De l'ingénierie radio à la cybersécurité des équipements IoT & radio

Abdoul Karim Mamani

Expert Cybersécurité · Sécurité des équipements IoT & radio · Gouvernance & conformité (CRA/RED/ETSI)

Sécurité opérationnelle

Gouvernance & Conformité

Sécurité des équipements IoT & radio

Expert cybersécurité fort de 15 ans d'expérience, spécialisé dans la sécurité des équipements IoT & radio, la gouvernance et gestion des risques (ISO 27001/27005 & EBIOS RM) et la conformité réglementaire (CRA, RED, ETSI).

Mon parcours combine trois expertises complémentaires :
1. L'ingénierie radio — 7 ans de design, optimisation et QoS sur réseaux mobiles.
2. La régulation technique — gestion et contrôle du spectre, pilotage du cadre national d'homologation des équipements et d'agrément des installateurs.
3. La cybersécurité — sécurité opérationnelle, GRC et évaluation de la sécurité des équipements (tests d'intrusion, analyse de firmware, audit OTA).

En 2025, j'ai contribué à l'adoption des premiers textes réglementaires intégrant la cybersécurité comme exigence essentielle dans l'homologation au Niger — une démarche alignée sur le CRA, la directive RED et les normes ETSI EN 303 645 / EN 18031.

Voir mes projets Télécharger mon CV Me contacter →

Indicateurs clés

15 ans

d'expérience — de l'ingénierie radio à la cybersécurité IoT & radio

projets cybersécurité documentés — audit, pentest, DFIR, SIEM, GRC, AppSec

ouvrages en cours — cybersécurité, sécurité matérielle, conformité

20+

formations & séminaires internationaux — RF, homologation, cybersécurité & management

Expertise & positionnement

Trois expertises,
une cohérence rare

Issu de l'ingénierie radio, j'ai évolué vers la régulation technique puis la cybersécurité des équipements. Cette trajectoire m'a conduit à développer trois expertises complémentaires qui se renforcent mutuellement :
• La cybersécurité opérationnelle — pour détecter, analyser et répondre aux incidents.
• La gouvernance et conformité — pour structurer des cadres d'exigences et de contrôle.
• La sécurité des équipements IoT/radio — pour évaluer et certifier la sécurité des produits.

Cette combinaison couvre l'ensemble de la chaîne : du terrain technique à la décision réglementaire et stratégique.

Expertise 01 — Opérationnelle

Sécurité opérationnelle & réponse aux incidents

Une cybersécurité opérationnelle fondée sur la pratique : sécurisation d'infrastructures, segmentation réseau, durcissement des systèmes, déploiement de sondes de détection (SIEM/SOC) et conduite d'investigations initiales (DFIR). Chaque projet a donné lieu à un livrable documenté — rapports d'audit, plans de remédiation, procédures de réponse à incident.

SOC & détection Hardening Segmentation DFIR Audit SSI Vuln management MITRE ATT&CK

Expertise 02 — Gouvernance & conformité

Gouvernance, risques & conformité (GRC)

Construction de cadres de gouvernance cybersécurité alignés sur les standards internationaux (ISO 27001, EBIOS RM, IEC 62443). Analyse de risques, rédaction de politiques de sécurité (PSSI), élaboration de matrices de conformité et de plans de tests. Une expertise directement applicable aux exigences du Cyber Resilience Act, de la directive RED et des normes ETSI.

EBIOS RM ISO 27001/27005 PSSI / Policy Matrice conformité CRA RED 2014/53/UE IEC 62443 EN 18031

Expertise 03 — Sécurité produit

Sécurité des équipements IoT & radio

Évaluation complète de la cybersécurité des équipements connectés : tests d'intrusion sur interfaces sans fil (Wi-Fi, BLE, NFC, LTE), analyse de firmware (statique/dynamique, reverse engineering), audit des mécanismes de mise à jour (OTA) et vérification de conformité sur bancs R&S CMW500 et CMX500. Objectif : fournir des recommandations security-by-design.

