Lamiae Obila

• Analyse des évaluations de risques effectuées par la 1ère ligne de défense (1LOD) sur les projets d’externalisation Cloud.

• Examen des projets d’externalisation Cloud du Groupe, notamment APIGEE Hybrid, Power Platform et solutions d’IA.

• Conduite d’analyses de risques IT et sécurité, selon la méthodologie ISO 27005, en amont des projets métiers et techniques.

• Étude des demandes de dérogation aux standards du Groupe.

• Gestion des dérogations de sécurité et formalisation des acceptations de risques en coordination avec les équipes IT et Risk.

• Évaluation et validation de solutions de sécurité dans des environnements hybrides, incluant les plateformes Cloud (Azure, GCP, AWS, IBM Cloud).

• Suivi de la conformité avec la politique de sécurité du Groupe et appui aux initiatives transverses de cybersécurité.

• Contribution active aux comités de sécurité et collaboration avec les équipes métiers, IT architecture, DPO, conformité, 1LOD et CISO Cloud.

• Suivi l’application des exigences de chiffrement des données et utilisation des KeyVaul (Azure Key Vault ou Thales HSM).

• J’ai contribué dans l’étude de plusieurs projets suivants : Projets métiers DSP2 et DSP3, Migration Cloud, solutions SAAS, APIGEE Hybrid, API Security AKAMAI.

• Réalisation d’analyses de risques IT et sécurité selon les normes ISO 27005, en cohérence avec la politique IT Risk du Groupe

• Élaboration et amélioration des procédures de gestion des risques : modèles d’évaluation, fiches de risques, politiques de sécurité (ISO 27001/27002) ;

• Rédaction et gestion des dérogations et acceptations de risques, en lien avec les parties prenantes sécurité, IT et métiers ;

• Réalisation de revues périodiques de sécurité des fournisseurs (audit, due diligence), avec suivi des plans d’action associés ;

• Organisation et pilotage des tests d’intrusion en coordination avec un centre de services, les prestataires externes et les équipes internes ;

• Suivi des remédiations de vulnérabilités : coordination des corrections, réalisation des re-tests et suivi des actions dans le temps ;

• Contribution à la détection des comportements à risque, incidents potentiels ou écarts de conformité dans les projets ;

• Participation à l’analyse de sécurité des architectures techniques, validation des exigences de sécurité dans les livrables projets ;

• Support aux équipes projets pour intégrer la cybersécurité dès la conception, conformément aux standards internes et aux référentiels (ISO 27001, OWASP, PCI DSS) ;

• Contribution à la mise en place et à la vérification des contrôles PAM (cyberark) ;

• Contribution active à la mise en œuvre et au pilotage des lignes de service cybersécurité au niveau corporate et zone Europe : DevSecOps, SOC, gestion des vulnérabilités, SAF (Security Assurance Framework) ;

• Participation à l’évaluation et validation de solutions de sécurité (API Management, Cloud AWS et Azure), avec une approche orientée architecture sécurité ;

• Sécurisation des projets clés : migration cloud (AWS, Azure), projet d’apisation du SI, configuration sécurité de la solution Mashery API Management ;

• Suivi des KPIs de sécurité et élaboration de tableaux de bord à destination du RSSI et des parties prenantes locales et groupe ;

1. Sécurité applicative :

• Développement des applications Back End sécurisés dans le domaine du paiement (côté Issuer et Acquereur) et sécurité des données personnelles : JAVA, Spring, API REST/GraphQL, SWAGGER, API MANAGEMENT (APIGEE), Unix, MYSQL, GIT, HG, Jenkins, JBOSS, Docker ;

• Mise en place d’APIGEE et intégration des API et webservices dans le domaine Monétique (dans le cadre de la DSP2) ;

• Étude et développement des algorithmes de cryptographie en se basant sur les recommandations NIST ;

• Suivi des tests d’intrusion (Pentest) et réalisation des rapports ;

• Configuration et intégration des boitiers HSM (DEP/BULL) ;

• Configuration de plusieurs outils comme JMAC, ActiveMQ ;

• Analyse et audit sécurité de code : Revue de code manuel et en utilisant SONARQUBE ;

• Maitrise des normes de paiement (PCI DSS/ ISO 27001), recommandations NIST et la norme GDPR.

2. Intégration et sécurité opérationnelle :

• Mise en recette et Livraison en PROD ;

• Mise en place du processus de Patch Management ;

• Suivi et analyse des incidents sécurité ;

• Configuration de la plateforme d’alerting ISMP ;

• Définir la roadmap d’une plateforme ;

• Configuration, optimisation et livraison des environnements REDHAT ;

• Déploiement des plateformes avec une solution interne ;

• Suivi des plateformes en utilisant Splunk et HORUS ;

• Mise en place d’une plateforme d’API MANAGEMENT (APIGEE) ;

• Sécuriser les applications avec SSO (Single Sign-On) ;

• Migration des plateformes ;

• Conception d’applications et études d’architecture logicielle ;

• Administration Base de données SQL et NOSQL (Cassandra, mongoDB) ;

• Étude, développement et intégration d'une solution OAUTH 2.0 dans une application JAVA/J2EE.

3. Support Technique Niveau 2/3 :

• Assurer la résolution des incidents Applicatifs et incidents de sécurité ;

• Transfert de compétences (Tutrice de stage) ;

• Assistance post-migration ;

• Réalisation des présentations en français et anglais dans des évènements techniques.