AXIONA

20+ ans d'expérience • Normandie et remote

SysOps, SecOps & DevOps pour Infrastructures Critiques

Ancien sous-officier dans l'Armée de Terre (16 ans, Transmissions), j'ai forgé mon expertise sur des théâtres d'opérations exigeants, que ce soit des pays en guerre civile ou conflit haute intensité (Balkans/FORPRONU, OTAN ou missions République de Côte d'Ivoire/Licorne).

Aujourd'hui consultant indépendant, j'applique cette même rigueur aux infrastructures civiles à haute criticité (santé, industrie, services 24/7). Mon domaine couvre l'ensemble du cycle de vie des systèmes : architecture Zero Trust, virtualisation Proxmox et ZFS, automatisation Ansible, et gestion des environnements HDS/ISO 27001.

Mon approche est simple : fiabilité (HA, PRA/PCA), sécurité (segmentation, HarfangLab, audits) et documentation (schémas directeurs, runbooks) pour des systèmes résilients, transférables et maîtrisés par vos équipes.

Planifier un audit initial (gratuit) Voir l'expertise
300+
Serveurs en MCO (VMware/Proxmox)
L.L.M. On-Premise
Intelligence Artificielle Souveraine
Zero Trust
Architecture Réseau par Défaut
< 4h
Délai de Réponse Critique Garanti
24/7
Systèmes en Haute Disponibilité (HA)
Réseau MPLS
VPN Multi-Site (WireGuard, IPsec)
ELK/Grafana
Maîtrise de l'Observabilité
20+ Ans
Freelance & Rigueur Armée

Aperçu de la Stack Technique

Interface OpenWebUI

Interface (OpenWebUI)

Définition LLM Souverain

Définition "Souverain"

Cas d'usage RAG

Cas d'Usage RAG (SecOps/DevOps)

Architecture LLM

Architecture Technique Hybride

Dashboard Grafana

Observabilité (Grafana)

Interface Proxmox

Virtualisation (Proxmox / ZFS)

Alertes Slack

ChatOps (AlertManager vers Slack)

Qdrant vs PGVector (Jancovici)

Vector DB (Qdrant vs PGVector)

Logo Mistral AI

Modèle Open-Source (Mistral)

Logo Meta Llama 3

Modèle Open-Source (Llama 3)

Services principaux

Offres courtes, concrètes et documentées. Interventions ponctuelles ou infogérance.

  • Pare‑feu Palo Alto et Fortinet : politiques propres, NAT, profils de sécurité
  • Segmentation réseau VLAN VRF OSPF, DMZ LAN MGMT
  • VPN IPsec et SSL, site à site et nomades, WireGuard si pertinent
  • Reverse‑proxy Traefik ou Nginx, WAF ModSecurity
  • Export journaux syslog CEF vers SIEM ELK ou Splunk
  • Bastion et MFA, comptes à privilèges tracés, IAM à façon (LDAPCare)
  • Livrables : matrice de flux, schéma WAN DMZ LAN, jeux de règles commentés
  • Proxmox VE et VMware ESXi, haute disponibilité et clusters
  • Stockage ZFS et Ceph, SAN NAS, NFS et iSCSI
  • Sauvegardes PBS, réplication, coffre hors site
  • Gabarits Ansible et standardisation des VM
  • Supervision Zabbix PRTG Grafana, alertes actionnables
  • Dimensionnement matériel, IPAM et réseau interne propres
  • Veeam et PBS : sauvegardes chiffrées et immuables
  • Objectifs RPO et RTO réalistes
  • Tests de restauration mensuels avec preuves
  • PRA et PCA avec exercices planifiés
  • Dépôt hors site objet S3 (OVHcloud) ou MinIO
  • Snapshots ZFS et rétention
  • Ansible et Terraform pour IaC
  • CI CD avec GitLab CI ou GitHub Actions
  • Conteneurs Docker, bases Kubernetes, Helm
  • Passerelles Traefik HAProxy Nginx
  • Secrets : coffres, rotation, contrôle d'accès
  • Développement C#/.NET sécurisé (LDAPCare), ADR et documentation, observabilité Prometheus Grafana, journaux ELK
  • WordPress durci, mises à jour et extensions contrôlées
  • Performance : cache HTTP, compression, images WebP
  • Sécurité HTTP : TLS 1.3, HSTS, en‑têtes strictes
  • Traefik devant Apache ou Nginx, certificats auto
  • Staging → production, retours arrière testés
  • Option site statique Hugo quand pertinent
  • vLLM + OpenWebUI pour l'IT interne
  • Procédures et résumés de tickets, synthèse de journaux
  • Connecteurs légers vers wiki GLPI iTop CMDB IPAM
  • Recherche augmentée vecteurs : Qdrant ou PGVector
  • Déploiement Docker, GPU optionnel, gouvernance des usages
  • Garde‑fous : données locales seulement, accès contrôlés, journalisation
  • Conception et développement d'une application C#/.NET WPF LDAPCare pour Tier-1.
  • Sécurité IAM : Imposition du Moindre Privilège (RBAC strict), LDAPS, DPAPI pour protéger l'accès AD.
  • Parc Critique : Solution déployée sur un environnement 24/7 (grand parc, 6 DC, ~3500 utilisateurs).
  • SRE/MTTR : Réduction du Toil L1 (Reset/Unlock) et des escalades grâce à une UX bornée et une traçabilité complète.
  • Qualité : Packaging stable (MSIX/ClickOnce) et déploiement reproductible.
  • Zabbix, SCOM, Nagios, Prometheus+Grafana, OpenNMS
  • Reporting : Graphiques SCOM/Grafana, rapports mensuels partagés
  • Réduction du bruit d'alerte et amélioration MTTR
  • Ansible, SCCM (déploiement), SaltStack, Rudder
  • Kubernetes + Helm, SCVMM
  • Automatisation continue des tests, sauvegardes et inventaires
  • IPAM : plans d'adressage, DNS/DHCP, alertes d'anticipation
  • CMDB légère : services, dépendances, criticité, liens croisés (GLPI/SCOM/Zabbix/Grafana/ELK)
  • Registres TLS et licences, EoL et alertes
  • Tableaux de bord : disponibilité, RTO/RPO, dette sécu/technique, volumétrie tickets

