Pendant longtemps, mon parcours a tenu sur quelque chose d’assez simple à dire et très compliqué à faire tenir debout dans la durée : apprendre en cassant, remettre en service, puis durcir pour que ça ne recasse plus. J’ai construit des réseaux, relevé des serveurs en urgence, rattrapé des VLAN bricolés, repris des firewalls abandonnés, stabilisé des environnements VMware fatigués. Tout ça sans diplôme d’ingénieur, sans grande école en bandoulière, sans tampon prestigieux. Juste des nuits, des tickets, des SI entiers sur le dos et une phrase qui revenait régulièrement en entretien : « Votre parcours est très intéressant, mais on ne sait pas où vous classer. »
Cette phrase, je l’ai assez entendue pour comprendre que le problème ne venait pas de ce que je savais faire, mais de la façon dont le marché lit un profil. On peut tenir une infra depuis dix ou quinze ans, maîtriser Active Directory, la segmentation, la sauvegarde, la remédiation, et rester illisible parce que rien ne rentre proprement dans les cases rassurantes comme “ingénieur diplômé”, “master cyber” ou “parcours certifiant bien balisé”. VRS Cyber Network est né en partie de là. Refuser que la valeur d’un parcours se résume à un code RNCP, à un logo d’école ou à une ligne dans un annuaire, tout en acceptant, quand c’est utile, de parler le même langage que ceux qui ne jurent que par ces codes.
Mon histoire ne commence pas avec un SOC, ni avec un firewall nouvelle génération, mais avec un bac STI électrotechnique à l’AMEP en Martinique. Voie technologique, électricité, systèmes, sécurité, logique de base. Derrière les schémas et les mesures, il y avait déjà les premiers postes Windows, les premières notions de TCP IP, le câblage dans des salles où rien n’était vraiment prévu pour ça. Ce n’était pas encore de la cybersécurité, mais tout y était déjà en germe. Comprendre comment un système tient debout, ce qui se passe quand il tombe, et comment on évite que cela se reproduise de la même façon.
Très vite, l’informatique a pris toute la place. Un BTS Informatique de Gestion avec le CNED, en formation à distance, en parallèle du reste. Pas de campus permanent, mais des manuels, du code, des environnements Windows 95 et 98, des premières vraies notions de réseau. Au milieu de tout ça, un mois d’immersion à l’Earlham College aux États Unis, en 1998. Un campus, des labos info, des cours structurés autour des systèmes et réseaux, des exercices en conditions réelles. Peu de choses à mettre sur un CV, mais un choc silencieux. Voir ce que peut être un apprentissage structuré quand on a grandi dans la débrouille. Comprendre que ce que je bricolais seul, certains le vivaient encadré, documenté, scénarisé. Cela n’a pas changé mon chemin, mais cela a fixé une référence.
La suite a pris un détour par un autre univers : celui des sapeurs pompiers. Brigade de sapeurs pompiers de Paris, SDIS, formations CFAPSE et PSE2, interventions, secours, procédures. Ce monde là m’a appris quelque chose que je n’ai jamais lâché depuis. Quand tout part de travers, on ne discute pas d’ego ni de titres. On applique des gestes, des séquences, des protocoles, parce que derrière il y a des vies. On apprend à lire une situation, à décider vite, à protéger l’essentiel. Aujourd’hui encore, je regarde un système d’information comme certains regardent un bâtiment en feu. Où est le point d’entrée, quelles sont les issues de secours, qu’est ce qui va s’effondrer en premier, qu’est ce qui doit absolument tenir, où placer les moyens, où accepter de perdre. La sécurité informatique n’est pas qu’une affaire de protocoles et de normes, c’est aussi une affaire de posture opérationnelle, de sang froid et de hiérarchie des priorités.
Pendant que j’apprenais à lire un feu, je continuais à apprendre à lire des machines. Une formation de technicien de maintenance systèmes informatiques, pour poser des bases solides sur l’administration Windows et Linux, Active Directory, les réseaux. Puis un bloc structuré en “Admin sécurité informatique” au CNFDI, entre 2009 et 2011. Là, les choses se précisent. On ne parle plus seulement de “bidouille”, mais de TCP IP, d’audit de sécurité des systèmes d’information, d’administration MySQL, de durcissement Windows et Linux, de conception d’architectures réseau, de sécurisation des infrastructures IT. La sécurité n’est plus un réflexe de bon sens, elle devient une discipline qu’on peut décrire, détailler, tracer.
