Thierno N

CONTEXTE : ACCOMPAGNEMENT À LA MISE EN PLACE D'UN SMSI ET LA CERTIFICATION ISO 27001

Construire la démarche et la méthodologie projet Reformuler le besoin, cadrer le projet et définir le périmètre Définir la comitologie, identifier les parties prenantes et l'équipe projet Construire le planning et le plan d'action Construire le RACI et les risques projet Identifier les documents obligatoires / non obligatoires de la certification Production de la politique d'évaluation des risques de sécurité Surveiller la conformité aux politiques, normes, directives et procédures Produire l'analyse des risques puis la Dda (Déclaration d'applicabilité), Produire l'inventaire des actifs, les Kpi ; et les plans de contrôle Préparer l'audit interne, correction des non conformités puis préparation de la certification Revue des plans d'assurance sécurité (PAS) Procédure d'intégration de la sécurité au sein des développements et proposition de mise en place d'un pipeline CI/ CD sécurisé avec Avant le commit : [truffleHog, gitleaks,git hooks], pour le Sast : [gitlab sast Semgrep ou sonacloud], pour le SCA : Snyk ou Owasp dependency-check ou gitlab dependecy Scanning pour le DAST : Gitlab DAST, Owasp Zap pour Docker :Trivy, GitLab Container Scanning Pour le IaC [checkov, tfsec] pour la surveillance [Falco, prometheus & Grafana]…..

Livrables : Kick-off projet, Gap analysis, périmètre projet, RACI (dirigeants, RSSI, IT, métiers)Politique de sécurité, Inventaire des actifs, Analyse des risques EGERIE , Plan de traitement des risques, Procédure de gestion des incidents, Plan d'assurance sécurité (PAS), Dda (Déclaration d'applicabilité), Manuel SMSI , Gouvernance ISP (intégration de sécurité dans les projets… Environnement technique : Microsoft cloud AZURE, Sast, Sca/ Dast,Sonarcloud, Zero trust,Power Apps, PowerAutomate, Sharepoint, Jira, Confluence, Azure DevOps , Egerie…

CONTEXTE : Intégrer la sécurité dans les projets (ISP) dans un environnement On prem et multi-cloud (Azure - Google Cloud Platform (GCP) – AWS).

Accompagner les équipes opérationnelles dans l'integration de la securite dans les projets en associant au plutôt l'équipe securite.Faire des analyses des risques avant le démarrage de chaque projet (Security by Design) S'assurer de la prise en charge de protection des données à caractère personnel en déroulant le questionnaire (PDP) Protection des Données Personnelles en phase d'étude de projet ou de lancement d'une nouvelle application Accompagner les équipes data Privacy à la prise en charge des exigences de sécurité SI et recommandation ANSSI dans en collaboration avec les équipes juridiques, achats, et contrôle de gestion Etude des clauses des contrats de prestation avec un focus sur les mesures de sécurité mis en oeuvre pour la protection des données et l'infrastructure du SI, sous-traitants, fournisseurs, infogérants Suivi du plan d'action des recommandations traitant les risques identifiés lors des études projets Travailler avec les équipes infrastructures réseau et Datacenter (AWS et Windows AD). Participation aux différents comités (comités protection des données, sécurité de l'infrastructure ou suivi des indicateurs de traitement des vulnérabilités) Assister l'équipe de réponse aux incidents de sécurité : Piloter et faire le suivi des corrections suite aux alertes du SOC. Apporter une expertise en cas de crise ou d'incident majeur. Sécurité du cloud et des SaaS) S'assurer de la sécurisation des Infrastructures as Code (IaC) avec les outils checkov, tfsec, terrascan Suivi des alertes produites par le SIEM Splunk

Livrables : Inventaire des actifs, Fiche d'analyse des risques, Plan d'action de traitement des risques, Procédure de gestion des identités et des accés, définir les politiques, règles, directives et chartes de sécurité pour l'ensemble du si de dalkia. promulguer ces règles (sensibilisation)

Cadrage du programme NIS et méthodologie de travail en mode projet agile Traduction des obligations de la directive en exigences opérationnelles et mesures concrètes Identification des acteurs et des points de contact Cartographie des actifs et des processus métiers critiques et des services essentiels Organisation d'atelier hebdomadaire et des comités de suivi Définition d'un planning et d'un plan d'action Analyse des risques (Cartographie des actifs critiques et processus métiers) Définition de scénarios de risques majeurs, Mise en place d'un processus de gestion des incidents Classification des incidents significatifs (Alerte précoce ≤ 24h,Notification ≤ 72h, Rapport final ≤ 1 mois, Coordination SOC / CERT / CSIRT Évaluation du risque fournisseurs via un assessment Suivi des prestataires critiques Mise en place d'indicateurs de conformité Reporting aux directions et les parties prenantes lors des comités

Livrables :RACI (dirigeants, RSSI, IT, métiers)Politique de sécurité, Inventaire des actifs, Registre des risques cyber, Cartographie des services essentiels, Plan de traitement des risques, Procédure de gestion des incidents, Plan d'assurance sécurité

Environnement technique : Sécurité des infrastructures IT & OT, Sécurité réseau (segmentation, firewall, IDS/IPS), Sécurité des endpoints,IAM / MFA, Gestion des vulnérabilités & patch management, Sauvegardes & restauration, ,CyberArck, AS400, Qualys, Environnements de Prod (Win OS/AD, UNIX, Z/Os Mainframe, Illumio, PDIS, COBRA, Garfild, YOGA, Obsolescence des OS, Vulnérabilité, cloisonnement