Karim - Consultant cybersécurité

Ref : 221012B003

Email vérifié

20000 CASABLANCA (Maroc)
Consultant cybersécurité, Formateur, Auditeur (35 ans)
Freelance

Photo de Karim, Consultant cybersécurité

Compétences

PENTEST

Expériences professionnelles

EXPERIENCE PARTICULIERE A L’INTERNATIONAL

MAROC
2022 - aujourd'hui
Nombreuses missions des tests d’intrusion externes.
• Nombreuses missions d’accompagnement à la mise en conformité en PCI-DSS.
• 1 mission d’accompagnement à la mise en conformité en ISO27001.
• Une mission d’audit de la sécurité des systèmes d’information.
2021 :
• 2 missions d’audit CSP des plateformes SWIFT.
• 2 missions d’investigation suite à des incidents de fraude.
• 1 Accompagnement à la remédiation des vulnérabilités.
• Nombreuses missions de la sécurité des systèmes d’information.
• Nombreuses missions des tests d’intrusion externes.

2020 :
• Une mission des tests d’intrusion externes.
• Nombreuses missions dans le cadre de la réalisation des tests d’intrusion pour des
plateformes sensibles.
• Nombreuses missions d’investigation suite à des incidents de fraude.

2019 :
• Nombreuses missions dans le cadre de l’audit de la sécurité des systèmes
d’information industriels SCADA et de gestion.
• Nombreuses missions dans le cadre de la réalisation des tests d’intrusion pour des
plateformes sensibles.
• Nombreuses missions dans le cadre d’audit de la sécurité SI selon la norme ISO 27001.
• Nombreuses missions dans le cadre d’élaboration de la politique de la sécurité SI
(PSSI) et des procédures de sécurité.
• 5 missions d’animation des sessions de CYBERRANGE / CYBERDRILL.
• 4 missions d’audit CSP des plateformes SWIFT.
• Accompagnement à la remédiation des vulnérabilités.
• Animation de plusieurs sessions de formations EC-COUNCIL CEH V10, techniques
d’intrusion.
• 5 missions d’investigation suite à des incidents de fraude.
• 1 mission de mise en place d’un plan de réponse aux incidents.

2018 :
• Nombreuses missions dans le cadre de l’audit de la sécurité des systèmes
d’information industriels SCADA et de gestion.
• Nombreuses missions dans le cadre de la réalisation des tests d’intrusion pour des
plateformes sensibles.
• 4 missions d’audit CSP des plateformes SWIFT.
• 3 missions d’investigation suite à des incidents de fraude.
• Nombreuses missions dans le cadre d’audit de la sécurité SI selon la norme ISO
ULTRA DEFENCE CHIEF EXECUTIVE OFFICER

ULTRA DEFENCE
2020 - 2022
• Participation aux missions de conseils en gestion des risques, Politique de
sécurité, ISO27005, CSP SWIFT, PCI-DSS, Cloud Security, gouvernance de
sécurité des systèmes d’information et Industriel (SCADA).
• Participation aux missions d’audits de sécurité.
• Gestion des ressources humaines et développement des compétences des
consultants.
• Animation des formations par rapport aux sujets : sécurisation des systèmes
d’information, les bonnes pratiques de développement sécurisé,
sensibilisation aux risques informatiques, techniques d’intrusion.
• Assistance à la mise en place des solutions SIEM SPLUNK/QRADAR/ELK.
• Assistance à la mise en place des stratégies de sécurité.
• Études comparatives des solutions SOC et SCAN DE VULNERABILITES.
• Préparation des synthèses d’audit avec des indicateurs KPI.
FRANCE
2020 - aujourd'hui
2020 :
Une mission dans le cadre de sécurisation d’une plateforme digitale de gestion des
processus de recrutement.

2019 :
Accompagnement à la sécurisation des services en cloud pour un cabinet de
développement des produits BANKING.

2018 :
Sécurisation d’une succursale d’une banque suite à un incident de sécurité de
détournement de fond.
CHINA
2019 - aujourd'hui
2019 :
Une mission dans le cadre de l’accompagnement à la mise en conformité à la norme
CSP (Customer Security Programme) d’une banque à Shanghai.
Animation d’une session de sensibilisation pour les employées d’une banque.
TUNSIE
2019 - aujourd'hui
2019 :
• Une mission d’audit de sécurité de la plateforme SWIFT d’une banque par rapport
à la norme de sécurité CSP (Customer Security Programme).
2018 :
• Une mission d’audit de sécurité de la plateforme SWIFT d’une banque par rapport
à la norme de sécurité CSP (Customer Security Programme).
2017 :
• Une mission d’audit de sécurité de la plateforme SWIFT d’une banque par rapport
à la norme de sécurité CSP (Customer Security Programme).
PAYS-BAS
2017 - aujourd'hui
2017 :
Sécurisation d’une succursale d’une banque suite à un incident de sécurité de
détournement de fond
DIRECTEUR DE BUSINESS UNIT OFFENSIVE SECURITE