Autour de cette base généraliste se sont greffées les premières vraies spécialités. Fortinet d’abord. Formation Fortinet UTM pour acquérir les fondamentaux, puis fonctionnalités avancées. Comprendre comment un pare feu voit le trafic, comment on structure des politiques, ce que signifie vraiment gérer des VDOM, un clustering, du routage, des certificats, du diagnostic. C’était déjà du FortiGate, des années avant que tout le monde n’affiche fièrement un badge NSE4 sur son profil. En parallèle, une formation CWNA chez Westcon France, dispensée par Devin Akin. Là, on descend au ras du Wi Fi d’entreprise. Propagation radio, choix d’antennes, couverture, interférences, roaming, sécurité WPA2 et WPA3, segmentation, analyse de trames, diagnostics sur infrastructures managées. Le réseau cesse d’être une représentation sur un schéma. Il devient un milieu physique, avec des contraintes très concrètes, et donc des surfaces d’attaque bien réelles.
À partir de 2013 2015, d’autres briques viennent se coller à ce socle. L’administration SQL Server, parce qu’aucune sécurité ne tient si on ne sait pas où sont les données et comment elles vivent. L’administration Windows 10 dans un contexte de production, pour comprendre la réalité des postes utilisateurs, des déploiements, de la maintenance. La mise en œuvre de Bitdefender GravityZone, avec intégration Active Directory, déploiement d’agents, politiques de groupes, EDR, sandbox, protection ransomware, contrôle des périphériques, pare feu, gestion de correctifs, gestion des risques et procédures de réponse. En parallèle, j’absorbe des années de pratiques réelles, dans des entreprises qui ne ressemblent pas à des labos propres, mais à des systèmes vivants, avec de l’héritage, des compromis, des angles morts.
En 2020, un palier se franchit du côté offensif. Une série de formations Alphorm, entièrement centrées sur le hacking et le pentest, vient structurer quelque chose que je pratiquais déjà de façon empirique. Fondamentaux du hacking, méthodologies de pentest, reconnaissance passive et active, utilisation de Metasploit, analyse des vulnérabilités, exploitation des failles des réseaux, des systèmes, des applications. On y apprend à définir la portée des tests, à identifier les vulnérabilités, à mesurer les impacts, à établir des comptes rendus de tests de pénétration. Rien de spectaculaire sur le papier, mais une bascule dans la manière de travailler. L’offensif n’est plus seulement un instinct intellectuel, c’est une méthode. Ce n’est pas une excuse pour casser, c’est un cadre pour comprendre en profondeur comment un adversaire réel va s’y prendre.
La formation CEH v13 chez Sysdream, en 2024, pousse ce bloc encore plus loin. Reconnaissance et OSINT via Shodan et Censys, scans avancés avec Nmap, analyses réseau avec Wireshark, exploitation de failles Active Directory comme le Pass the Hash ou le Kerberoasting, tests web avec injection SQL, inclusions de fichiers, exploitation de failles HTTP 2, campagnes d’ingénierie sociale. Toute la panoplie du pentest moderne, replacée dans un contexte légal et éthique. En réalité, ce que cette formation m’apporte, ce n’est pas le frisson de “devenir hacker”. C’est la confirmation structurée de ce que je savais déjà intuitivement depuis des années. Pour défendre sérieusement un système, il faut penser comme celui qui va l’attaquer, puis revenir du côté de ceux qui doivent le maintenir en vie.
Restait un angle à traiter frontalement : la gouvernance. Pendant longtemps, j’ai appliqué des principes issus des normes sans les nommer. Gestion des risques, priorisation, arbitrages, PSSI implicites. Je construisais des politiques réseau strictes, des référentiels maison, des grilles de criticité, des méthodologies d’audit, sans coller d’étiquette ISO partout. ISO 27001, 27002, 27005, RGPD, NIST, CIS, tout cela est venu se superposer sur des pratiques déjà en place. Il manquait un pont explicite. C’est ce que vient apporter le parcours “Management de la cybersécurité” chez ESD Academy que j’engage à partir de fin 2025. On y parle de mise en place et de pilotage de SMSI conformes aux normes ISO, de gestion des risques selon ISO 27005 et EBIOS Risk Manager, de gouvernance, de politiques et procédures de sécurité alignées aux objectifs métiers, de RGPD, de leadership sécurité et de communication. Je n’y vais pas pour découvrir que le risque existe, ni pour apprendre qu’il faut une PSSI. J’y vais pour relier ce que je fais déjà à un langage que les directions peuvent entendre et valider.
