Aller au contenu principal
CERTIFIÉ OSCP, HTB CWES, CEH

Développeur, devenu consultant en sécurité applicative

15+ ans de développement .NET/C# : sécurité offensive depuis 2019

Parcours

Je suis Jean-Baptiste Astarie, consultant cybersécurité et fondateur d'Ordanche Solutions. Avant de chercher des failles dans le code des autres, j'ai écrit le mien comme développeur puis tech lead.

Développeur puis Tech Lead (principalement .NET/C#), j'ai passé plus de quinze ans à concevoir et faire évoluer, en équipe, des applications critiques : progiciels de point de vente, plateformes métier dans le secteur de l'énergie, systèmes de gestion réglementés.

Ce parcours m'a donné quelque chose que les certifications n'enseignent pas : une intuition de ce qui se passe côté développeur, sous la pression des délais, avec les contraintes du moment.

En 2019, j'ai pivoté vers la sécurité offensive. Pas par rupture : par continuité. Après quinze ans à construire, tester les défenses que d'autres ont mises en place est la façon la plus directe de comprendre où elles cèdent réellement. Cette double compétence guide tout mon travail : je sais où l'on est tenté de prendre des raccourcis sous la pression, où les frameworks ont des angles morts, et comment un choix d'architecture devient, dans certaines conditions, une vulnérabilité exploitable. Et quand je rédige une recommandation, je garde en tête qu'elle aura un coût réel pour l'équipe qui devra l'appliquer.

Certifications

Une certification ne prouve pas tout, mais trois d'entre elles (OSCP, HTB CWES, OSWP) reposent sur un examen pratique : compromettre réellement un système, seul, sous contrainte de temps. CEH et Security+ apportent en complément des fondamentaux théoriques. Voici ce que chacune valide dans ma pratique, et le lien pour vérifier qu'elle est bien la mienne.

Certification phare

OffSec Certified Professional (OSCP) juin 2023

24 heures d'examen pratique : compromettre des machines (Active Directory, Linux, Windows, applications web), élever ses privilèges, pivoter dans le réseau, puis tout documenter dans un rapport professionnel en 24 heures supplémentaires. Le format est plus extrême qu'un test d'intrusion réel, mais il mobilise exactement les mêmes compétences : trouver, exploiter, documenter.

Spécialisation Web

HTB Certified Web Exploitation Specialist (HTB CWES) mai 2024

Examen pratique sur environnement réaliste : injections SQL, XSS, SSRF, désérialisation, contournements d'authentification. C'est la certification qui couvre le cœur de mon activité de test d'intrusion applicatif.

Certified Ethical Hacker (CEH) janvier 2019

Première certification de sécurité offensive : méthodologies d'attaque, reconnaissance, exploitation, post-exploitation.

CompTIA Security+ décembre 2022

Fondamentaux de la sécurité : gestion des risques, cryptographie, sécurité réseau, réponse aux incidents.

OffSec Wireless Professional (OSWP) octobre 2023

Examen pratique sur infrastructures sans fil : cracking WEP/WPA, attaques sur protocoles 802.11, rogue access points.

Et avant la sécurité ? Les quinze ans de développement sont documentés de la même façon : certifications Microsoft (Programming in C#, SQL Server, 2014), Professional Scrum Master I (2016), Opquast qualité web (certifié en 2018 avec 970/1000, re-certifié en 2023). Je ne les mets pas en avant : elles datent d'un autre métier. Mais elles existent, et elles se vérifient aussi.

Comment je travaille

Sans sous-traitance
La personne qui signe la proposition, qui réalise l'audit et qui rédige le rapport est la même : moi. Pas de junior envoyé sous la marque d'un senior, pas de prestation revendue. C'est l'avantage structurel d'une société unipersonnelle, et vous y avez droit de bout en bout.
Sans conflit d'intérêts
Je ne revends aucune licence et ne touche aucune commission d'éditeur. Quand je recommande un outil, c'est qu'il répond au besoin ; quand « ne rien acheter » est la bonne réponse, c'est celle que vous recevez.
Confidentialité par défaut
Accord de confidentialité avant tout accès, aucun extrait de votre code transmis à des services tiers (IA comprise) sans votre accord explicite, possibilité de réaliser la revue de code entièrement dans vos locaux.
Pensé pour être appliqué
Les recommandations sont priorisées par risque, pragmatiques et, dans la mesure du possible, actionnables directement.
La contrepartie honnête
Une structure unipersonnelle ne parallélise pas : les très gros périmètres en délai court ne sont pas mon terrain, et si votre besoin exige une qualification PASSI (OIV, SecNumCloud, secteur public), je vous oriente vers un prestataire qualifié dès le premier échange.
Assuré pour ce que je fais
Ordanche Solutions est couverte en responsabilité civile professionnelle auprès de la MAIF pour son activité de conseil en cybersécurité, y compris les dommages immatériels. L'attestation est fournie sur simple demande, et systématiquement jointe aux propositions d'intervention.

Questions fréquentes

Que se passe-t-il si vous êtes indisponible pendant une mission ?
Les missions sont forfaitaires avec un livrable défini : un aléa de quelques jours décale la livraison, il ne la compromet pas. Pour les audits de remédiation ou l'accompagnement récurrent, les délais contractuels intègrent cette marge. Dans la mesure du possible, la date est fixée en fonction de nos calendriers respectifs, pour que cette marge existe dès le départ.
Travaillez-vous seul sur toutes les missions ?
Oui. Si un périmètre dépasse ce qu'une personne peut couvrir sérieusement dans vos délais, je vous le dis au cadrage et, le cas échéant, je vous oriente vers une structure dimensionnée, plutôt que d'accepter une mission que je ne pourrais pas traiter avec la même rigueur.
Intervenez-vous partout en France ?
Oui, en présentiel ou en distanciel. Basé en Charente-Maritime, j'interviens sur site partout en France ; la majorité des audits de code et des pentests se réalisent efficacement à distance, les formations gagnent souvent à être en présentiel.
Pourquoi « Ordanche » ?
La Banne d'Ordanche est un sommet d'Auvergne. Quand j'ai créé l'entreprise, j'habitais à son pied, à Murat-le-Quaire.

Recommandations

« Jean-Baptiste est intervenu sur mon projet de taille moyenne, impliquant environ 40 personnes réparties entre trois équipes de build et une équipe MCO. [...] Il s'est distingué par son pilotage technique factuel et pertinent, capable de structurer les sujets complexes avec clarté et efficacité. Jean-Baptiste s'est également montré très adaptable, intégrant les contraintes spécifiques du projet sans jamais en dénaturer l'esprit ni les objectifs. [...] Ses compétences en cybersécurité sont indéniables. Il a apporté une réelle valeur ajoutée, tant sur la résorption des vulnérabilités identifiées que sur la mise en place d'une organisation capable de réagir efficacement en cas d'incident cyber. Son approche proactive et structurée a permis de renforcer significativement la résilience du projet. »
- Expert Systèmes Senior, secteur Énergie
« Collaborer avec lui est un gage de sérénité : expert certifié en cybersécurité, il combine une maîtrise approfondie du développement .NET/C# avec une solide expérience en architecture système et cloud. Au-delà de sa rigueur technique, Jean-Baptiste est un excellent pédagogue, capable de vulgariser des enjeux complexes et de guider une équipe avec calme et efficacité. »
- Directeur de production, éditeur logiciel

Discutons de votre besoin

Décrivez votre contexte technique. Je vous réponds sous 48 h avec une proposition d'intervention.

Me contacter