Description

Bonjour,

Je suis Makan, j’ai une double compétence, d’une part celle de pouvoir apporter un accompagnement sécurité dans les projets métiers,et d’autres part celle d’un expert sur les sujets techniques.

Typologie de missions variées recherchée :

• Conseil : analyse de risques, contribution à la mise en œuvre et à l’amélioration de la PSSI, accompagnement des projets métiers, gestion de risques et intégration de la sécurité dans les projets, homologation de la sécurité (Ex. LPM), mise en conformité RGPD, management de la sécurité, cadrage, étude et accompagnement à la mise en œuvre de de projet sécurité

• Organisation et Management : RSSI, Direction de programme, Chef de projet, Pilotage de mission de conseil, Pilotage audit de test d’intrusion, Gestion de crise (Forensic)

• Expertise technique : architecte sécurité, expert solution d’authentification, expert solution de chiffrement, gestion de certificat électronique, audit de code d’application, scan de vulnérabilité

• Autres expertises : assistance DPO, accompagnement des juristes et des achats dans l’intégration de la sécurité dans les contrats

• Sensibilisation :

- par des campagnes de cassage de mot de passe d’annuaire Active Directory

- par la simulation de fausse campagne de phishing

- à la gestion de la sécurité du quotidien: cyber attaque par ransomware, par mail (phishing), gestion

des devices externes, échanges de données avec l’extérieur, etc.

- à l’application de la RGPD et au besoin de sécurisation des données personnelles

- au respect de la politique de sécurité de l’entreprise cliente

- des métiers sur l’intégration de la sécurité dans les projets (solution cloud, risques liés au Shadow IT)

- des développeurs sur la prise en compte de la sécurité dans le développement des applications

• D’autres typologies de missions seront étudiées, j’y répondrais favorablement si j’ai les compétences ou le savoir-faire.

A bientôt.

Langues

Français
Bilingue ou natif
Anglais
Capacité professionnelle complète

Préférences en matière de lieu de travail

Accepte de travailler sur site

Paris (jusqu’à 50 km), Paris (jusqu’à 100 km)

Crédit Agricole Assurances
Accompagnement SSI et RSSI
BANQUE & ASSURANCES
février 2020 - Aujourd'hui (6 ans et 3 mois)
Paris, France
Assistance RSSI et diverses missions
• Assistant du RSI dans ses fonctions :
o Organisation de la SSI : comités de sécurité mensuel, gestion des ressources et des compétences
o Pilotage de l’intégration de la sécurité dans les projets en cycle V et agiles (Analyse de risque sécurité, DevSecOps, cadrage et pilotage des audits de sécurité)
o Mise en œuvre et gestion opérationnelle de la sécurité
▪ Architecture et norme de sécurité
▪ Participation et acteur dans la gestion de crise Cyber ▪ Traitement des incidents et des vulnérabilités
▪ Guide de configuration sécurité des composants du SI
▪ Design et déploiement des solutions de sécurité
▪ Veille sécurité
o Pilotage des contrôles permanents en lien avec le Manager des risques IT : vulnérabilité, incident de sécurité, gestion des obsolescences, surveillance des services en ligne Internet, etc.
• Autres Missions
o Architecte Sécurité et Expert Technique dans l’accompagnement des projets techniques et métiers o Référent sécurité de la plateforme data (Big data) du groupe CAA
▪ Audit fonctionnel, organisationnel et documentaire de plateforme
▪ Pilotage du pentest sur l’ensemble de la plateforme (socle technique, système et applicatif)
▪ Définition du plan stratégique sécurité de la plateforme data (budget de 2,5 millions d’euros)
▪ Suivi de la mise en œuvre du plan stratégique
▪ Définition d’un cadre de sécurité de la plateforme data (Sécurité et Résilience)
▪ Définition d’un cadre de référence sur le Data Access Management
▪ Réalisation des analyses de risque sur les cas d’usage de la plateforme (exposition des données
via des API, IA, IFRS, LCBFT, Archivage et Purge des données, etc...)
▪ Etc.
o Référent sécurité M365
▪ Réalisation de l’analyse de risque du socle technique
▪ Réalisation des analyses de risque sur les applications et les usages (outils de collaboratif,
messagerie, applications Teams, etc.)
▪ Mise en œuvre d’un référentiel de classification des données ▪ Suivi des risques résiduels
▪ Préconisation de solutions de sécurité
o Définition et Pilotage de mise en œuvre du DevSecOps
▪ Réalisation d’un bilan des travaux effectués (organisation, processus, automatisation, etc.)
▪ Construction de la trajectoire vers la cible de maturité DSOMM (DevSecOps Maturity Model) en
cohérence avec le plan stratégique SI : Software factory, Acculturation & Organisation,
Implémentation, Collecte d'informations, Audits & tests
▪ Définition d’une nouvelle gouvernance autour des activités DevSecOps, déploiement de security
champion dans les squads, définition des security gate
▪ Définition des indicateurs et des seuils de suivi
▪ Étude de la mise en œuvre d’un outil de GRC (Framework de sécurité)
▪ Animation de l’activité : newsletter, session de Mob hacking, etc.
o Pilotage de la mise en œuvre du plan de sécurisation des domaines de messagerie du groupe CAA : déploiement des protocoles SPF, DKIM, DMARC
o Mise en œuvre du référentiel des applications et des services en ligne Internet du groupe CAA, puis pilotage de la mise en œuvre de la politique de surveillance en continue
o Accompagnement et formation des nouveaux arrivants à méthode d’analyse de risque du groupe Crédit Agricole
Environnement technique : M365, Checkmarx, MAPR Secure, Ambionics, Tenable, Merox, Docker, Kubernetes, Jinkins, XRAY, AquaSec, Trivy
Assistance RSSI DevSecOps GRC Analyse de risque ISO 27001 ISO 27005 Office 365 Microsoft 365 SPF DKIM DMARC trivy AquaSec Gouvernance Sécurité Gouvernance SSI
Pacifica
Consultant senior, accompagnement métier, RSI et RSSI
BANQUE & ASSURANCES
avril 2014 - Aujourd'hui (12 ans et 2 mois)
Paris, France
Accompagnement SSI et RSSI

