À propos de Manal
Rattachée à la Direction Générale du Groupe Crédit Agricole, j'interviens sur les audits IT de l'Inspection Générale, spécialisés dans la Sécurité des Systèmes d'Information pour les entités du Groupe (dont les entités à l'international). Aujourd'hui, grâce à mes expériences passées j'ai pu acquérir :
✅ Une vision 360° des enjeux de la cybersécurité, dans ses aspects techniques, fonctionnels et organisationnels ;
✅ Une pédagogie et une adaptabilité aux profils différents de mes interlocuteurs (top management, opérationnels, supervision de l'audit).
En tant que consultante indépendante, je peux réaliser des missions de :
🛡️ Mise en place d'un SMSI ;
🛡️ Accompagnement CISO / RSSI ;
🛡️ Audit et amélioration d'un processus sécuritaire (gestion des incidents, des vulnérabilités, des obsolescences informatiques, des externalisations / prestataires informatiques, notamment) ;
🛡️ Analyse de risque ;
🛡️ Gestion de crise cybersécurité ;
🛡️ Pilotage de projet et de programme sécurité (SOC, notamment) ;
🛡️ Mise en conformité (DORA, NIS2, orientations de l'EBA, notamment) ;
🛡️ Formation / Sensibilisation à la sécurité ;
🛡️ Production et suivi des tableaux de bord de sécurité.
Anglais
Capacité professionnelle complète
Français
Bilingue ou natif
Accepte de travailler sur site
Paris (jusqu’à 50 km)
Expériences
- ConfidentielConsultante cybersécuritémars 2025 - Aujourd'hui (1 an et 3 mois)Paris, FranceEvaluation de la sécurité des projets et des nouveaux prestatairesRefonte documentaireConformité SSIPilotage des audits red team, CAC, etc.Gouvernance cyber (suivi des indicateurs, pilotage des comités)Mise en place des solutions cyber (gestionnaire de mot de passe)
- LacosteConsultante cybersécuritéLUXEmars 2024 - mars 2025 (1 an)Paris, FranceGouvernance cyber (comitologie, suivi des indicateurs)ISP et accompagnement des projetsConformité SSIPilotage des audits red team, CAC, etc.
- Crédit Agricole SAAuditeur InspecteurBANQUE & ASSURANCESavril 2021 - janvier 2024 (2 ans et 8 mois)Montrouge, FranceEvaluation des systèmes d’information, des politiques de sécurité et des pratiques de gestion des risques selon une méthodologie d'audit de cybersécurité comprenant plusieurs phases :
- Gérer une équipe d’auditeurs juniors (accompagnement, définition des objectifs de la mission, évaluation) ;
- Déterminer le périmètre des missions, les priorités et le calendrier ;
- Réaliser des analyses de risques permettant de définir le périmètre de l’audit : ces analyses de risques sont définies à partir des résultats des contrôles permanents et des audits précédents, des incidents et des entretiens avec les audités ;
- Définir des programmes d'audit de cybersécurité pour évaluer la conformité aux normes et réglementations en vigueur (NIST, EBA, ISO 27001, ISO 27035, etc.) ;
- Définir les procédures de contrôle selon les risques constatés lors des diagnostics ;
- Analyser les contrôles de sécurité et réaliser des tests techniques de sécurité (Ping Castle, Bloodhound, Flexera pour identifier des applications non autorisées/obsolètes, notamment) ;
- Rédiger un diagnostic global et le soumettre pour validation au superviseur et aux chefs de mission ;
- Rédiger le rapport d’audit, les conclusions et les préconisations / recommandation ;
- Débriefer les investigations au audités (opérationnels et membres du COMEX) et accompagner les recommandations auprès des audités, du superviseur, des responsables d’audit, jusqu’au Top Management.
