, le SSH est quelque chose de classique. Très souvent scanné, régulièrement mal sécurisé, il s’agit aussi d’une porte d’entrée possible pour des attaques. De plus la problématique de la tracabilité du SSH pousse souvent les entreprise à mettre en place des process spécifiques.

Sur Amazon, il est possible depuis l’année dernière de se connecter en SSH sans avoir besoin de clé, de login ou de mot de passe… et sans SSH.

Comment installer Docker sur un Raspberry Pi

Mon, 15 Jul 2019 17:13:20 +0000

J’ai à la maison un certain nombre de raspberry, ces micro-ordinateurs de la taille d’une carte de crédit. Petits et puissants, il me servent à de multiples utilisations, comme par exemple pour avoir un mediacenter sur un téléviseur trop ancien pour le faire nativement.

J’ai même dernièrement craqué pour le Raspberry Pi 4 sorti le mois dernier (je suis faible face à un nouveau jouet) afin d’en faire un serveur d’application, avec ses 4Go de RAM, il y a de quoi faire.

Les emplois saisonniers, porte d'entrée des pirates

Thu, 11 Jul 2019 20:18:49 +0000

Avec la période de vacances estivales qui commence, cela signifie aussi le début des emplois saisonniers. Attention toutefois, cela signifie aussi que c’est la porte d’entrée des pirates!

Méconnaissance de l’entreprise

Par définition, le saisonnier ne connait pas particulièrement votre entreprise, les méthodes de travail, les interlocuteurs etc… Cela signifie qu’il sera sans doute plus sensible aux tentatives de phising. Pourquoi ? Quelqu’un ne connaissant pas les habitudes de l’entreprise ne serait peut-être pas surpris de recevoir un mail avec un fichier Excel de facture en pièce jointe par exemple, s’il ignore que ce ne sont pas vos manières de fonctionner.

Le "chaos day", un outil pour rapprocher Devs et Ops ?

Tue, 09 Jul 2019 07:50:10 +0000

Je suis chez mon employeur actuel depuis plusieurs années, et je constate comme chez d’autres employeurs, que des clivages existent malheureusement entre développeurs (Devs) et ingénieurs de production (Ops).

Un rôle différent au sein de l’IT

Peut-on vraiment en vouloir à des gens dont le métier, la formation, les attentes et les objectifs sont différent d’avoir des difficultés à se comprendre ?

Attention, je ne jete la pierre d’aucun des deux côtés, mais force est d’admettre que les rôles des deux parties ne sont pas les mêmes, quand bien même dev et ops sont complémentaires pour avoir une production efficace et performante, tout en étant innovant.

La sécurité : Nouvel enjeu majeur des entreprises

Fri, 31 May 2019 07:11:54 +0000

La sécurité est un terme que l’on entend souvent en ce moment, pourtant derrière ce simple mot se cachent beaucoup d’aspects.

Cet article contient de nombreux liens de sources ou de définitions de certains termes, n’hésitez pas à cliquer sur ces derniers.

LinkedIn, WhatsApp, iCloud, Renault : Le point commun entre ces entreprises ? Elles ont toutes été victimes à un moment ou un autre d’une compromission de leur système d’information.

Recrutement dans l'IT : Les rôles se sont inversés

Wed, 15 May 2019 20:52:17 +0000

Comme beaucoup de personnes évoluant dans le monde du travail aujourd’hui qui se font aujourd’hui chasser, je suis présent (entre autre) sur des réseaux sociaux tels que LinkedIn. Pourtant, de part mon passé professionnel, je fais parti des gens qui ont eu beaucoup de mal à décrocher leur premier emploi.

Je fais en effet parti des personnes qui n’ont pas de diplôme supérieur, mon cursus scolaire s’étant arrêté au baccalauréat.

Migrer son infrastructure dans AWS de manière optimale

Fri, 12 Apr 2019 12:39:56 +0000

Le cloud apparaît comme un Eldorado pour beaucoup d’entreprises: déploiement plus simple des applications, réduction des coûts, utilisation de technologies innovantes, autant d’avantage qu’Amazon fait miroiter devant ses potentiels clients, mais est-ce si simple ?

AWS, et le cloud de manière plus générale, peut être un excellent levier sur les points cités précédemment, néanmoins il est assez facile d’y perdre des plumes. Dans cet article, je vais lister ce qui, pour moi, me semble les erreurs à éviter.

AWS Summit 2019 - Paris : Entre succès et déception

Thu, 04 Apr 2019 18:27:27 +0000

J’étais il y a quelques jours à l’AWS Summit à Paris. Pour ceux qui ne connaissent pas cet événement, il s’agit d’une journée entière de conférences autour du cloud d’Amazon, AWS. Ce rendez-vous est assez intéressant car il permet d’avoir les retours d’expérience de beaucoup d’entreprises venant de milieux différents.

Pour ma part, j’y allais pour la seconde fois, la première fois étant en 2017. J’attendais cette journée vu l’agenda des conférences annoncées.

Et si nous nous disions que le cloud est juste un datacenter comme un autre?

Thu, 28 Feb 2019 19:54:58 +0000

Je travaille au quotidien sur des infrastructures sur le cloud d’Amazon (AWS pour les intimes), et je réfléchis à la manière la plus adaptée de mettre en place de nouvelles solutions techniques sur cette plateforme.

Amazon, et le cloud de manière générale, a apporté une liberté impressionnante :

Déployer sur des infrastructures taillées sur mesure
Apporter de l’élasticité dans les infrastructures
Pouvoir profiter de machines à la demande

Néanmoins, ces nouvelles approches de l’infrastructure ont aussi apporté leur lot de points négatifs.