ADR traçables (contexte, options, choix, conséquences, réexamen), wiki structuré par domaines, runbooks et fiches 1‑page, indicateurs de fraîcheur. IA locale : vLLM + OpenWebUI (procédures, résumés de tickets, synthèse de journaux, rédaction de runbooks). Garde‑fous : données locales, journalisation, contrôle d'accès.

Mettre en place une chaîne ITSM moderne

Compétences et prestations – version détaillée

Tout le contenu est conservé. Pour lisibilité, chaque bloc est repliable.

  • Administration Windows Server et Linux (Debian/CentOS)
  • Active Directory, GPO, DNS, DHCP, fichiers, impression, gestion des droits
  • Virtualisation VMware/Hyper‑V/Proxmox, HA/DRS, migrations à froid/à chaud
  • Stockage SAN/NAS (iSCSI/Fibre), capacité, performances, alertes
  • Messagerie Microsoft 365, Entra ID, protection de la messagerie
  • Automatisation récurrente (PowerShell, Bash, Ansible)
  • Documentation d'exploitation, procédures pas à pas, runbooks
  • Pare‑feu Palo Alto/Fortinet/pfSense/OPNsense, politiques propres, NAT, VPN IPsec/SSL
  • Segmentation réseau (VLAN/VRF/OSPF), bastion, MFA, IAM
  • EDR (HarfangLab), NDR (Darktrace), SOC, SIEM (ELK/Splunk)
  • Sauvegardes chiffrées, tests réguliers, PRA/PCA avec exercices
  • Audits SSI, revue des comptes, durcissement AD
  • Exercices, table‑top, sensibilisation sécurité
  • CI/CD pour apps web et services internes
  • Pipelines, tests, artefacts, déploiements vers VM, conteneurs ou cloud privé
  • Conteneurs : Docker, bases Kubernetes, Traefik/HAProxy/Nginx
  • IaC : Ansible, Terraform, modèles reproductibles serveurs/réseaux
  • Secrets : coffres, rotation, contrôle d'accès
  • Optimisation coût/perf/capacité, revue licences/abonnements
  • Commutation et routage : VLAN, VRF, OSPF, agrégation, suivi de charge
  • Wi‑Fi sécurisé site et invité, portail captif, séparation des flux
  • Opérateurs : besoins, commandes, débits, incidents
  • Datacenter : serveurs, baies, réseaux internes, plan de câblage, marquage/étiquetage
  • Plateformes : Zabbix, PRTG, Grafana, ELK
  • Tableaux de bord par rôle : dirigeant / IT / support
  • Métriques et alertes actionnables, réduction du bruit, escalade claire
  • Journaux centralisés, rétention, recherche rapide, playbooks d'analyse
  • Veeam/PBS, politiques de rétention, hors‑site, chiffrement
  • Tests de restauration réguliers avec preuves, rapports mensuels
  • Scénarios PRA/PCA, objectifs RPO/RTO, exercices planifiés
  • Catalogue de services, demandes types, niveaux de service
  • Image poste et profil (Windows/macOS), durcissement et outils d'entreprise
  • Support N2/N3, diagnostic, transfert au N1 avec guide court
  • Téléphonie IP, visioconférence, accès distant sécurisé
  • Feuille de route en 10 points, priorités, charges, délais
  • Indicateurs : disponibilité, temps de reprise, dette sécurité/technique
  • Préparation audits : trame de preuves, périmètre, écarts, plan d'action
  • Achats et marchés : cahier des charges, critères techniques et sécurité
  • Ateliers équipes IT : durcissement, supervision, sauvegardes, gestion des incidents
  • Sessions utilisateurs : hygiène numérique, mots de passe, anti‑fraude