Pentest équipements Audit OTA Wi-Fi / BLE / NFC / LTE ETSI EN 303 645 SBOM Fuzzing Conformité CRA/RED

Dimension transverse

Terrain africain & leadership cyber

Une expertise réglementaire forgée par la pratique,
une vision portée par l'engagement

Avoir contribué à structurer les procédures d'évaluation cybersécurité des équipements au Niger — dans un cadre aligné sur la directive RED et le CRA — permet d'appréhender concrètement la mise en œuvre des exigences essentielles sur des équipements réels. Cette expertise s'inscrit dans un engagement plus large : participation aux travaux de l'UIT et aux groupes de travail régionaux sur la normalisation des équipements et les radiocommunications, contribution active au sein de l'APSI-NE (Association des Professionnels de la Sécurité de l'Information du Niger), et intervention aux Journées Nationales de Cybersécurité de Bamako (2025) sur les enjeux de souveraineté numérique sahélienne.

Réalisations clés

Contributions techniques
& projets concrets

Sélection de travaux illustrant les trois dimensions de mon profil : sécurité des infrastructures, gouvernance et conformité, évaluation de la sécurité des équipements.

Sécurité opérationnelle

P01 Sécurisation d'une infrastructure SI virtualisée

Architecture de sécurité complète : segmentation réseau, pare-feu Linux, Active Directory, GPO et durcissement des services exposés en DMZ.

Security ArchitectureNetwork SegmentationADGPO HardeningDMZ

Sécurité opérationnelle

P02 Analyse de sécurité applicative

Démarche AppSec complète : définition d'exigences, identification de vulnérabilités, tests de sécurité et plan de remédiation aligné OWASP.

Secure CodingOWASP Top 10Security TestingVulnerability Analysis

Sécurité opérationnelle

P03 Audit sécurité SI & pentest applicatif

Audit complet d'une plateforme e-commerce : analyse organisationnelle, audit technique, test d'intrusion OWASP Juice Shop, collecte de preuves et plan de remédiation priorisé.

Security AuditPentestOWASP TestingISO 27001

Sécurité opérationnelle

P04 Déploiement SIEM & détection d'intrusions

Mise en place d'une plateforme Wazuh en environnement segmenté : journalisation multi-sources, règles de corrélation, détection de scénarios d'attaque (web shell, élévation AD, C2) et tableaux de bord de supervision alignés MITRE ATT&CK.

SIEMWazuhMITRE ATT&CKLog Correlation

⌥ GitHub

Sécurité opérationnelle

P05 Investigation forensique & réponse à incident

Analyse mémoire (Volatility), analyse disque (FTK Imager), reconstruction de chaînes d'attaque (PDF → macro VBA → payload), identification d'artefacts d'exécution et recommandations de remédiation.

DFIRVolatilityFTK ImagerMalware Analysis

Gouvernance & conformité

P06 Analyse de risques & politique de sécurité (EBIOS RM)

Analyse complète des risques d'une PME industrielle selon la méthode EBIOS RM, suivie de l'élaboration d'une PSSI structurée en plan d'actions opérationnel aligné sur les risques identifiés.

EBIOS RMRisk AssessmentPSSISecurity Roadmap

Les rapports techniques complets sont disponibles sur demande justifiée. Certains livrables contiennent des éléments sensibles et ne peuvent être diffusés publiquement.

Projets en cours

Recherche & Développement

Recherche · Firmware IoT

Analyse dynamique & fuzzing de firmware embarqué

Laboratoire d'analyse firmware : exécution contrôlée sous QEMU, campagnes de fuzzing ciblé avec AFL++, développement de harness de test, automatisation du triage de crashs, reverse engineering et analyse des causes racines avec GDB et scripts Python. Objectif : identification de vulnérabilités dans des composants IoT réels.

Firmware AnalysisQEMUAFL++Crash AnalysisReverse Engineering

Sécurité produit · IoT

Évaluation de sécurité d'un écosystème IoT complet

Évaluation bout-en-bout : firmware embarqué, communications réseau, API backend et application mobile. Authentification (JWT, OAuth2), audit TLS, secrets embarqués et mécanismes de mise à jour.

