- LockBit 3.0 · Airline
- SaaS multi-tenant · Tech & Business
- Migration messagerie · CAGECFI
- Albatros · Suite aviation
- CargoPro · LTA Revenue
- GIZ/CCI Togo · TPME
Réponse à l’attaque LockBit 3.0 & refonte de l’infrastructure data
Compagnie aérienne régionale · Secteur aviation · Janvier 2024
Contexte & problème
En janvier 2024, une attaque ransomware LockBit 3.0 a chiffré l’intégralité du datacenter : tous les hyperviseurs ESXi et leurs machines virtuelles simultanément. Messagerie, revenue management, comptabilité, applications internes, bases de données SQL Server (versions hétérogènes), Oracle 19c, MySQL 8, PostgreSQL 14, FTP et Active Directory — tout était hors service. Les vols ont continué grâce à des canaux de communication alternatifs, mais les opérations business étaient totalement bloquées.
Rôle & actions menées
Lead technique pour la restauration data : assessment du datacenter, isolation des serveurs infectés, évaluation de l’intégrité des sauvegardes disponibles, élaboration et exécution du plan de reprise. Coordination avec le Sys Admin pour l’intégration de nouveaux serveurs physiques et la reconstruction des couches basses (VMs, réseau IP). Remise en service du serveur FTP utilisé comme EFB avec les partenaires GDS multi-réseaux — élément critique pour la reprise commerciale.
Architecture déployée
Migration du parc hétérogène de 5 serveurs SQL Server (versions multiples) vers un cluster sécurisé 3 nœuds en production, uniformisé sous SQL Server 2019 avec mise à niveau de toutes les bases de données. Cluster 2 nœuds pour les environnements de test, même version. Nouveaux clusters MySQL 8 et PostgreSQL 15 provisionnés. Mesure de sécurité structurelle clé : l’ensemble des clusters de bases de données isolé dans un sous-réseau coupé d’internet, supprimant toute surface d’attaque directe depuis l’extérieur. Restauration intégrale en 48 heures, 99,9% des données récupérées.
Processeur de fichiers temps réel (C# / .NET)
Conception et déploiement post-crise d’un composant automatisé de vérification, dispatch et alimentation en temps réel des services métier — réponse architecturale directe à la fragilité d’intégration révélée par l’attaque.
SMSI ISO 27001 déclenché par la crise
Plan de Traitement des Risques, Déclaration d’Applicabilité (SoA), sauvegarde chiffrée multi-niveaux, tests DRP (Annexe A.17). L’organisation est sortie de la crise avec une infrastructure plus résiliente qu’avant l’incident.
Chronologie de la réponse
Jour 0
Détection & isolation des serveurs infectés
Jour 1
Assessment backup & plan de restauration data
Jour 1–2
Nouveaux serveurs, clusters, FTP/GDS remis en ligne
48 h
Restauration complète, clusters isolés opérationnels
Post-crise
SMSI ISO 27001, DRP, processeur fichiers temps réel
Technologies & standards
- SQL Server → 2019 cluster HA
- Oracle 19c
- MySQL 8
- PostgreSQL 14 → 15
- VMware ESXi
- Active Directory
- FTP / EFB · GDS multi-réseaux
- Isolation réseau (air gap DB)
- C# / .NET
- ISO 27001 A.16 / A.17
- DRP / PCA
Ce projet illustre ma capacité à intervenir sous pression maximale dans un environnement critique — et à transformer une crise en opportunité de renforcement structurel et sécuritaire du système d’information.
Audit, documentation & sécurisation d’une plateforme SaaS B2B multi-tenant orpheline
Technology & Business · Plateforme SaaS B2B · 2024–2025
Contexte & problème
Une organisation opérant une plateforme SaaS B2B multi-tenant se retrouve dans une situation critique : l’ingénieur fondateur de la plateforme a quitté l’organisation sans laisser aucune documentation. Le staff en place n’a qu’une maîtrise partielle du système. Les incidents de production sont devenus difficiles à diagnostiquer, et une migration vers un nouveau provider cloud (Contabo bare metal) était à planifier — sans cartographie de l’existant.