  • Kits prêts à l'emploi : fiches 1 page, vidéos courtes, modèles de procédures
  • Pack démarrage sécurité 4 semaines : audit express, durcissement prioritaire, EDR pilote, sauvegardes testées, plan PRA/PCA
  • Pack supervision en 10 jours : Zabbix ou PRTG, dashboards, alertes utiles, formation support
  • Pack migration virtualisation : évaluation, plan, migration VMware/Hyper‑V/Proxmox, validation et retour arrière
  • Pack continuité : Veeam cohérent, test mensuel, preuves et rapport
  • Disponibilité service et réseau
  • Temps de reprise mesuré (scénario type)
  • Incidents par catégorie avant/après
  • Couverture sauvegarde et taux de réussite
  • Posture sécurité : comptes dormants, écart de conformité, niveau de correctifs
  • Systèmes : Windows Server, Linux (Debian/CentOS)
  • Identité : Active Directory, GPO, Entra ID
  • Virtualisation : VMware, Hyper‑V, Proxmox
  • Conteneurs : Docker, bases Kubernetes, Traefik, HAProxy, Nginx
  • Dev à façon : C#/.NET WPF, Sécurité IAM (LDAPS, RBAC, DPAPI)
  • Observabilité : Prometheus/Grafana, Zabbix, PRTG, ELK
  • Sécurité : Fortinet, Palo Alto, pfSense/OPNsense, HarfangLab, Darktrace, SIEM ELK/Splunk, SOAR
  • Sauvegardes : Veeam, réplication, coffre hors ligne
  • Cloud et services : Microsoft 365, Azure de base
  • Automatisation : Ansible, Terraform, CI/CD
  • Régie sur site ou à distance, transfert systématique vers équipes locales
  • Mission au forfait avec livrables : rapport initial, plan d'action, preuves de tests, guides et runbooks
  • Astreinte planifiée et assistance en cas d'incident majeur
  • Confidentialité stricte (exemples sensibles anonymisés)
Recevoir la version PDF 1 page

Projets Phares

🧠 IA & LLM Souverain : Analyse Stratégique

Analyse stratégique et opérationnelle d'un modèle de langage (LLM) souverain en entreprise.

Ce projet détaille l'architecture hybride (On-premise + Cloud), les runbooks de déploiement (Docker, vLLM, Qdrant), la gouvernance (SecOps, DPO) et le calcul de ROI (break-even en 4 mois) face aux solutions cloud.

  • Architecture Hybride (OVH + Local)

    Maîtrise des coûts (GPU local) et sécurité des services (OVH) via tunnel WireGuard.

  • ROI & Gains (MTTR)

    Démonstration d'un ROI de +350% et gains de productivité (SecOps/DevOps) via RAG.

  • Gouvernance & Guardrails

    Cadre de conformité (RACI, DPO) et garde-fous techniques (anti-hallucination, refus thématique).

Aperçu des cas d'usage du LLM Souverain

Cliquez pour agrandir : Cas d'Usage & ROI Immédiat

Aperçu de l'architecture technique du LLM

Cliquez pour agrandir : Architecture Technique & Flux RAG

Aperçu du graphique ROI du LLM Souverain

Cliquez pour agrandir : Analyse ROI & Vision Stratégique

🛡️ LDAPCare : Développement IAM Sécurisé

LDAPCare est une solution logicielle sur mesure que j'ai conçue et développée en C#/.NET WPF pour un environnement critique et exigeant (grand parc, 24/7).

L'objectif était de permettre aux opérateurs de Niveau 1 (L1) d'effectuer des tâches sensibles sur l'Active Directory (Reset/Unlock, Must Change) sans détenir les privilèges Tier-0, réduisant ainsi le risque de compromission et l'escalade des incidents.

