Mes Stages

Identité

• Secteur : Banque & Services Financiers
• Date de création : 2000 (fusion BNP + Paribas)
• Type : Société Anonyme (SA)
• Siège social : 16 bd des Italiens, 75009 Paris
• Effectif mondial : ~185 000 collaborateurs
• Implantation : 65+ pays

Chiffres Clés (2023)

Métrique	Valeur
Chiffre d'affaires	46,4 milliards €
Résultat net	10,8 milliards €
Capitalisation	~75 milliards €

Activités Principales

1. Banque de détail (particuliers & pros)
2. Banque d'investissement
3. Gestion d'actifs (Asset Management)
4. Assurance (via Cardif)

Gouvernance

• PDG : Jean-Laurent Bonnafé (depuis 2011)
• Président du CA : Jean Lemierre
• Stratégie : Digitalisation (Hello Bank!), Finance durable (neutralité carbone 2050)

Informations Générales

• Valmy = Bâtiment principal.
• BNPP = Abréviation pour BNP Paribas.
• Formations : Série de formations similaires aux MOOC.

Concepts Clés

• Test en qualification : Environnement de test avant mise en production
• CFT : Cross Functional Team
• MEP : Mise En Production
• Problématiques :
• Intégrité des données.
• Envoi sécurisé des données.

Activités de la Semaine

Onboarding Initial

• IT Payment Services : Groupe A : Digital Services for Customers. Groupe B : Data & Analytics Expertise.

Checklist :

• Récupération matériel informatique (PC, badge).
• Finalisation des formations initiales.

Réunions et Découvertes

Meetings importants :

• CAB Customer and Data Services.
• Synchro hebdo Open Cloud Platforms 2025.

Prise de notes :

• CMAT: Cloud Maturity Assurance Team.
• Cloud register = Liste des SAS utilisés.
• BCEF = Banque de détail.

Retour d’expérience :

Première semaine intense avec une prise en main des outils et une introduction aux enjeux stratégiques de BNPP.

Immersion Cybersécurité

Équipe Sec03 - BlueTeam

Lieu : Valmy 2, 3ème étage

Participants : Alternants Elcano & Aiman

Activités principales :

• Gestion des accès utilisateurs.
• Administration des certificats SSL/TLS.
• Gestion des jetons RSA SecureID.

Protocoles de sécurité :

• Normes OWASP pour la validation des sites.
• Renouvellement des tokens RSA toutes les 30s.

Catégorie	Technologies/Outils
Infrastructure	Mainframe (partitions multiples)
Sécurité	RSA SecurID, SSL/TLS
Outils	Reflection, Sari BNPP

Session sur les Consent Trackers (27/05/2025)

Contenu principal (basé sur "Consent trackers 101.pdf") :

• Réglementations mondiales sur les données personnelles : RGPD (UE), Directive ePrivacy, DPDP (Inde), CCPA (USA), LGPD (Brésil), LPDP (Singapour).
• Risques de non-conformité : Sanctions financières (jusqu'à 4% du CA mondial sous RGPD), atteinte à la réputation, perte de clientèle, actions en justice, perturbations opérationnelles.
• Exemples d'amendes : Apple (8 M€ par CNIL pour traceurs publicitaires par défaut), TikTok (5 M€ pour asymétrie dans le refus des cookies), Microsoft (60 M€ pour infractions sur Bing), Amazon (35 M€ pour cookies sans consentement).
• Composants réseau pour la sécurité : DDOS protection, Bot mitigation, WAF (Web Application Firewall).
• Identity & Access Management to API : Chaque composant a une responsabilité unique.
• Fonctionnalités WAF : Protection contre OWASP Top 10, gestion des logs/audits, contrôle d'accès par IP, etc.

Retour d’expérience :

Immersion dans les processus de cybersécurité, avec une découverte des outils critiques comme Reflection et Sari BNPP, complétée par une session sur les consent trackers soulignant l’importance de la conformité RGPD et des risques associés.

Formation Cloud 101

Lieu : Valmy 1

Format : Module e-learning

Concepts clés (basé sur "Cloud 101.pdf") :

• Cloud Blueprint : Standard groupe pour le cloud. Objectif : Fournir un cadre pour l'adoption sécurisée et standardisée du cloud.
• Gouvernance : CMAT (Cloud Maturity Assurance Team). CEC (Cloud Enablement Council).
• Bénéfices du Cloud : Rapidité de déploiement (réduction du time-to-market), accessibilité anytime/anywhere/anydevice, agilité, scalabilité, accélération de l'innovation, résilience, réduction de la dette technique, efficacité énergétique (RSE compliant).
• Cloud Souverain : Focus sur la souveraineté des données, avec des exemples de sovereign clouds.
• Ouverture aux 3rd Parties : Intégration sécurisée avec des partenaires externes.

Atelier IT Payment Services

Lieu : Valmy 1, Salle de réunion 4B

Participants : Équipe IT Payment Services, alternants, tuteur de stage

Activités principales (basé sur "STAGE.pdf") :

• Analyse des workflows de paiement (SEPA, SWIFT).
• Contribution à la documentation des processus de validation.
• Introduction aux API Apigee pour les services clients : API Proxy comme façade aux backends, packaging en API Products, enregistrement d'applications pour credentials.