Double mission
Reverse engineering
Reconstituer et documenter intégralement l’architecture, les composants et les flux d’une plateforme sans documentation, pour rendre le système maintenable par l’équipe interne.
Audit des accès
Identifier et éliminer les accès non autorisés, renforcer la gouvernance IAM et préparer une base sécurisée pour la migration cloud à venir.
Déroulement de la mission
Phase 01
Immersion & cartographie
Sessions de travail avec le référent interne pour reconstituer les flux et les composants. Exploration directe de l’infrastructure, des logs et du code pour compléter les zones d’ombre.
Reverse engineeringPhase 02
Audit des accès & nettoyage IAM
Recensement exhaustif des comptes : comptes fantômes d’anciens employés/prestataires, droits excessifs non conformes au principe du moindre privilège, comptes partagés sans traçabilité. Suppression et restructuration.
Sécurité · ISO 27001Phase 03
Préparation migration cloud
Hardening de l’infrastructure Hyper-V et pfSense, implémentation RspamD et Fail2Ban, élaboration du corpus documentaire ISO 27001 (SOP, clause 7.5) pour sécuriser la transition OVH → Contabo bare metal.
Migration · HardeningLivrables produits
| Livrable | Contenu | Catégorie |
|---|---|---|
| Schéma d’architecture | Cartographie complète de l’infra, du réseau et des flux de données multi-tenant — inexistante avant la mission | Documentation |
| Documentation technique | Description des composants, APIs, dépendances et procédures de troubleshooting pour l’équipe interne | Documentation |
| Matrice des accès | Inventaire complet des droits, roles et utilisateurs · 9 accès non autorisés identifiés et révoqués | Sécurité · IAM |
| Plan de migration | Architecture cible sur Contabo bare metal, sécurisée by design, avec corpus documentaire ISO 27001 | Cloud · Migration |
Impact opérationnel
L’équipe interne dispose pour la première fois d’une base documentaire complète pour maintenir, faire évoluer et dépanner la plateforme de manière autonome. Les incidents de production sont désormais diagnosticables.
Impact sécurité
Surface d’attaque réduite : 9 accès non autorisés révoqués, principe du moindre privilège appliqué, traçabilité des comptes restaurée. Plateforme conforme ISO 27001 et prête pour migration sécurisée.
Technologies & standards
- Hyper-V
- pfSense
- RspamD
- Fail2Ban
- Active Directory / IAM
- OVH bare metal
- Contabo bare metal
- ISO 27001 · Annexe A.14
- ISO 27001 · Clause 7.5
- Secure by design
- Reverse engineering
Ce type de mission — reprendre en main un système orphelin, le documenter de zéro et le sécuriser — est l’une des situations les plus fréquentes dans les organisations qui ont grandi vite. C’est aussi l’une des plus risquées si elle n’est pas traitée avec méthode.
Migration de messagerie cloud critique — zéro interruption pour 200+ utilisateurs
CAGECFI SA · FinTech / Management · 2024
Contexte & enjeux
CAGECFI SA, société FinTech, devait migrer l’intégralité de sa messagerie d’entreprise vers un nouvel hébergeur cloud (Postfix/Dovecot sur bare metal). Pour une organisation financière, la messagerie est un service critique : toute interruption impacte directement les opérations, la relation client et la conformité. La migration devait être transparente pour les 200+ utilisateurs, avec garantie d’intégrité des données et sécurisation complète des flux dès le premier jour.
Défis techniques
- Migration de 200+ boîtes sans fenêtre de downtime acceptable
- Garantie d’intégrité des données (emails, pièces jointes, dossiers)
- Sécurisation from scratch des flux email sortants et entrants
- Déploiement Active Directory et gestion des identités (IAM)
Déroulement de la mission
Audit & cartographie de l’existant
Inventaire complet des boîtes mail, volumes de données, configurations DNS existantes et dépendances applicatives avant toute intervention.