Dans le même mouvement, je m’engage sur un bloc long avec Cisco Networking Academy, de novembre 2025 à août 2027, qui combine CyberOps Associate, CCNA et préparation CEH. Ce programme couvre tout ce qui a structuré mon terrain pendant des années. Les fondamentaux IP, le switching, le routage, le WLAN, les réseaux d’entreprise, la sécurité et l’automatisation. La défense réseau et poste, les mécanismes IDS et IPS, la sécurité de couche 2, la cryptographie, les PKI, les VPN IPsec. Les ASA, les listes de contrôle d’accès, l’analyse des menaces, la Threat Intelligence, les premières pratiques de SOC niveau 1. Un module orienté “ethical hacking” vient encore rappeler que comprendre l’attaque reste central pour concevoir une défense sérieuse. Chaque bloc validé donne lieu à un badge. L’objectif final reste clair et assumé. Valider les modules, puis présenter les examens CCNA 200 301 et CyberOps Associate 200 201, avec une préparation CEH en parallèle, cette fois cadrée dans un cursus complet.
Pris isolément, chaque élément de ce parcours pourrait ressembler à une ligne de plus sur un profil LinkedIn ou à un badge de plus sur une collection. Les formations Alphorm, les blocs CNFDI, les sessions M2i, la CWNA, les modules Fortinet, l’administration SQL Server, GravityZone, la CEH, le parcours Cisco, le management de la cyber chez ESD Academy. Pris ensemble, dans la chronologie réelle, cela raconte autre chose. Cela raconte un trajet qui part d’un bac technologique, passe par un BTS à distance, traverse des casernes de pompiers, se nourrit de nuits sur IRC, de framesets catastrophiques et de sites statiques vulnérables, puis remonte peu à peu vers un niveau qui n’a peut être pas le titre d’ingénieur, mais qui en a peu à peu la densité.
C’est exactement à cet endroit que se situe le bloc de formation que j’engage aujourd’hui. Je ne repars pas à zéro. Je prends tout ce qui a été accumulé depuis vingt ans, formation après formation, incident après incident, mission après mission, et je l’aligne sur une structure lisible par ceux qui ne m’ont jamais vu travailler. Ce que je fais depuis longtemps au niveau technique, je le fais aujourd’hui pour moi. Inventaire, cartographie, consolidation, durcissement, documentation, amélioration continue. Un SMSI personnel, en quelque sorte, appliqué à mon propre parcours.
Concrètement, pour les entreprises qui font appel à VRS Cyber Network, cela change la façon dont mon travail est perçu. Un audit n’est pas un simple rapport d’observations techniques. C’est la rencontre entre un vécu de terrain, des années de mise en prod, et un cadre de référence reconnu. Les recommandations ne sont pas des “bonnes pratiques” lancées au hasard. Elles s’appuient sur des normes ISO, sur des cadres NIST et CIS, sur une expérience de l’offensif, sur une intelligence des contraintes réelles d’exploitation. La segmentation réseau que je défends n’est pas une vue théorique. Elle est nourrie par des VLANs qui ont tenu en prod, par des bastions qui ont réellement protégé des comptes à privilèges, par des environnements Fortinet qui ont encaissé des vagues d’attaque. Les décisions de remédiation sont ancrées dans un langage que le COMEX peut entendre. Risque, impact, coût, délai, responsabilité.
Je ne cherche pas à effacer le fait que j’ai appris avec un modem 56k, des Windows 95 et 98 malmenés, des serveurs NT4 et des firewalls qui plantaient. Je ne cherche pas non plus à me déguiser en produit fini d’une grande école. Ce bloc de formation, et l’ensemble des formations passées que je porte, ne sont pas une conversion. Ce sont des couches supplémentaires sur un socle qui existait déjà. Je voulais un jour un diplôme d’ingénieur. Je sais aujourd’hui que je ne l’aurai probablement jamais, et ce n’est plus le sujet. Ce qui m’intéresse, c’est de verrouiller un niveau équivalent. Structuré, vérifiable, traçable.
Au fond, je fais avec mon propre parcours ce que je propose de faire avec les systèmes d’information que l’on me confie. On part de quelque chose qui fonctionne plus ou moins, construit morceau par morceau, avec du bricolage, des coups de génie, des angles morts. On dresse la carte. On identifie les dépendances, les dettes, les risques. On rapproche le tout d’un modèle de référence. On ajoute des garde fous, des bastions, de la supervision, un plan de reprise. On garde ce qui marche, on corrige ce qui menace de casser, on documente ce qu’on a compris. On ne promet pas la perfection. On vise la résilience.
C’est exactement ce que ce bloc de formation apporte à VRS Cyber Network. Un socle de plus pour continuer à faire ce que je fais déjà. Audit, durcissement, segmentation, sécurisation d’infrastructures, gestion d’incidents. Avec une différence importante. Cette fois, ceux qui regardent de loin n’auront plus besoin de me demander où me classer. Ils auront leurs repères. Un parcours complet, qui ressemble peut être moins à une ligne droite académique qu’à une courbe de charge en prod, mais qui tient. Et qui, surtout, continue d’évoluer.
Malik V