Curriculum vitæ - Ingénieur Expert Cybersécurité PKI (IGC)

David CARELLA
92370 CHAVILLE
FRANCE

48 ans, marié

Mobile : +33 (0)6 20 05 29 28
david.carella@gmail.com

Ingénieur Expert Cybersécurité PKI

Expert PKI – 23 ans d’expérience
Contributeur PKI EJBCA (depuis 2007)
Cryptographie, authentification, chiffrement et signature
Auteur du livre PKI Open Source (Éditions O’Reilly)

Expériences professionnelles

Depuis 2007

Ingénieur Expert PKI, Chef de projet Sécurité – Groupe LINAGORA

Référant et expert technique PKI : expertise cryptographie (PKI, X.509, RFC, PKCS, PC/DPC, authentification, signature électronique), contributeur PKI EJBCA (développeur et mainteneur de la localisation en français de l’interface web).

Expertise et intégration PKI EJBCA : ALLIANZ Trade/ex-Euler Hermes [2021–2022] (Analyse de l’existant, rédaction des spécifications pour les nouvelles AC, refonte complète des profils des certificats X.509 (et leur paramétrage EJBCA) conformément à eIDAS et au CA/Browser Forum, assistance technique à la montée de version), STET [2020–2021] (Analyse de l’existant des 2 PKI et leurs processus. Rédaction des 3 politiques de certification (PC) et 3 déclarations des pratiques de certification (DPC) conformément au RFC 3647, au RGS v2, à eIDAS et à PCI-DSS, pour cet opérateur de l’autorisation et de la compensation bancaire), Société Générale [2019] (PKI UniPass du groupe, migration des dix AC et leurs 600 000 certificats, montée de version de la PKI EJBCA et de ses composants, mise en conformité selon les exigences de la BCE, documentation, DAT, et transfert de compétence), French-Road [2018] (PKI conforme eIDAS, mise en œuvre de la PKI EJBCA pour le PoC de la X-Road française (recherche, spécifications, installation, paramétrage), mise en œuvre des AC « FR-Road », gestion des certificats pour le système d’échange de données X-Road, gestion des certificats eID), IDEMIA/ex-SAFRAN Morpho [2017] (PKI qualifiée selon le règlement européen eIDAS, assistance technique, mise en œuvre de la PKI EJBCA avec un boîtier HSM Bull TrustWay Proteccio, spécifications/DAT, installation/paramétrage, mise en œuvre du service de validation OCSP), Certinomis/DOCAPOST [2017] (PKI commerciale Certinomis, création des 9 autorités de certification déléguées, mise en œuvre de la PKI EJBCA avec un boîtier HSM Bull TrustWay Proteccio, mise en œuvre du service OCSP externe), MAIF [2016] (PKI interne, pilotage du projet, rédaction du dossier d’architecture technique (DAT), documentation de la PKI EJBCA, intégration au SI, interface Web Service, auto-enrôlement Windows, interface SCEP, scripts CLI, rédaction de la politique de certification), La Poste Courrier [2014–2015] (projet PKI interne Courrier, définition du dossier d’architecture technique, mise en œuvre de la PKI EJBCA, audit de la production, aide à la rédaction de la politique de certification), ERDF [2014] (IGC Linky sécurisant les futurs lecteurs d’électricité, assistance technique, tests de clés ECDSA, formations Cryptographie et PKI, audit fonctionnel PKI), Gouvernement de Nouvelle-Calédonie [2014] (PKI du gouvernement de la Nouvelle-Calédonie, mise en œuvre d’EJBCA, migration Oracle-PostgreSQL, audit fonctionnel PKI), DPii Télécom & Services [2013] (rédaction de la politique de certification (PC) en vue de faire qualifier leur autorité de certification (AC) conformément au RFC 3647 et au Référentiel général de sécurité (RGS) de l’ANSSI), Linagora [2012] (PKI interne du groupe LINAGORA, mise à jour de la PC conformément au RFC 3647 et au RGS v2, intégration de la nouvelle PKI EJBCA, cérémonie des clés, recensement des certificats serveurs SSL/TLS, documentation interne), JCDecaux [2010] (PKI du groupe JCDecaux au niveau mondial, analyse de l’existant, rédaction des spécifications et de la politique de certification, intégration de la PKI EJBCA, cérémonie des clés, formation des administrateurs).

