MATTHIEU LOISY — Administrateur Systèmes, Réseaux & Cybersécurité

01.

PROFIL

Mon parcours, du Bac Professionnel au BTS SIO SISR puis à la Licence Professionnelle ASSR, a été construit avec une logique de montée en compétences délibérée.

En alternance chez Solpay, j'ai déployé une solution XDR/SIEM Wazuh centralisée, administré des clusters Kubernetes haute disponibilité, et configuré le SSO/OIDC de l'ensemble des applications internes. En dehors du cadre professionnel, je maintiens un homelab complet — virtualisation Proxmox, réseau segmenté en VLANs, stack d'authentification, supervision et sauvegarde chiffrée.

L'administration des systèmes et réseaux ne s'apprend pas passivement : elle se construit par la pratique, l'échec et la rigueur.

Atouts

Anglais C1
Curieux & Veille active
Autodidacte
Adaptabilité
Rigueur

02.

COMPÉTENCES

RÉSEAUX

ExtremeNetworksCiscoMerakiUniFiVPNVLANDHCPDNSRadiusDiameter

SYSTÈMES

Linux (Debian, Ubuntu, Fedora, SUSE)Windows ServerActive DirectoryGPOProxmox VEVMware

CYBERSÉCURITÉ

Wazuh XDR/SIEMDuoLogSyncSSO / OIDC / IAMStormshieldOPNsenseCrowdSecSysmon

DEVOPS & GITOPS

DockerK3sRKE2RancherFleetArgoCDHelmCI/CD GitJenkins

MONITORING

GrafanaFluent BitPrometheusZabbixWazuhElasticSearch

CERTIFICATIONS

CCNA 12024

CCNA 22025

CyberOps Associate2025

03.

EXPÉRIENCE

2024 — PRÉSENT

Alternance

Administrateur Systèmes, Réseaux & Cybersécurité

Solpay — Le Cannet, France

Administration XDR/SIEM Wazuh centralisée — centaines de règles de détection
Pipeline de logs Fluent Bit + DuoLogSync → Wazuh
Intégration Sysmon, cold storage, dashboards Grafana
SSO/OIDC pour toutes les applications internes
Clusters Kubernetes HA : K3s, RKE2, Rancher
Orchestration Fleet en GitOps, Active Directory RODC

JAN — FÉV 2025

Stage

Stage BTS SIO — 2ème année

CARF — Menton

Configuration réseau Cisco & Extreme Networks
Déploiement et administration Proxmox VE
Segmentation réseau par VLANs
Installation GLPI, CartTransfert, déploiement GPO

MAI — JUIN 2024

Stage

Stage BTS SIO — 1ère année

Mairie de Menton — Menton

Déploiement pare-feu Stormshield
Migration Stormshield → OPNsense/OpenVPN
Configuration switchs et routeurs Cisco

JAN — MARS 2023

Stage

Stage de Terminale

DSI Gouvernement Princier de Monaco — Monaco

Prise en main Docker & VMware en autodidacte
Déploiement switchs Cisco C9X00 avec Docker intégré

04.

FORMATION

2025 — PRÉSENT

Licence Professionnelle ASSR

IUT Nice Côte d'Azur

Sophia Antipolis

2023 — 2025

BTS SIO option SISR

Lycée Honoré d'Estienne d'Orves

Nice

2021 — 2023

Bac Pro Systèmes Numériques RISC

Lycée Jacques Dolle

Antibes

05.

HOMELAB

Infrastructure personnelle complète — virtualisation Proxmox, réseau segmenté en 12+ VLANs, stack d'authentification centralisée, supervision et sauvegarde chiffrée. L'espace où je teste et reconstruis sans filet.

DELL R530

Proxmox VE

HP ML350 G8

Servo — Docker

OPTIPLEX 3050

Docker — HA

DREAM ROUTER PRO

UniFi L3 Gateway

VLAN 50DMZ — PÉRIMÈTRE PUBLIC

Traefik

Reverse proxy · TLS 1.3

Exposé

Pangolin

WG Tunnel → home.arpa

CrowdSec

IPS · GeoIP · Blocklists

IPS

Mailserver

mail.trashbread.fr

Exposé

VM pfSense

Suricata IPS inline

Double FW

VLAN 40AUTH & INFRASTRUCTURE

Authelia

2FA Portal · TOTP + WebAuthn

2FA

Keycloak

OIDC SSO · realm homelab

OIDC

LLDAP

dc=home,dc=local

LDAP

OpenBao

Secrets · PKI · YubiKey

Vault

Portainer

portainer.home.arpa

OIDC

Harbor

registry.home.arpa

OIDC

VLAN 41MÉDIA

Jellyfin

jellyfin.trashbread.fr

Public

VLAN 42APPS PERSONNELLES

Immich

photos.trashbread.fr · Backup B2

OIDC

Paperless

docs.home.arpa

OIDC

Vaultwarden

vault.trashbread.fr · 2FA

OIDC

Gitea

git.home.arpa

OIDC

Umami

analytics.home.arpa

OIDC

VLAN 60STORAGE — TRUENAS

TrueNAS

Administration

NFS

/mnt/truenas_media

ZFS chiffré

ZFS Snapshots

Hourly/Daily/Weekly

T1 Backup

USB LUKS

Rotation A/B air-gapped

T2

VLAN 70PROXMOX — R530

Proxmox UI

proxmox.home.arpa

VM pfSense

Suricata IPS

V50↔V40

VM Win Server/AD

ad.home.arpa

VMs dev/test

Environnements isolés

V99

Architecture réseau

Double firewall (UniFi DRP + pfSense/Suricata IPS inline), segmentation stricte en VLANs, ACLs port profiles, authentification centralisée via Authelia + Keycloak + LLDAP, secrets managés par OpenBao avec YubiKey, sauvegarde 3-2-1 (ZFS snapshots + USB LUKS air-gapped).