• Pilotage de l’homologation de SIIS (Système d’Information d’Importance Stratégique) de Pacifica

• Direction et pilotage des recommandations du programme CARS (Crédit Agricole Renforcement de la Sécurité), programme dédié à l’application de la LPM (Loi de Programmation Militaire)

• Accompagnement à la mise en application du RGPD (Règlement général sur la protection des données) :
o Réalisation de DPIA sur les traitements identifiés
o Gap analysis sur les applications afin d’identifier les mesures de sécurité requis en vue de la mise en conformité
o Construction d’un plan de mise en conformité des applications métier sur 3 ans

• Cadrage et mise en place de processus d’audit de code
o Benchmark de solutions
o Pilotage de la mise en œuvre de la solution retenue
o Définition du processus d’audit de code

• Analyse de risques et accompagnement de projets métiers et techniques :
o Risques liés à la sous-traitance de prestation informatique, à la localisation des données, données à caractère personnel, aux choix de prestataire…
o Accompagnement de projets métiers et analyse de risque MESARI : contractualisation en ligne (auto, habitation, protection juridique, agricole, etc.), application smartphone, campagne de recueil d’avis client, A/B Testing, déclaration de sinistre en ligne, constat électronique (eConstat), mise en relation client...
o Accompagnement de projets techniques : application smartphone, poste de travail, imprimante, authentification multifacteur, voix sur IP (WebRTC), déménagement de datacenter, stratégie de sauvegarde, etc.
o Accompagnement des architectes sur les aspects de sécurité de l’architecture technique de la solution.
o Intégration de processus de traitement des vulnérabilités dans les projets (scan de vulnérbalités, test d’intrusion, audit de code).
o Sensibilisation, partage et enrichissement du cadre de référence sécurité pour sa prise en compte par les équipes de développement.

• Accompagnement du service juridique, DPO et du RSSI (CISO) pour faciliter l’intégration clauses de sécurité et RGPD dans les contrats externalisation d’hébergement, objectifs :
o Sensibiliser les chefs des projets métiers et techniques à la RGPD et sur les risques en matière de sécurité des systèmes d’information (SSI) liés à toute opération d’externalisation d’application métier
o Fournir une démarche cohérente pour détecter les projets d’achat de prestation de plate-forme externalisée (Shadow IT)
o Mise en œuvre d’un questionnaire de sécurité pour évaluer le niveau de maturité des prestataires d’hébergement externalisé
o Mise en place d’un ensemble de clauses de contrat type ainsi qu’une base d’exigence de sécurité, à adapter en fonction du contexte particulier de chaque projet d’externalisation d’infrastructure

• Etude sur le volet sécurité de l’éligibilité des applications métiers à l’hébergement dans le Cloud :
o Définition des critères d’évaluation
o Comparaison en Cloud – On-premise
o Comparaison des solutions SaaS
o Définitions de directives de sécurité pour les applications contenant de données personnels ou sensibles

• Pilotage de missions d’audit et de tests d’intrusion : WiFi, infrastructure IPS, téléphonie (WebRTC), poste de travail, imprimante, applications métiers, applications smartphone, Microsoft Azure, etc.

• Réalisation d’audit de code source des applications métier avec Checkmarx : analyse et qualification des vulnérabilités, définition du plan d’action de correction

• Cadrage de projet Sécurité : déploiement de bastion de sécurité (CyberArk), gestion de trace, audit de code, chiffrement de poste de travail avec ZoneCentral, etc.

• Cadrage et mise en Place du SIEM et du SOC

• Autres activités :
o Référent RGPD
o Référent intégration de sécurité dans les projet
o Référent et fonctionnel au sein de l’équipe SSI
o Plan de traitement de risque
o Pilotage du plan de continuité d’activité pour les filiales de Pacifica
o Pilotage du suivi du tableau de bord de risque (indicateurs stratégiques et opérationnels)

Environnement technique :Checkmarx, Microsoft Azure, CyberArk, Splunk, ZoneCentral…
RSSI Analyse de risques Pilotage de programme Sécurité applicative Accompagnement projet métiers Homologation de sécurité management de la sécurité Pilotage des audits Accompagnement DPO Intégration de sécurité dans les projets Processus d'audit de code
CA.SA (Crédit Agricole)
Consultant sécurité
BANQUE & ASSURANCES
février 2012 - juin 2012 (4 mois)
Paris, France
SI Distributeurs, SI Producteurs :
Accompagnement de CASA sur la mise en œuvre d’une stratégie globale de contrôle des accès dans le cadre des interconnexions SI Distributeurs, SI Producteurs
• Animation de réunion de travail avec les entités du Crédit Agricole (CAAGIS, PREDICA, etc.)
• Présentation d’un état de l’art de la gestion des identités clients et de la sécurisation des appels de services entre SI partenaires.
• Analyse commune de différents scénarios menant à la définition d’une stratégie partagée sur ces sujets
Authentication Gestion des habilitations IAM WebSSO SAML