Conseil et assistance technique PKI : Euler Hermes [2019] (montée de version de l’application de PKI EJBCA, avec HSM), DPii Télécom & Services [2019] (intégration SignServer TSA avec un HSM), DGAC [2015] (PKI expérimentale, assistance technique PKI et certificats numériques X.509), Canton de Vaud (Suisse) [2014] (PKI du Canton, assistance technique et expertise PKI EJBCA, rédaction des spécifications de la PKI, démonstration d’EJBCA, audit de la configuration, transfert de compétence, paramétrage complet d’une preuve de concept (PoC)), Technip [2012, 2013] (étude et définition du processus de mise en œuvre de postes de travail chiffrés avec le logiciel de chiffrement TrueCrypt), Gouvernement de Monaco [2010, 2014] (montées de version de l’application de PKI EJBCA), Société Générale [2008–2009] (projet UniPass Crypto, intégration de la PKI du groupe, projet de développement d’un guichet de certificats cryptographiques utilisateurs), Gendarmerie nationale [2008] (analyse et intégration de l’IGC de la Gendarmerie nationale, première administration française certifiée par l’IGC/A, rédaction des 5 politiques de certification (PC) et de la déclaration des pratiques de certification (DPC), formation des gendarmes et leurs supérieurs hiérarchiques).

Intégration DevOps et architecture SI : DGFiP [2023] (rédaction de dossiers d’architecture technique DAT, assistance technique pour la mise en place de certificats SSL/TLS), DGFiP [2019] (intégration de l’infrastructure d’un projet d’automatisation de processus, dans un Cloud privé, architecture, DAT, OpenStack/HEAT, Apache, PostgreSQL, Prometheus, Grafana, Vault).

Veilles techniques et stratégiques : EDF [2020–2022] (Chiffrement de données, chiffrement totalement homomorphe, FHE, Chiffrement PostgreSQL, TLS, pgcrypto), CNAM [2019] (KMS, Key Management System), DGFiP [2013–2018] (Applet de signature, Anonymisation des données, Outils de cartographie SI, etc.).

Gestion de projets : Banque de France [2014–2015] (projet SécurPGP – sécurisation de fichiers selon le standard OpenPGP sous trois systèmes (RedHat Linux, AIX, Windows Server), gestion de projet, rédaction des spécifications, aide en ligne (man Unix, get-help Windows), documentation produit, packaging), PSA Peugeot Citroën [2011] (chiffrement du poste de travail basé sur TrueCrypt, gestion du projet de développement des applications client et serveur), Société Générale [2010–2011] (projet UniPass Server – guichet de gestion de certificats serveur, gestion du projet de développement de l’application, rédaction des spécifications, réalisation d’un banc de test avec la PKI EJBCA et l’outil OpenSSL).

Certification de produits de sécurité : LinSign (CC EAL3+) [depuis 2015] (application de signature électronique, rédaction de la cible de sécurité, des spécifications cryptographiques, destinées à l’évaluation niveau EAL3+ de l’application selon le profil de protection ACSE (ANSSI) qui est conforme aux Critères Communs), gSafe (CC) [2013] (application de coffre-fort électronique, travail collaboratif au sein du consortium gSafe – et notamment avec Oppida – dans le cadre du projet de R&D et de la certification Critères Communs du futur produit), LinSecure (CSPN) [2011] (application de coffre-fort électronique conforme ARJEL, rédaction de la cible de sécurité et des spécifications cryptographiques, produit certifié selon la CSPN (certification de sécurité de premier niveau) en 2011).

Développement des offres de produits et de service : LinPKI EJBCA [depuis 2007] (infrastructure de gestion de clés (PKI), contributeur au projet, développement, ergonomie et localisation des interfaces web, développement cryptographique), SecurePGP [depuis 2015] (application de sécurisation de fichiers selon le standard OpenPGP, responsable produit, pilotage et suivi de projet, documentation produit, packaging, support), LinSign [depuis 2010] (application de signature électronique de documents, pilotage et suivi de projet, certification CSPN, développement et ergonomie de l’interface), LinShare [2009–2013] (application de partage de fichiers sécurisé, développement et ergonomie de l’interface web, documentation).

Avant-vente et marketing produits/offres [depuis 2010] : offres LinPKI, SecurePGP, LinSign (désignation des produits, analyse du marché, visuels, etc.), présentation et références clients (plaquettes papiers, présentations électroniques, références), avant-vente (réponses à appel d’offres, soutenance client).

Référentiel documentaire [depuis 2008] : responsable du référentiel documentaire du groupe LINAGORA, rédaction de la charte documentaire, conception, réalisation et maintenance des modèles de documents, travail collaboratif avec les équipes juridique et communication, encadrement d’une stagiaire [2008].

2007

Ingénieur Expert en Sécurité Informatique (Expert PKI) – LINAGORA

DGI (Direction générale des impôts) – Ministère du Budget et des comptes publics

Maîtrise d’ouvrage pour le projet Service de Validation de Certificats au sein du système des télédéclarations des impôts sur les revenus et de la TVA. Étude des standards PKI tels que les protocoles XKMS, OCSP et SCVP. Maîtrise d’ouvrage pour l’IGC interne EJBCA. Réalisation de jeux de certificats de test pour les développeurs de l’équipe.