06.

JOURNAL

Retours d'expérience sur des déploiements réels — en entreprise et sur mon infrastructure personnelle. La théorie ne suffit pas, voici la pratique.

01.CYBERSÉCURITÉ12 min

DÉPLOIEMENT D'UN SIEM WAZUH CENTRALISÉ EN ENTREPRISE

Mise en place d'une solution XDR/SIEM Wazuh comme puits de logs centralisé chez Solpay. Pipeline Fluent Bit pour l'ingestion, intégration Sysmon sur les postes Windows, routage DuoLogSync, création de centaines de règles de détection custom et cold storage pour la rétention longue durée.

WAZUHFLUENT BITSYSMONSIEMMARS 2026

02.HOMELAB10 min

STACK D'AUTHENTIFICATION CENTRALISÉE : AUTHELIA + KEYCLOAK + LLDAP

Architecture d'authentification zero-trust sur le homelab : LLDAP comme annuaire léger, Keycloak pour le SSO/OIDC avec un realm dédié, Authelia en ForwardAuth middleware devant Traefik avec TOTP et WebAuthn. Intégration OpenBao pour la gestion des secrets avec YubiKey.

AUTHELIAKEYCLOAKOIDCZERO-TRUSTFÉV 2026

03.RÉSEAU8 min

DOUBLE FIREWALL ET SEGMENTATION VLAN AVEC PFSENSE + SURICATA

Mise en place d'une architecture double firewall : UniFi Dream Router Pro en première ligne, VM pfSense sur Proxmox avec Suricata IPS inline entre la DMZ (VLAN 50) et le réseau interne (VLAN 40). Segmentation stricte en 12 VLANs, ACLs port profiles UniFi, et règles de filtrage avancées.

PFSENSESURICATAVLANIPSJAN 2026

04.DEVOPS9 min

ORCHESTRATION KUBERNETES EN GITOPS AVEC FLEET ET RANCHER

Administration de clusters Kubernetes haute disponibilité (K3s, RKE2) chez Solpay. Déploiement de Rancher pour la gestion centralisée, orchestration par Fleet en approche GitOps pure : gestion déclarative des configurations, pipelines de déploiement automatisés, et rollback instantané.

K3SRKE2FLEETGITOPSDÉC 2025

À PROPOS DU JOURNAL

Ces articles documentent des mises en place concrètes, réalisées en environnement de production ou sur mon homelab. Chaque article détaille l'architecture choisie, les problèmes rencontrés et les solutions retenues.

Articles4

Domaines4

TECHNOLOGIES

WAZUHFLUENT BITSYSMONSIEMAUTHELIAKEYCLOAKOIDCZERO-TRUSTPFSENSESURICATAVLANIPSK3SRKE2FLEETGITOPS

MATTHIEU
LOISY.

PROFIL

COMPÉTENCES

RÉSEAUX

SYSTÈMES

CYBERSÉCURITÉ

DEVOPS & GITOPS

MONITORING

CERTIFICATIONS

EXPÉRIENCE

Administrateur Systèmes, Réseaux & Cybersécurité

Stage BTS SIO — 2ème année

Stage BTS SIO — 1ère année

Stage de Terminale

FORMATION

Licence Professionnelle ASSR

BTS SIO option SISR

Bac Pro Systèmes Numériques RISC

HOMELAB

JOURNAL

DÉPLOIEMENT D'UN SIEM WAZUH CENTRALISÉ EN ENTREPRISE

STACK D'AUTHENTIFICATION CENTRALISÉE : AUTHELIA + KEYCLOAK + LLDAP

DOUBLE FIREWALL ET SEGMENTATION VLAN AVEC PFSENSE + SURICATA

ORCHESTRATION KUBERNETES EN GITOPS AVEC FLEET ET RANCHER

PARLONS
ENSEMBLE.

MATTHIEULOISY.

PROFIL

COMPÉTENCES

RÉSEAUX

SYSTÈMES

CYBERSÉCURITÉ

DEVOPS & GITOPS

MONITORING

CERTIFICATIONS

EXPÉRIENCE

Administrateur Systèmes, Réseaux & Cybersécurité

Stage BTS SIO — 2ème année

Stage BTS SIO — 1ère année

Stage de Terminale

FORMATION

Licence Professionnelle ASSR

BTS SIO option SISR

Bac Pro Systèmes Numériques RISC

HOMELAB

JOURNAL

DÉPLOIEMENT D'UN SIEM WAZUH CENTRALISÉ EN ENTREPRISE

STACK D'AUTHENTIFICATION CENTRALISÉE : AUTHELIA + KEYCLOAK + LLDAP

DOUBLE FIREWALL ET SEGMENTATION VLAN AVEC PFSENSE + SURICATA

ORCHESTRATION KUBERNETES EN GITOPS AVEC FLEET ET RANCHER

PARLONSENSEMBLE.

MATTHIEU
LOISY.

PARLONS
ENSEMBLE.