Benoit Serrano

En tant qu'expert en cybersécurité au sein de beta.gouv (DINUM), je contribue à renforcer la sécurité des produits web développés par les administrations françaises. Mon rôle comprend plusieurs missions clés :

- Réalisation d'audits de sécurité approfondis, incluant des analyses d'architecture, des revues de code, et des tests d'intrusion (pentesting) pour identifier et corriger les vulnérabilités critiques.

- Accompagnement des équipes dans la mise en place de programmes de bug bounty, depuis leur conception jusqu’à leur exécution, en assurant un suivi rigoureux des rapports de failles.

- Résolution proactive des vulnérabilités, avec des recommandations pratiques et adaptées pour sécuriser les systèmes critiques.

- Sensibilisation et formation des équipes techniques et non techniques à la cybersécurité, via des ateliers sur les meilleures pratiques et la prévention des attaques (XSS, CSRF, injections SQL, IDOR, etc.).

- Développement et déploiement d'outils spécialisés pour :

- Le passage en "privé" de repositories Github

- La détection proactive des vulnérabilités via des scans automatisés intégrés aux pipelines CI/CD.

- Le suivi de versions de logiciels utilisés "on premise"

- Le suivi de la signature systématique des commits

En collaborant étroitement avec des équipes pluridisciplinaires, je m'assure que chaque produit respecte les standards les plus exigeants en matière de cybersécurité, tout en favorisant une approche pragmatique et adaptée aux contraintes des projets publics.

Le défi consiste en la mise en open data des décisions de justice rendues par plusieurs juridictions françaises, en améliorant et automatisant le processus d'anonymisation qui doit leur être appliqué.

Lien vers le projet : https://eig.etalab.gouv.fr/defis/label/

Au cours de ma mission, j'ai mis en place les fondements du projet : bootstrap React, Node / Express et MongoDb, mise en place d'une architecture MVC, développement d'un système de migration, mise en commun de code entre le front et le back. J'ai ensuite, avec Nicolas Assouad et Romain Glé, développé le produit en itération constante avec ses utilisateurs : déploiement plusieurs fois par semaine, intégration continue, relecture de PR, Test-Driven Development.

Réalisations personnelles :

- formation de 2 x 1h en cybersécurité : présentation et cas concrets des OWASP Top 10

- talk portant sur les biais cognitifs affectant nos prises de décisions personnelles et professionnelles (lien YouTube : https://www.youtube.com/watch?v=2Diydf-Tsus)

- publication d'un article technique concernant les tests unitaires (lien : https://blog.bam.tech/developer-news/tests-why-how-when)

- suivi et formation d'un développeur novice (5 mois)

Projets :

Ogury Consent Manager (Ogury, 7 mois) - application web (ReactJS, GraphQL) - aide les publishers d'application web et mobile à gérer le consentement de leurs utilisateurs à l'acquisition et l'utilisation de leurs données personnelles

Villagile (Suez, 5 mois) - application web + back-end (ReactJS, Symfony 3, Kubernetes) - aide les personnels de mairie à gérer les incidents, réclamations et travaux sur leur commune

Investo et MyClub (BNP Paribas, 4 mois) - application mobile + back-end (React Native, Firebase, Python, Flask) - accompagne les clients BNP dans la compréhension de leurs placements financiers

Call My Vet (3 mois) - application mobile et web + back-end + back-office (ReactJS, React Native) - permet de réaliser des télé-consultations vétérinaires (paiement, visio-conférence)

Rift (Lita, 4 mois) - application mobile + back-end + back-office (React Native, NestJS, TypeORM, Forest Admin) - permet aux particuliers de connaître l'impact écologique et social de leur épargne

Application sous NDA (3 mois) - application web + application mobile + back-end + back-office (ReactJS, React Native, NestJS, Forest Admin) - permet aux particuliers d'accéder à du contenu de musculation et de training