Mohamed Ghayati

Tout a commencé par une obsession : comprendre comment les attaquants pensent. J'ai passé des centaines d'heures sur HackTheBox (rang Hacker) et TryHackMe à casser des machines, exploiter des Active Directory et apprendre l'offensif par la pratique, bien avant que ça devienne mon métier. Cette curiosité m'a mené vers un cycle d'ingénieur en cybersécurité à l'INPT (l'une des meilleures écoles d'ingénieurs du Maroc), que je termine en 2026.

Mais attaquer ne m'a jamais suffi — ce qui m'intéresse, c'est de transformer cette connaissance offensive en défenses qui marchent vraiment. C'est le fil rouge de mes expériences professionnelles.

Lors de mon stage en sécurité cloud chez SEKERA, j'ai travaillé sur la corrélation de télémétrie Active Directory, Azure et Office 365, et sur l'automatisation des opérations SOC. Puis pendant mon PFE chez PwC, j'ai conçu des détections sur Microsoft Sentinel : règles KQL custom, intégration de data connectors, et surtout des playbooks SOAR automatisés (Logic Apps) pour réduire le temps de réponse aux incidents — par exemple des workflows d'approbation pour les modifications GPO ou la détection de connexions depuis des pays non autorisés.

Ce qui me différencie : je connais les deux côtés du terrain. Certifié CRTP (Altered Security) et SC-200, je maîtrise les techniques d'attaque AD et je sais écrire les détections qui les arrêtent. Mes règles de détection ne sont pas théoriques — elles sont pensées par quelqu'un qui sait comment l'attaque se déroule réellement.

Ce que je peux faire pour vous :

Detection engineering Microsoft Sentinel (règles KQL, tuning, réduction des faux positifs)

Automatisation SOAR / playbooks Logic Apps

Audit & durcissement de configuration Azure / Entra ID

Approche purple team : je simule l'attaque, puis je construis la détection

Disponible en remote. Si vous cherchez quelqu'un qui sécurise votre environnement Microsoft avec un vrai œil offensif, parlons-en.