Provisionnement de la nouvelle infrastructure
Déploiement et configuration du serveur Postfix/Dovecot sur le nouvel environnement bare metal cloud. Paramétrage des comptes, quotas et politiques de rétention.
Migration transparente des données
Transfert progressif des 200+ boîtes avec synchronisation en temps réel durant la phase de transition. Bascule DNS finale planifiée en dehors des heures ouvrées — zéro interruption perçue par les utilisateurs.
Sécurisation des flux & déploiement IAM
Configuration from scratch de SPF, DKIM et DMARC selon l’Annexe A.13 ISO 27001. Déploiement de l’Active Directory pour la gestion centralisée des identités et des droits d’accès.
Sensibilisation utilisateurs — antispam RspamD
Formation et sensibilisation des 200+ utilisateurs aux nouveaux filtres antispam RspamD, basés sur un apprentissage progressif (machine learning). Les utilisateurs apprennent à reclasser les faux positifs/négatifs pour entraîner le moteur — transformant chaque collaborateur en contributeur actif de la sécurité email.
Révision complète de la politique d’utilisation des emails
Refonte intégrale de la politique d’utilisation des messageries professionnelles : règles d’usage, bonnes pratiques de sécurité, gestion des pièces jointes, données confidentielles et conformité. Document opposable, validé par la direction et diffusé à l’ensemble des collaborateurs.
Sécurité du serveur mail
Fail2Ban — Protection contre les intrusions
Déploiement de Fail2Ban pour surveiller en temps réel les logs du serveur et bloquer automatiquement les adresses IP présentant des comportements suspects — tentatives de connexion par force brute, scans de ports, abus SMTP. Règles configurées sur Postfix, Dovecot et SSH.
RspamD — Filtrage antispam adaptatif
Intégration de RspamD comme moteur de filtrage antispam basé sur l’apprentissage progressif (Bayes). Le système améliore sa précision en continu grâce aux reclassifications des utilisateurs. Scoring multi-critères : SPF/DKIM/DMARC, réputation IP, analyse du contenu, listes noires.
Protocoles de sécurité email déployés
| Protocole | Rôle | Résultat |
|---|---|---|
| SPF | Définit les serveurs autorisés à envoyer des emails au nom du domaine — bloque l’usurpation d’expéditeur | Configuré from scratch · politique stricte |
| DKIM | Signature cryptographique des emails sortants — garantit l’intégrité et l’authenticité des messages | Clés générées et déployées · rotation prévue |
| DMARC | Politique d’authentification globale combinant SPF et DKIM — avec rapports de conformité | Politique reject · reporting activé |
Impact opérationnel
200+ collaborateurs migrés sans interruption. Intégrité totale des données garantie. Après migration, les utilisateurs ont été sensibilisés au fonctionnement de RspamD et participent activement à l’amélioration des filtres par reclassification — le système s’améliore avec l’usage.
Impact sécurité & gouvernance
Domaine protégé contre usurpation et phishing (SPF + DKIM + DMARC). IAM centralisé sous Active Directory. Politique d’utilisation des emails révisée et formalisée — l’organisation dispose désormais d’un cadre de gouvernance documentaire complet sur la messagerie professionnelle.
Technologies & standards
- Postfix
- Dovecot
- RspamD
- Fail2Ban
- Bare metal cloud
- Active Directory
- SPF
- DKIM
- DMARC
- DNS management
- IAM
- ISO 27001 · Annexe A.13
Migrer la messagerie d’une FinTech sans aucune interruption, c’est autant un défi de planification que de technique. La qualité d’une telle migration se mesure à ce que les utilisateurs ne remarquent pas : un lundi matin ordinaire, tout fonctionne — simplement sur une infrastructure plus sécurisée.