Missions d’audit réalisées (8 missions au total couvrant 10 entités du Groupe Crédit Agricole en France, en Portugal, en Suisse et en Allemagne) :- Audit d’une entité du Groupe par rapport au Framework NIST :
o Identification des menaces et gouvernance de la sécurité de l’information (définition d’un score card/Dashboard SSI, définition des politiques de sécurité, identification et classifications des actifs critiques, évaluation des risques, etc.) ;o Protection des actifs : formation/sensibilisation à la sécurité, durcissement des actifs, mesures DLP, etc.o Détection des menaces et réaction aux incidents : mise en place d’un SOC, définition d’un processus de traitement des incidents, etc.- Audit de deux entités du Groupe par rapport aux orientations de l’EBA en matière d’externalisation informatique :
o Définition d'une politique et d'une stratégie d'externalisation, identification des risques préalable à l'externalisation ;o Revue des contrats d'externalisation, pilotage des prestataires et réalisation des audits de sécuité ;o Vérifier la mise en place d’une stratégie de sortie / réversibilité.- Evaluation de la sécurité des applications et des sites web pour les comptes particuliers et professionnels :
o gestion des vulnérabilités, gestion des incidents, gestion des obsolescences, sécurisation des noms de domaine, procédure de test/recette des nouvelles versions des applications développées).- Evaluation des dispositifs de gestion des risques du cloud computing pour une entité du Groupe :
o Audit d’un cloud IaaS, audit des processus de gestion des vulnérabilité, audit de processus de l’appel d’offre, etc.).- Audit d’un programme de sécurisation du SI d’une entité du Groupe :
o audit de 10 chantiers du programme (gestion des obsolescences, protection des données et mesures DLP, audit du pilotage du programme y compris le suivi de budget, audit des mesures de sauvegarde et du test de PCA, etc.).- Evaluation du dispositif de maitrise des risques liés aux obsolescences informatiques pour deux entités du Groupe (obsolescences techniques, applicatives et matérielles) :
o Evaluation du cadre de gestion des risques des obsolescences : gouvernance et comitologie ;o Sécurisation des actifs obsolètes ;o Processus d’attribution des budgets permettant le traitement des obsolescences, suivi des projets de traitement des obsolescences, notamment.- Audit d’un prestataire / constructeur des automates bancaires pour le Groupe Crédit Agricole et 5 autres banques de place :
o Méthodologie de projet pour le développement du logiciel de l’automate bancaire (stratégie de test, revue de code et pentest) ;o Formation et sensibilisation des développeurs au TOP 10 OWASP ;o Stratégie de réversibilité / escrow agreement, plan d’assurance sécurité et plan de continuité d’activité, etc.- Suivi des recommandations des anciens audits et /ou par le régulateur bancaire (thématiques traitées : refonte des politiques de sécurité, réalisation des tests de scénarios d’indisponibilité massive des postes de travail, mise à jour des Business Impact Analysis, réalisation des analyses de risques pour les applications critiques, etc.).
Autres travaux :- Participation à la formation du règlement DORA mené par un cabinet externe (20 personnes au total : Superviseur IT, Chefs de mission, Adjoints aux chefs de mission, inspecteurs juniors et sénior). La formation précise notamment la description des piliers du règlements DORA, les nouvelles exigences y compris la notion de résilience, classification des incidents, etc. ;
- Définition d'un guide d'audit DORA. Ce guide liste les mesures de sécurité techniques, opérationnelles et organisationnelles exigées par le règlement DORA et précise également les questions clés, les points d'investigation / d'audit par mesure de sécurité.
Avis
Recommandations
Soyez le premier à recommander Manal
Contribuez à la réussite de ce freelance en partageant votre expérience de collaboration avec lui.
Ces profils de freelance correspondent également à vos critères
Agatha Frydrych
Backend Java Software Engineer
4.7
(3)
2
Baptiste Duhen
Fullstack developer
4.6
(4)
5
Amed Hamou
Senior Lead Developer
4
(2)
7
Audrey Champion
Web developer
4.3
(3)
4
Formations
- Mastère Spécialisé en cybersécuritéTélécom Paris2018
- Diplôme d'ingénieur en réseaux et télécommunicationEcole Nationale des Sciences Appliquées2016
Certifications
- ISO 22301 Lead AuditorPECB2020
- ISO 27001 Lead ImplementerPECB2017