Concepts clés :

• SEPA : Single Euro Payments Area pour les paiements en euros.
• SWIFT : Réseau interbancaire international.
• API Gateway : Apigee pour sécuriser les API, gérer les tokens, scopes OAuth, throttling et quotas.
• Chaine de valeur digitale via Apigee : Exposition des services backends, monétisation, monitoring.

Outils utilisés :

• Apigee (gestion des APIs).
• Jira (suivi des tâches).
• Confluence (documentation).

Retour d’expérience :

Une semaine axée sur les flux de paiement, renforçant la compréhension des processus bancaires numériques via Apigee et l'API Management Platform.

Formation Sécurité Avancée

Lieu : Valmy 2, Salle de formation 3C

Format : Session présentielle avec formateur

Contenu (basé sur "Cloud 101.pdf" pour aspects cloud security) :

• Tests d’intrusion (Red Team vs Blue Team).
• Gestion des vulnérabilités avec Nessus.
• Protocoles de réponse aux incidents de cybersécurité.
• Cloud Security : Protection des données dans le cloud, DevSecOps pour intégrer la sécurité dans le cycle de développement.
• Microservices et Cloud Native : Compréhension des architectures splittées en conteneurs (Docker, Kubernetes, Openshift).

Concepts clés :

• OWASP Top 10 : Principales vulnérabilités web.
• Nessus : Outil de scan des vulnérabilités.
• SIEM : Surveillance en temps réel des événements de sécurité.

Évaluation :

Formation clé pour comprendre les approches offensive et défensive en cybersécurité bancaire, avec un lien vers la sécurité cloud et DevSecOps.

Réunions

Meetings importants :

• Revue des projets IT Payment Services.
• Atelier sur la conformité RGPD.

Prise de notes :

• RGPD : Importance de la protection des données clients.
• Data Governance : Règles pour la gestion des données sensibles.

Entretien avec un Alternant de l’Équipe Firewall

Lieu : Valmy 2, 4ème étage

Participants : Alternant de l’équipe Firewall, tuteur de stage

Objectif : Comprendre le rôle de l’équipe Firewall dans la cybersécurité.

Points abordés :

• Rôle de l’équipe Firewall :
• Configuration et maintenance des pare-feu (Palo Alto, Cisco).
• Surveillance des flux réseau pour détecter les anomalies.
• Mise en œuvre de politiques de filtrage pour protéger les infrastructures.
• Activités quotidiennes :
• Analyse des logs réseau via Splunk.
• Gestion des règles de pare-feu pour les nouvelles applications.
• Collaboration avec l’équipe Sec03 pour les audits de sécurité.
• Défis :
• Équilibrer sécurité et performance réseau.
• Réagir rapidement aux menaces émergentes.

Outils utilisés :

• Splunk (analyse des logs).
• Palo Alto Panorama (gestion des pare-feu).
• Cisco Secure Firewall Management Center.

Retour d’expérience :

L’entretien a révélé l’importance cruciale des pare-feu dans la protection des infrastructures bancaires et les défis techniques liés à leur gestion.

Activités Complémentaires

• Participation à une simulation d’attaque réseau (exercice Red Team) : J'ai découvert les différents types d'attaques que la BNPP pourrait être victime, et pour le côté pratique, on a essayé une technique d'OSINT pour trouver des informations sur nous.
• Contribution à la mise à jour des règles de pare-feu pour une nouvelle application.

Bilan Hebdomadaire

Acquis :

• Compréhension des opérations de l’équipe Firewall.
• Initiation à la gestion des pare-feu et à l’analyse des logs.
• Renforcement des connaissances en cybersécurité réseau.

Perspectives :

• Approfondir les compétences en analyse des logs avec Splunk.
• Préparer une certification en cybersécurité réseau (ex. : CCNA Security).

Informations Générales

• Valmy = Bâtiment principal.
• BNPP = Abréviation pour BNP Paribas.
• Formations : Série de formations similaires aux MOOC.

Concepts Clés

• Test en qualification : Environnement de test avant mise en production
• CFT : Cross Functional Team
• MEP : Mise En Production
• Problématiques :
• Intégrité des données.
• Envoi sécurisé des données.
• Sujet UI PPD CIS.

Activités de la Semaine

Onboarding Initial

• CoE API

Checklist :

• Récupération matériel informatique (PC, badge).
• Commencer à travailler sur divers sujets.

Réunions et Découvertes

Meetings importants :

• Daily tous les jours à 9h45.

Prise de notes :

• OCP: Open Cloud Platforms.
• Cloud register = Liste des SAS utilisés.
• BCEF = Banque de détail = Banque Commerciale En France.
• PPD = PostScript Printer Description.
• Outils utilisées:
• Git (Gitlab/Github).
• Confluence - Outil de collaboration et de gestion des connaissances développé par Atlassian (Jira/Trello, etc..).
• Incident Cardif.
• White list certificats.
• Benchmark = Banc d'essai. (Bencher une API consiste à tester et mesurer les performances d'une API).
• DMZR = DMZ (Réseau isolé où on ne peut pas accéder à internet).
• VIP = Adresse IP qui n'est pas liée à une interface réseau physique. = Elle est Virtuelle.

Retour d'expérience

Rapport intermédiaire du tir de résilience du 02/01/26.