Albatros — Suite logicielle CORSIA & ops aviation (10+ modules, intégration CAE)
Compagnie aérienne régionale · Secteur aviation · Desktop Windows → migration web en cours · En production
Contexte & genèse
L’objectif premier d’Albatros était de produire les reportings réglementaires CORSIA (Carbon Offsetting and Reduction Scheme for International Aviation — ICAO), en l’absence de tout outil unifié disponible pour ce cadre spécifique. Face à ce vide, une suite complète d’outils connectés à une source de données unique a été conçue et développée de zéro, couvrant l’ensemble des processus opérationnels liés à ce reporting — et au-delà, la plupart des besoins métier de la compagnie.
Statut actuel
Modules principaux
Gestion des vols & reroutings
Planning des rotations, suivi des vols, horaires et liaisons. Gestion des reroutings (changements de routes en cours d’exploitation). Vue centralisée de l’activité opérationnelle.
Ops · ReroutingsGestion des équipages
Suivi des pilotes et PNC : licences, qualifications, validités, planning et conformité réglementaire.
RH · ConformitéGround Operations & Escales
Gestion des escales, coordination du handling, suivi des opérations au sol. Génération des mouvements arrivée/départ garants du FPR (Flight Performance Report) quotidien. Reportings hebdomadaires GroundOps intégrés.
Escales · FPR · ReportingGestion documentaire & AFRs
Centralisation des manuels, procédures et documents réglementaires. Intègre les AFRs (Aircraft Flight Reports) — documents de vol source des données primaires extraites pour tous les reportings.
Docs · AFR · RéglementaireReporting multi-domaines
Reportings CORSIA (ICAO), reportings hebdomadaires GroundOps, Flight Performance Report (FPR) quotidien. Tous alimentés depuis la même source de données unifiée.
CORSIA · FPR · GroundOpsReporting CORSIA (ICAO)
Module cœur du projet : génération des rapports réglementaires CORSIA de compensation carbone aviation, conformément aux exigences ICAO.
Réglementaire · ICAOArchitecture technique
| Couche | Technologie | Rôle |
|---|---|---|
| Interface utilisateur | C# WinForms / WPF | Application desktop Windows — ergonomie métier adaptée aux opérationnels |
| Logique métier | C# / .NET | Moteur de règles métier, workflows, calculs opérationnels et gestion des états |
| Persistance des données | MySQL / PostgreSQL | Bases de données relationnelles — modèle de données conçu pour l’aviation |
| Architecture globale | N-tiers | Séparation présentation / logique / données — maintenabilité et évolutivité |
Intégration externe — CAE Movement Manager
CAE Movement Manager · Intégration ASM
Albatros s’intègre à CAE Movement Manager — outil de référence mondial pour la gestion des mouvements aériens — via la génération et l’import de fichiers ASM (Advance Schedule Message). La création de vols dans Albatros alimente directement CAE, assurant la cohérence des données entre les deux systèmes.
Format ASM — Standard IATA
Le format ASM (Advance Schedule Message) est un standard IATA de communication inter-systèmes pour la planification des vols. Son implémentation dans Albatros assure une interopérabilité directe avec les outils professionnels de l’industrie aéronautique mondiale.
Impact opérationnel
Centralisation de 10+ processus métier sur une source de données unique — vols, équipages, escales, documentation et reporting CORSIA. La compagnie répond à ses obligations réglementaires ICAO (CORSIA) depuis une source unique qui alimente aussi les reportings GroundOps hebdomadaires, le FPR quotidien et CAE Movement Manager via fichiers ASM. Les AFRs sont la source primaire de toutes les données de vol.
Valeur architecturale
Conçu et développé intégralement par un seul ingénieur — de la modélisation de la base de données à l’interface utilisateur. Albatros est toujours en production, preuve que l’architecture choisie a tenu dans le temps face aux contraintes réelles d’une compagnie aérienne.