  • Moindre Privilège (RBAC)

    Délégation de droits granulaire et stricte via des groupes d'utilisateurs et des OUs ciblées.

  • Traçabilité et SRE

    Journalisation détaillée de chaque opération effectuée, essentielle pour le diagnostic et l'audit de conformité (MTTR -40%).

  • Développement Robuste

    Application C#/.NET WPF stable, packaging MSIX/ClickOnce, séparation stricte des rôles et sécurisation des secrets via DPAPI.

Interface de connexion LDAPCare avec authentification LDAPS sécurisée

Cliquez pour agrandir : Interface de connexion LDAPCare (LDAPS)

Extrait du code source C#/.NET avec gestion sécurisée Active Directory

Cliquez pour agrandir : Code source C# : gestion AD sécurisée

Tableau de bord LDAPCare avec traçabilité des opérations Tier-1

Cliquez pour agrandir : Dashboard : traçabilité opérations L1

Note : Les noms des organisations, logos et URLs internes sont masqués ou anonymisés pour respecter la confidentialité.

🛠️ Observabilité et Fiabilité des Systèmes : SRE et ChatOps

L'architecture résiliente repose sur une supervision fiable. Je conçois et déploie des piles Prometheus/Grafana pour une visibilité complète du Système d'Information (du hardware aux conteneurs).

L'objectif n'est pas seulement de voir, mais d'agir : les alertes critiques sont configurées via AlertManager et routées vers Slack/Teams (ChatOps), garantissant un temps de réponse critique mesurable et une réduction prouvée du MTTR.

  • Diagnostic Avancé (Grafana)

    Séparation des métriques Iowait et Busy User pour diagnostiquer les goulets d'étranglement : applicatif vs. I/O.

  • Stockage HA (Proxmox/ZFS)

    Maîtrise du cache ZFS ARC pour maximiser les performances I/O, en distinguant l'usage réel de la RAM du cache système.

  • ChatOps et Alertes Slack

    Intégration AlertManager vers canaux Slack/Teams pour notifier instantanément les équipes d'astreinte.

Interface Proxmox affichant les statistiques ZFS et optimisation cache ARC

Cliquez pour agrandir : Proxmox : optimisation RAM et cache ZFS

Alertes temps réel dans Slack transmises par AlertManager pour ChatOps

Cliquez pour agrandir : Alertes Slack (ChatOps) via AlertManager

Dashboard Grafana affichant métriques CPU, I/O et réseau pour diagnostic SRE

Cliquez pour agrandir : Grafana : diagnostic SRE (CPU, I/O, Réseau)

Ces interfaces réelles démontrent l'approche technique de l'observabilité, essentielle pour garantir la Haute Disponibilité et le Taux de Réponse Critique.

Témoignages anonymisés

« Réduction de 40 % des incidents réseau en 3 mois. »
CTO, industrie normande
« RTO passé sous 2 h avec preuves de restauration. »
DSI, santé multi‑sites
« Temps de chargement ÷2 et maintenance simplifiée. »
Dirigeant, e‑commerce local

À propos

Je suis Yahia Benaraba, consultant indépendant depuis 2009. Avant cela, j'ai servi 16 ans dans l'Armée (télécoms, systèmes et réseaux sécurisés de Défense). Mon approche : architectures sobres, sécurisées et documentées, avec transfert de compétences et réversibilité en standard.

Basé en Normandie (Caen, Bayeux, Saint‑Lô) – interventions sur site et en remote partout en France.

Voir mon LinkedIn

En dehors du clavier

🏍️Vitesse à moto piste
🪂Parachutisme
🥾Marche
🎮Jeux vidéo
🎬Cinéma et séries

Contact

Un besoin précis, un audit rapide, une infogérance ? Écrivez‑moi directement.

ou m'écrire via votre client mail

Aucune donnée revendue. Journalisation minimale technique. Voir confidentialité.

Me contacter via LinkedIn

Coordonnées

Normandie • interventions France entière

E‑mail : contact@axiona.fr

Mentions légales

Éditeur : AXIONA – Yahia Benaraba, activité de conseil informatique (indépendant).
Siège : Normandie, France (adresse complète sur facture).
Contact : via LinkedIn (formulaire de contact en cours).
SIRET : SIRET en cours.

Hébergement : serveur privé (Apache derrière reverse‑proxy). Journalisation de sécurité standard, aucune donnée personnelle collectée hors métriques techniques anonymisées.

Politique de confidentialité (résumé)

Ce site ne dépose pas de cookies marketing. Les seules données potentiellement traitées sont celles que vous choisissez de transmettre via LinkedIn. Aucune vente de données, pas de profilage.