Abdelbaset L.

Déploiement et structuration d’un dispositif cybersécurité IT & OT en environnement critique (secteur énergie).

1. Processus d’analyse de risques : déploiement d’EBIOS Risk Manager sur périmètre IT & OT. Pilotage d’une démarche EBIOS RM adaptée aux environnements IT/OT. Objectifs : cadre homogène d’appréciation des risques et priorisation selon criticité métier et exposition aux menaces. Intégration HAZOP, matrices sécurité/sûreté et MITRE ATT&CK (Enterprise & ICS) avec identification des TTP et Threat Intelligence sectorielle. Scénarios exploitables par les équipes techniques et métiers.

2. Analyses de risques IT/OT

100+ analyses sur DC, ZTA, Cloud, SAP, Salesforce, applications critiques, VPN, télétransmission OT, sites industriels, hydrogène, API, APS, IACS. Industrialisation et montée en maturité.

3. Déploiement d’EGERIE Risk Manager

Centralisation des analyses, suivi des plans d’actions, mesure du risque résiduel, tableaux de bord direction, intégration scénarios EBIOS et indicateurs.

4. Plan d’Assurance Sécurité (PAS) / Gestion des tiers IT & OT

Mise en œuvre et suivi des PAS pour Salesforce, Solutions Cloud, ABB, Schneider, Siemens, GE, Baker Hughes, Solar, Clemessy, Actemium, LMF, MAN.

5. Intégration sécurité projets IT & OT

Recettes cybersécurité IT & OT (100+ réalisées) pour éviter l’introduction de vulnérabilités structurelles.

6. Gouvernance & Politiques OT/IT

Mise à jour des politiques, harmonisation IT/OT, formalisation des contrôles, intégration LPM : MCS, incidents, journalisation, défense en profondeur, IAM, accès distants.

7. Audit Cybersécurité IT/OT

Audit de 50+ sites industriels et projets IT majeurs, IACS et environnements hybrides.

8. Architecture IT/OT

Accompagnement selon ISA 95, ISA/IEC 62443, ANSSI, NIST SP-800-82.

9. Equipements sécurité IT/OT

Critères de sélection et qualification cybersécurité pour automates, RTUs, pare-feu industriels, supervision et composants IT critiques.

Mise en place, développement et management de l’entité conseil sécurité au sein du département HP Enterprise Services en France.

Evaluation des comptes HP ES dans une perspective de développement du marché de la sécurité via Scorecard et SWAT, avec définition et pilotage d’un plan de revenus (17M$).

Déploiement de la stratégie sécurité, gestion des ressources, de la PNL et du forecast de l’entité en France.

Mise en place d’un réseau de partenaires sécurité (FireEye, CyberArk, SailPoint, Trend Micro, Symantec, McAfee, etc.) avec identification, qualification et suivi des opportunités commerciales associées.

Accompagnement, audits et conseil sécurité pour les comptes HP ES autour des référentiels ISO 27001, PCI DSS et RGS, avec réalisation d’analyses d’écart, élaboration de plans d’actions et propositions d’architectures sécurisées visant à traiter les non-conformités observées et renforcer la posture de sécurité des clients.

IBM – Security Consulting Practice Leader (janvier 2012 – juin 2013)

Encadrement de la practice sécurité consulting au sein d’IBM GTS France et développement des opportunités sécurité.

Définition et mise en œuvre d’une stratégie de développement de l’offre de services sécurité en France autour des services GRC, du Cloud, des services de sécurité managés (MSS) et des activités PCI incluant la conformité PCI DSS, PA-DSS, ISO 27001 et l’analyse de risque (ISO 27005, Risk IT).

Mise en place de l’activité d’audit de certification aux standards internationaux des émetteurs bancaires (VISA, MasterCard, AMEX). Développement de l’offre, d’une approche et d’une méthodologie adaptées au contexte et aux exigences réglementaires locales, conformément aux standards VISA, MasterCard et AMEX.

Accompagnement des équipes commerciales et des directeurs grands comptes en phase d’avant-vente, réponses aux appels d’offres en coordination avec les entités IBM (software, Cloud, continuité d’activité), présentation des offres et développement du chiffre d’affaires associé.

Responsable d’audits et auditeur pour les certifications PCI DSS / PA-DSS et ISO 27001. Les audits ont couvert l’organisation, le système d’information (infrastructures logiques et physiques), les risques sectoriels, les contrats et les contrôles RH. Les missions ont abouti à la validation de la conformité par le PCI SSC ainsi que par VISA et MasterCard.