IoT Security AssessmentAPI SecurityTLS InspectionMobile Analysis

Recherche · Systèmes embarqués critiques

Attaques PDoS sur systèmes embarqués critiques

Modèle formel UPM, scoring PVSS, détection par TinyML et contre-mesures autonomes. Six systèmes d'étude : NVIDIA Jetson, Pixhawk, Android, OpenWrt, STM32 BLE, CubeSat OBC.

Veille & production intellectuelle

CyberWatch —
veille hebdomadaire

Production hebdomadaire de veille cybersécurité couvrant deux axes : vulnérabilités et incidents ciblant les systèmes embarqués, l'IoT et les réseaux d'opérateurs, et évolutions réglementaires cyber (CRA, EN 18031, ETSI EN 303 645). Chaque édition intègre un regard spécifique sur l'Afrique subsaharienne.

Veille embarquée & IoT

CVE critiques

Suivi des vulnérabilités critiques ciblant les équipements grand public et industriels déployés en Afrique subsaharienne — routeurs, CPE, caméras, passerelles IoT.

Incidents

Analyse des campagnes de botnets ciblant les plages IP africaines et des incidents affectant les infrastructures télécoms régionales.

Tendances

Veille sur les nouvelles techniques d'attaque contre les systèmes embarqués, les protocoles radio et les chaînes d'approvisionnement.

🌍 Focus Afrique

La majorité des équipements connectés déployés en Afrique subsaharienne sont importés sans évaluation cybersécurité approfondie et rarement mis à jour après installation — créant une surface d'attaque massive pour les botnets et les acteurs malveillants.

Veille réglementaire

CRA

Suivi des jalons du Cyber Resilience Act : obligations des fabricants, reporting ENISA, exigences SBOM, vulnerability handling et support de sécurité.

ETSI

Veille sur les normes ETSI EN 303 645 (IoT grand public) et EN 18031 (équipements radio) — exigences d'authentification, chiffrement, mises à jour et tests d'intrusion.

RED

Évolutions de la directive RED 2014/53/UE, notamment les articles 3(3)(d)(e)(f) relatifs à la cybersécurité des équipements radioélectriques.

📋 Enjeux africains

L'alignement progressif des cadres africains d'homologation sur les standards CRA et ETSI ouvre la voie à des accords de reconnaissance mutuelle et renforce les exigences de cybersécurité dans les appels d'offres internationaux.

Publication hebdomadaire

Analyse de signaux faibles, CVE et évolutions réglementaires

Éditions récentes

Chaque édition analyse une sélection de CVE critiques, les incidents majeurs, les publications réglementaires et les tendances de fond. Sources : NIST NVD, CISA KEV, ENISA, Shadowserver, SentinelOne, EUR-Lex. Format : slides, recommandations opérationnelles, horizon de remédiation.

CyberWatch IoT Security Embedded Security CVE Analysis EN 18031 CRA ETSI EN 303 645

Publications

Livres &
ouvrages en cours

Six ouvrages en cours de finalisation, couvrant la sécurité des infrastructures radio, la sécurité matérielle, la gouvernance réglementaire et la géopolitique numérique africaine. Auto-édition. Cibles : praticiens, régulateurs, industriels et chercheurs.

Ouvrage 01

◐ En cours

Sécurité des infrastructures radio et gestion du spectre

Menaces cyber-physiques, modélisation formelle et cadre de détection pour l'Afrique subsaharienne

Cadre analytique rigoureux pour comprendre, modéliser et évaluer la sécurité des infrastructures de radiocommunication dans le contexte spécifique de l'Afrique subsaharienne. Mobilise la théorie de la détection stochastique, la théorie des graphes et l'analyse normative comparative pour produire des résultats quantifiables — probabilités de détection, taux de réduction de surface d'attaque, seuils analytiques.

Sécurité RF Modélisation formelle Afrique subsaharienne Infrastructures critiques Voir la page du livre →

Ouvrage 02

◐ En cours

Électronique pour l'analyste en sécurité matérielle

Fondements électroniques · Interfaces de debug · Firmware · Attaques physiques · Défense

Ouvrage de référence francophone couvrant la couche matérielle de la cybersécurité : électronique orientée sécurité, cartographie des SoC et microcontrôleurs, interfaces de debug (UART, JTAG, SWD, SPI, I²C), analyse de firmware, attaques par canal latéral et injection de fautes, mécanismes de défense (TPM, TrustZone, PUF, Secure Element). Aligné sur RED, CRA, ETSI EN 303 645 et IEC 62443.