Technologies & domaines
- C# / .NET
- WinForms / WPF
- MySQL
- PostgreSQL
- Architecture n-tiers
- CORSIA · ICAO
- ASM · Format IATA
- CAE Movement Manager
- Aviation · Flight Ops
- Crew Management
- Ground Ops
- CORSIA · ICAO
- AFR · Flight Reports
- FPR · Flight Performance Report
- ASM · Format IATA
- Gestion de flotte
- Reroutings
- Migration web (en cours)
Albatros est né d’un besoin réglementaire précis — CORSIA — que le marché ne savait pas adresser. C’est ce type de situation qui révèle la valeur d’un ingénieur capable de concevoir, développer et faire évoluer seul un système complet : de la source de données unique aux interfaces opérationnelles, jusqu’à l’interopérabilité avec des outils de référence mondiale comme CAE Movement Manager.
CargoPro — Moteur de calcul de revenus LTA & excédents bagages (suite aviation)
Compagnie aérienne régionale · Secteur aviation · C# / .NET · En production depuis 2022
Contexte & besoin
La compagnie ne disposait d’aucun système unifié pour suivre et calculer les revenus liés aux frets et excédents de bagages générés dans ses escales et au hub. Les LTAs (Letter of Transportation Agreement) étaient traités manuellement, rendant impossible un reporting fiable et périodique sur l’activité cargo. CargoPro a été conçu pour automatiser l’intégralité de cette chaîne — du traitement des LTAs au calcul des revenus IATA, jusqu’à l’intégration dans les systèmes existants.
Statut
Chaîne de traitement
Saisie / import LTAs
LTAs générés au hub et dans les escales — frets & excédents bagages
Processing IATA
Calcul des revenus selon distances, réglementation tarifaire IATA et règles métier
Intégration SI
Injection des revenus calculés dans les systèmes existants de la compagnie
Reporting périodique
Synthèse complète des activités LTA — fréquence configurable
Moteur de calcul — Règles IATA intégrées
Tarification par distance (GCM)
Calcul des revenus basé sur la distance grand cercle (Great Circle Miles) entre points d’origine et de destination, conformément aux barèmes IATA en vigueur.
Excédents bagages
Application des règles IATA sur les excédents de bagages : poids, nombre de pièces, zones tarifaires et exemptions selon classe et fréquence de vol.
Fret aérien
Traitement des LTAs fret avec calcul des taxes, surcharges et revenus nets selon les conventions IATA et accords interlignes applicables.
Intégration systèmes existants
Les revenus calculés sont injectés directement dans les systèmes financiers et opérationnels de la compagnie — source de vérité unique pour la comptabilité cargo.
Reporting périodique — Contenu
| Rapport | Contenu | Usage |
|---|---|---|
| Synthèse revenus LTA | Revenus frets & excédents bagages par période, ventilés par escale, route et type | Direction |
| Activité hub & escales | Volume de LTAs traités par point de départ — hub vs escales — avec comparatif périodique | Ops Cargo |
| Conformité & anomalies | LTAs en erreur, écarts tarifaires, LTAs non intégrés aux systèmes — pour contrôle qualité | Finance · Contrôle |
Impact opérationnel
Remplacement du traitement manuel des LTAs par un processus automatisé — centaines de LTAs par période traités sans erreur. La compagnie dispose pour la première fois d’une vision consolidée et fiable de ses revenus cargo et excédents, en temps réel.
Intégration à la suite aviation
CargoPro n’est pas un outil isolé — il partage la même source de données que les autres modules de la suite (Albatros). Les données de vols, escales et aéronefs alimentent directement les calculs de revenus cargo, garantissant la cohérence de bout en bout.
Technologies & domaines
- C# / .NET
- WinForms / WPF
- MySQL / PostgreSQL
- Réglementation IATA
- LTA processing
- Revenue Management
- Great Circle Miles (GCM)
- Cargo aérien
- Excédents bagages
- Intégration SI
- Reporting périodique
- Suite Albatros
CargoPro illustre ce que signifie vraiment « résoudre un problème métier » : pas un tableau Excel amélioré, mais un moteur de calcul embarquant les règles tarifaires IATA, intégré aux systèmes existants et en production depuis 2022 — parce que les utilisateurs ne peuvent plus s’en passer.