2004–2007

Ingénieur/Consultant en Sécurité Informatique (Expert PKI) – ALTEN SIR

EDF-RTE (Réseau de Transport d’Électricité)

Assistance à maîtrise d’œuvre de la mise en place de l’architecture PKI externe assurant la sécurisation de l’accès au Front Office par système de cartes à puce, tokens USB et de certificats numériques. Prise en charge du déploiement PKI : élaboration des procédures organisationnelles de déploiement des clients utilisateurs de cette PKI. Réunions d’équipe et relation fournisseurs. Méthodologie : élaboration de modes opératoires pour les équipes de la Hotline.

2002–2003

Auteur du livre « PKI Open Source » (livre technique sur la sécurité réseaux)

Ce livre, édité aux Éditions O’Reilly, traite de la mise en œuvre de PKI (infrastructures à clé publique) open source, et des utilisations des certificats numériques X.509.

Étude et recherche pour l’élaboration du livre :

Mise en place de PKI (CA, RA, Client) sous Linux. Déploiement de serveurs Apache/SSL. Installation de certificats clients dans les navigateurs web et les messageries électroniques.

2001–2002

Consultant (expert sécurité) – Lore (Groupe ALTRAN)

Cryptographie : état de l’art et veille technologique (document « Cryptographie et sécurité réseau »). Missions de conseil et d’expertise en cryptographie (assistance technique, formation).

2000–2001

Ingénieur Études & Développement (en sécurité) – Interliant (Groupe CEGETEL)

Études et tests du protocole SSL et des certificats numériques X.509. Rédaction de documents techniques pour l’utilisation du logiciel OpenSSL. Déploiement et administration des autorités de certification (PKI) du groupe.

Diplômes, études et formations

2000

Diplôme d’ingénieur ENSEA – Spécialisation « Informatique et Systèmes »

ENSEA – École Nationale Supérieure de l’Électronique et de ses Applications

École d’ingénieur en électronique et informatique à Cergy-Pontoise (Val d’Oise, France)

1993–1996

Mathématiques Supérieures et Spéciales – Technologiques, à Lyon 8^e (Rhône, France)

Formations

« Mise en œuvre de la sécurité web » à Learning Tree International en 2001

Langues

Anglais (général et technique)

Compétences en informatique

Cryptographie, sécurité

Authentification forte, chiffrement, signature électronique, cachet serveur, cartes à puce, règlement eIDAS, Critères Communs, profils de protection, certification EAL/CSPN

PKI et standards

Infrastructures à clé publique, autorités de certification, politiques de certification (PC/DPC), certificats X.509, PKCS, RFC/PKIX, eIDAS/ETSI, RGS, HSM, CRL (LCR), OCSP, SSL/TLS, TSP, etc.

PKI, sécurité et outils

EJBCA (contributeur), OpenSSL, keytool (Java), SignServer TSA, GnuPG (OpenPGP)

Réseaux et outils

TCP/IP, HTTP, FTP, SMTP, POP3/IMAP, LDAP, SSL/TLS, SSH, Telnet, FileZilla

Intégration DevOps

Apache, WildFly/JBoss, Tomcat, PostgreSQL, MariaDB/MySQL, OpenStack/HEAT, Grafana, Prometheus, Script shell (bash), Ant, VS Code, Git, GitLab, GitHub, Firefox/Firebug, Inkscape, HTML/CSS

Systèmes d’exploitation

GNU/Linux (Debian, Ubuntu, RHEL, CentOS, etc.), UNIX, Windows, VirtualBox

Bureautique

LibreOffice, OpenOffice.org, Microsoft Office, LaTeX (composition de texte), MarkDown

Conception et réalisation de mon site web personnel (ce site)

http://david.carella.free.fr/

Centres d’intérêt

Cryptographie

Plus de trente ans d’intérêt pour la cryptographie. Réalisation d’un logiciel de sécurité.

French-Road (2018–2019)

Membre actif de l’association French-Road qui promeut le modèle de la plateforme digitale estonienne, et amorce la X-Road française. Recherche, spécifications et mise en œuvre : de la PKI – composant clé de la X-Road –, du service d’horodatage TSA et de la gestion des identités électroniques (eID).

Typographie

Compétences rédactionnelles : structuration, mise en page et règles typographiques.

Internet

Conception et réalisation (techniques et graphiques) de sites web selon les standards et en respectant des critères d’esthétisme, d’ergonomie, d’accessibilité et de référencement naturel.