Sécurité matérielle Firmware Attaques physiques RED · CRA · ETSI Voir la page du livre →

Ouvrage 03

◉ Quasi-finalisé

Le cyberespace sahélien, un nouveau front

Enjeux, menaces et souveraineté numérique dans l'Alliance des États du Sahel

Analyse géopolitique et technique de l'émergence du cyberespace comme espace stratégique dans le contexte sahélien. Cartographie des menaces, enjeux de souveraineté numérique et défis institutionnels pour les États membres de l'AES.

Géopolitique cyber AES · Sahel Souveraineté numérique Menaces étatiques Voir la page du livre →

Ouvrage 04

◐ En cours

Cybersécurité des Réseaux Mobiles — De la 2G à la 5G

Protocoles, Attaques et Défenses

Référence technique couvrant l'évolution des protocoles mobiles et leurs surfaces d'attaque associées, de SS7/GSM jusqu'aux architectures 5G standalone. Vecteurs d'attaque, méthodes de détection et stratégies de durcissement par génération.

Réseaux mobiles 2G → 5G Protocoles SS7 · LTE · NR Voir la page du livre →

Ouvrage 05

◐ En cours

Cybersécurité de l'IoT : Infrastructure critique et souveraineté numérique

~900 pages · 26 chapitres · Parts I–III rédigées

Référence francophone de l'IoT sécurisé : vecteurs d'attaque, protocoles radio, systèmes embarqués critiques, cadres réglementaires africains et internationaux. Cible : praticiens, régulateurs, institutions, chercheurs.

IoT Security Systèmes embarqués Infra critique Réglementaire Voir la page du livre →

Ouvrage 06

◉ Quasi-finalisé

Cybersécurité par conception : Guide pratique du Cyber Resilience Act

Équipements radio, IoT et systèmes embarqués — De l'évaluation des risques à la mise sur le marché européen

Guide opérationnel du CRA pour industriels et évaluateurs : exigences essentielles, procédures d'évaluation de conformité, SBOM, vulnerability handling, reporting ENISA. De l'analyse de risques à la mise sur le marché européen — étape par étape.

Cyber Resilience Act Product Security Conformité UE SBOM Voir la page du livre →

Auto-édition · Manuscrits disponibles sur demande pour éditeurs, partenaires institutionnels ou collaborateurs techniques.

Compétences techniques

Maîtrise technique
& référentiels

Des compétences construites sur la pratique et les projets documentés — pas uniquement en formation, mais dans des contextes d'évaluation réelle d'équipements et de conformité opérationnelle.

Sécurité opérationnelle

Audit SSI & pentestAvancé

SIEM / SOC — WazuhAvancé

Forensique & réponse à incidentAvancé

Analyse de risques — EBIOS RMAvancé

Hardening & vulnérabilitésAvancé

MITRE ATT&CKAvancé

Gouvernance & conformité

Cyber Resilience Act (CRA)Expert

RED Art. 3.3 / EN 18031Expert

ETSI EN 303 645Expert

ISO 27001 / 27005Avancé

Politiques de sécuritéAvancé

IEC 62443Avancé

Sécurité des équipements

Tests cyber équipementsExpert

Firmware reverse engineeringAvancé

Audit OTA / mises à jourAvancé

Équipements radio (terrain)Expert

Wi-Fi · BLE · LTE · LoRaAvancé

SBOM & FuzzingAvancé

Bancs de test & plateformes

Rohde & Schwarz CMW500Expert

R&S CMX500 (5G NR)Avancé

Analyseurs spectre / GénérateursExpert

ISO/IEC 17025 (labos)Interm.

Tests RF & conformitéExpert

Expérience

15 ans
de terrain

15 ans à l'intersection des télécommunications, de la régulation technique et de la cybersécurité. Un profil construit sur un ancrage terrain réel : ingénierie radio, gestion du spectre, homologation et évaluation de conformité des équipements — avec une contribution directe à la structuration des exigences cybersécurité.