Accompagnement à la transformation digitale de TPME togolaises — Agriculture & Commerce
GIZ Togo & CCI Togo · Région des Plateaux, Togo · 2024 · Mission terrain 3–6 mois
Mandataires institutionnels
Deutsche Gesellschaft für Internationale Zusammenarbeit
Agence de coopération internationale allemande. La GIZ finance et encadre des programmes de développement économique local, dont l’appui à la digitalisation des TPME africaines comme levier de compétitivité.
Chambre de Commerce et d’Industrie du Togo. Partenaire local institutionnel assurant l’identification des TPME bénéficiaires et le relais opérationnel sur le terrain avec les entreprises de la région des Plateaux.
Contexte & enjeu
Deux TPME de la région des Plateaux — l’une dans le secteur agricole, l’autre dans le commerce — ont été identifiées pour un accompagnement complet à leur transformation digitale. La mission a nécessité des déplacements réguliers sur site pour comprendre les réalités opérationnelles quotidiennes de ces entreprises avant toute recommandation : pas de solution plaquée, mais une approche ancrée dans le contexte local.
Approche méthodologique
Une triple démarche : d’abord le diagnostic — comprendre les flux, les besoins réels et les contraintes terrain. Ensuite le déploiement d’outils adaptés au niveau de maturité digital des équipes. Enfin la formation des collaborateurs pour garantir une adoption durable, sans dépendance à un prestataire externe.
Déroulement de la mission
Phase 01
Diagnostic digital terrain
Visites sur site dans la région des Plateaux. Analyse des processus existants, identification des points de friction, cartographie des besoins réels et évaluation du niveau de maturité digital des deux TPME.
Terrain · AnalysePhase 02
Déploiement des outils
Mise en place de la présence en ligne (sites web vitrine + e-commerce et pages réseaux sociaux) et des outils de communication interne (email professionnel, WhatsApp Business, outils collaboratifs) adaptés aux contraintes de chaque structure.
Digital · DéploiementPhase 03
Formation & autonomisation
Formation des équipes à l’utilisation des outils déployés. Objectif : autonomie complète après la mission, sans dépendance externe. Remise de guides d’utilisation adaptés au contexte local.
Formation · AutonomieLivrables par secteur
Outils déployés
Sites web
Vitrine + e-commerce selon le secteur. Conçus pour être maintenus en autonomie par les équipes locales.
Réseaux sociaux
Pages professionnelles et stratégie de contenu adaptée au marché local togolais.
WhatsApp Business
Outil de communication client et interne le plus adapté au contexte local d’usage.
Email professionnel
Adresses email professionnelles au nom du domaine de l’entreprise — crédibilité et traçabilité.
Outils collaboratifs
Google Workspace ou équivalent pour la collaboration, le partage de documents et la coordination interne.
Formation équipes
Toutes les équipes formées à l’utilisation autonome de chaque outil déployé.
Impact pour les TPME
Deux entreprises qui n’existaient pas en ligne ont désormais une présence digitale complète, des outils de communication professionnels et des équipes capables de les faire vivre en autonomie. La digitalisation a été pensée pour leur réalité terrain — pas pour un contexte européen transposé.
Valeur pour les mandataires
Mission menée pour GIZ Togo & CCI Togo — deux références institutionnelles majeures. Ce type de mandat témoigne d’une capacité à opérer dans le cadre de projets de développement international avec des livrables concrets, mesurables et adaptés au contexte local.
Domaines & outils
- Transformation digitale
- Diagnostic IT
- WordPress / CMS
- E-commerce
- Réseaux sociaux
- WhatsApp Business
- Email professionnel
- Google Workspace
- Formation utilisateurs
- GIZ Togo
- CCI Togo
- TPME · Afrique de l’Ouest
Accompagner la transformation digitale d’une TPME agricole dans la région des Plateaux, ce n’est pas la même chose que déployer un outil dans une grande entreprise connectée. C’est d’abord écouter, observer, comprendre — puis proposer ce qui sera vraiment utilisé demain matin, par des équipes qui n’ont pas de DSI.