À propos

Mon, 01 Jan 0001 00:00:00 +0000

Je suis Teddy Ferdinand, Head of CyberSOC, spécialisé en cybersécurité opérationnelle, cloud security, AWS, DevSecOps et automatisation.

J’écris ici sur les sujets que je rencontre sur le terrain : cybersécurité, cloud, détection, sécurité opérationnelle, IA, privacy, outillage et culture tech.

CV

Mon, 01 Jan 0001 00:00:00 +0000

Cloud · Cybersécurité · DevSecOps · Leadership

Teddy Ferdinand

Head of CyberSOC / Cloud & Security Leader

Leader sécurité et cloud avec 12+ ans d’expérience entre Ops/SRE, architecture cloud, cybersécurité opérationnelle et management d’équipes. J’ai construit le CyberSOC groupe d’AVIV depuis zéro dans un environnement AWS multi-comptes à grande échelle, avec une Purple Team européenne orientée détection, réponse à incident, gouvernance cloud et automatisation.

LinkedIn Blog English version

Localisation : Esbly, Île-de-France
Langues : Français / Anglais professionnel
Domaines : CyberSOC, AWS, Cloud Security, DevSecOps, SIEM, EDR, Kubernetes
Positionnement : construire, industrialiser et faire grandir des opérations sécurité efficaces

Profil

Je suis un profil hybride sécurité opérationnelle / cloud / plateforme, avec une forte capacité à passer de la stratégie à l’exécution terrain.

Recherche

Mon, 01 Jan 0001 00:00:00 +0000

Rechercher dans les articles.

Teddy Ferdinand

Pourquoi `curl | bash` est une mauvaise habitude dangereuse

L’IA allait tout sécuriser, automatiser et coder (ou pas) : pourquoi on réembauche des cybersoc, ops et devs en 2026

Jeux vidéo : et si votre anti-cheat était la plus grosse faille ?

Les nouvelles des nuages - Septembre 2023

L’IA Générative dans la Lutte contre les Menaces

Le biais du survivant dans la cybersécurité : pourquoi se fier uniquement aux incidents passés peut être risqué

ChatGPT : L'IA qui va tous nous mettre au chômage (ou pas)

Twitter VS Mastodon : Et si on parlait de sécurité?

Les techniques d'attaque : comprendre l'ARP poisoning

Avertissement

L’ARP, c’est quoi ?

Pourquoi vous utilisez mal l'IAM d'AWS

Parce que la doc vous indique de mettre du wildcard

Quand vos certificats TLS vous trahissent

Un besoin de transparence

Fonctionnement du TLS « classique »

Démarrer un blog en 2022

Pourquoi je peux en parler ?

Et si on responsabilisait tout le monde sur les mots de passe ?

Avoir un mot de passe fort est important…

…mais ce n’est pas la seule chose importante

Les nouvelles des nuages - Mars 2022

Février est trop court !

La sélection du mois

Okta victime d’une intrusion

Un blog Hugo sur Scaleway avec Github et Github actions - Partie 3/3

Résumé des épisodes précédents

Automatiser le déploiement sur Scaleway

Créer un utilisateur API

Les nouvelles des nuages - Janvier 2022

Bonne année 2022

La sélection du mois

Quand saboter son projet devient une manière de se faire entendre

Un blog Hugo sur Scaleway avec Github et Github actions - Partie 2/3

Résumé de l’épisode précédent

Un blog Hugo sur Scaleway avec Github et Github actions - Partie 1/3

[Triple format] Interview de Carl CHENET, créateur du journal du hacker

Juniors : mes 12 astuces pour mieux réussir vos entretiens techniques

Avant l’entretien

1) Se renseigner sur l’entreprise

L'IT en 2022 : Les 5 sujets "tendances" que je vois cette année

La part du télétravail va augmenter

Les nouvelles des nuages - Décembre 2021

Enfin une newsletter !

La sélection du mois

Log4j — Quand l’open source porte le web mondial

Log4j depuis l'œil de la tempête

L’importance d’avoir un inventaire à jour

Le jour où j'ai compris que je n'étais pas un (bon) développeur

Situation initiale : seul au monde

Les GAFAM aussi ont des incidents

Facebook : Tu me vois, tu me vois plus !

Pourquoi c'est important de publier chez soi

Un VPN protège-t-il réellement votre vie privée ?

Travailler en public, ça s'apprend!

Attention aux documents confidentiels !

Traefik 2.5, quoi de neuf ?

Bienvenue au HTTP/3

API VS bibliothèques : comprendre l'intérêt

Contenu créatif : le dilemme de la monétisation

Pourquoi monétiser ?

Cloudflare : configurer rapidement avec Terraform et Traefik

Cloudflare : Pourquoi utiliser un CDN?

Attirer les plus jeunes vers l'IT

Toi aussi tu aimes t’entendre parler sur TikTok, deviens politicien !

Sauvegarder... un sujet (très) complexe

Comment mon serveur est revenu rapidement en ligne

Un drame en 3 actes

Mon métier de Cloud Security Architect

OVH brûle, Internet hurle

Petit rappel : OVH c’est quoi ?

Ces petites phrases de l'IT qui m'agacent

On a toujours fait comme ça

Bref, j'ai passé ma certification AWS

Hard mode: ON

De l'audimetrie de Traefik libre avec Matomo

[IT] Le salaire n'est pas le seul critère de recrutement

Pour une posture efficace de la sécurité

French Tech - Interview de Xavier Pestel aka Xavki, YouTubeur émérite