Sept. 2022 — présent

Chef du Département Homologation & Agrément — Équipements Radio, IoT & Infrastructures critiques

ARCEP Niger · Autorité de Régulation des Communications Électroniques et de la Poste

Pilotage de l'homologation nationale des équipements terminaux et radioélectriques. Direction du Laboratoire d'Homologation (R&S CMW500 & CMX500). Structuration des procédures d'évaluation cybersécurité : tests d'intrusion, analyse firmware, audit OTA. Rédaction des textes réglementaires intégrant la cybersécurité comme exigence essentielle. Responsabilité du dispositif d'agrément des installateurs de réseaux et équipements de communications électroniques.

Fév. 2021 — Sept. 2022

Chef du Service Conformité Stations RF

ARCEP Niger · Niamey

Inspections techniques de conformité des stations/sites RF. contrôle de conformité des équipements soumis à homologation.

Déc. 2018 — Fév. 2021

Technicien Gestion & Contrôle du Spectre

ARCEP Niger · Niamey

Instruction des dossiers de demande de fréquences. Mesures de champ, détection et traitement d’interférences, analyse technique du spectre et surveillance de l’utilisation des fréquences.

2011 — 2018

Ingénieur Design Radio · Expert QoS · Optimisation — 2G/3G/4G

Moov Africa & Zamani Com · Niger

Conception et optimisation des sites radio 2G/3G/4G. Gestion des KPI voix & data, tuning radio, troubleshooting avancé.

Formation

Formation
académique

2025 — 2026 · UTT / OpenClassrooms

Master Sécurité des Systèmes d'Information

Sécurité des SI · gestion des risques · audit de sécurité · cybersécurité défensive

2024 · TECH Univ. Technologique, Espagne

Master Spécialisé Cybersécurité en Entreprise

Gouvernance · politiques de sécurité · conformité réglementaire

2012 · Institut Africain de Technologies, Niger

Master Réseaux & Télécommunications

Réseaux · protocoles · ingénierie radio

2010 · École Nationale des Transmissions, Algérie

Licence en Transmissions

Télécommunications · transmissions radio · systèmes de communication

Engagements

Engagement

Président · Club Cybersécurité ESPA-MT

Ateliers techniques · formation des étudiants en cybersécurité

Représentation

Haut Représentant · APSI-NE

Souveraineté numérique africaine · politique de sécurité régionale

Intervention

Panéliste · JNC Bamako 2025

Souveraineté numérique · cybersécurité des équipements connectés au Sahel

Contact

Pour échanger sur les sujets de cybersécurité des équipements, de conformité réglementaire ou de gouvernance cyber.

Écrire un message Voir LinkedIn →

Coordonnées

info@karimgoga.com

(+227) 98 02 84 13

linkedin/abdoulkarimmamani

Niamey, Niger

Abdoul Karim Mamani

Trois expertises,une cohérence rare

Sécurité opérationnelle & réponse aux incidents

Gouvernance, risques & conformité (GRC)

Sécurité des équipements IoT & radio

Une expertise réglementaire forgée par la pratique,une vision portée par l'engagement

Contributions techniques& projets concrets

P01 Sécurisation d'une infrastructure SI virtualisée

P02 Analyse de sécurité applicative

P03 Audit sécurité SI & pentest applicatif

P04 Déploiement SIEM & détection d'intrusions

P05 Investigation forensique & réponse à incident

P06 Analyse de risques & politique de sécurité (EBIOS RM)

Analyse dynamique & fuzzing de firmware embarqué

Évaluation de sécurité d'un écosystème IoT complet

Attaques PDoS sur systèmes embarqués critiques

CyberWatch —veille hebdomadaire

Analyse de signaux faibles, CVE et évolutions réglementaires

Livres &ouvrages en cours

Maîtrise technique& référentiels

15 ansde terrain

Formationacadémique

Contact

Trois expertises,
une cohérence rare

Une expertise réglementaire forgée par la pratique,
une vision portée par l'engagement

Contributions techniques
& projets concrets

CyberWatch —
veille hebdomadaire

Livres &
ouvrages en cours

Maîtrise technique
& référentiels

15 ans
de terrain

Formation
académique