DATAPROTECT
2015 - 2020
• Élaboration des offres financiers et techniques et définition des clauses de
contrat cadre pour la réalisation des prestations de sécurité.
• Participation à des missions de sécurité stratégiques en gestion des risques,
Politique de sécurité, ISO27005, CSP SWIFT, PCI-DSS, Cloud Security,
gouvernance de sécurité des systèmes d’information et Industriel (SCADA).
• Animation des formations par rapport les sujets : sécurisation des systèmes
d’information, les bonnes pratiques de développement sécurisé,
sensibilisation aux risques informatiques, techniques d’intrusion
• Recrutement des ressources qualifiés en GRC, PENTEST, Remédiation des
vulnérabilités.
• Gestion des équipements de tests d’intrusion infrastructure, applicatifs et
systèmes embarqués.
• Préparation des synthèses d’audit avec des indicateurs KPI.
• Suivi de facturation des nombreux projets de sécurité.
• Gestion des ressources humaines et développement des compétences des
consultants.
• Amélioration de processus de delivery des prestations de sécurité,
développement et adaptation des outils de consultants.
• Validation des résultats des audits de sécurité et élaboration des schéma
directeurs de sécurité.
• Assistance à la mise en place des solutions SIEM SPLUNK
TEAM LEADER EN CYBER SECURITE

DATAPROTECT
2014 - 2016
• Participation à des missions de sécurité stratégiques en gestion des risques,
Politique de sécurité, ISO27005, CSP SWIFT, PCI-DSS, Cloud Security,
gouvernance de sécurité des systèmes d’information et Industriel (SCADA).
• Mise en place de solution SIEM SPLUNK/QRADAR/ELK.
• Validation des résultats des audits de sécurité et élaboration des schéma
directeurs de sécurité.
• Présentation des résultats d’audit et de remédiation vis-à-vis les clients.
• Préparation des synthèses d’audit avec des indicateurs KPI.
• Animation des formations par rapport les sujets : sécurisation des systèmes
d’information, les bonnes pratiques de développement sécurisé,
sensibilisation aux risques informatiques, techniques d’intrusion
• Développement des compétences des consultants et amélioration des
processus de DELIVERY.
CONSULTANT SENIOR EN CYBER SECURITE

DATAPROTECT
2012 - 2014
Participation à des missions de sécurité en gestion des risques, Politique de
sécurité, ISO27005, CSP SWIFT, PCI-DSS, Cloud Security, gouvernance de
sécurité des systèmes d’information et Industriel (SCADA).
• Réalisation des audits de système de management SMSI.
• Réalisation des tests d’intrusions infrastructure et applicatifs.
• Réalisation des audits d’architecture.
• Réalisation des audits de configuration selon les référentiels NIST/CIS/SANS.
• Réalisation des revues de code sécuritaire.
CONSULTANT JUNIOR EN CYBER SECURITE

CAF TECHNOLOGIES
2010 - 2012
• Réalisation des audits de système de management SMSI.
• Réalisation des tests d’intrusions infrastructure et applicatifs.
• Réalisation des audits d’architecture.
• Réalisation des audits de configuration selon les référentiels
NIST/CIS/SANS.
• Réalisation des revues de code sécuritaire

Études et formations

Licence en Sécurité des Systèmes d’information SANS INSTITUTE GICSP: Global Industrial Cyber Security Professional-SCADA

FACULTE DES SCIENCES ET TECHNIQUES DE TANGER
CERTIFIED ECCOUNCIL INSTRUCTOR CEI - Certified EC-Council

Instructor
Mastère Spécialisé en Sécurité des Systèmes d’information

FACULTE DES SCIENCES ET TECHNIQUES DE TANGER

Autres compétences

Certifié dans les domaines :
ISO19011, tests d’intrusion,
audit de configuration, audit
d’architecture, revue de code
sécurisée.
SANS INSTITUTE
GXPN - Advanced Penetration
Testing, Exploit Writing, and
Ethical Hackin

PECB ISO 27001 - Lead Auditor OFFENSIVE
SECURITY
OSCP - offensive
Security Certified Professional
(EN COURS)

PECB PECB Certified Lead SCADA
Security Manager CYBEROAM CCNSP - Cyberoam Certified
Network & Security Professional

TRIPWIRE TRIPWIRE ENTREPRISE
OPERATOR V 8.2 EC-COUNCIL Certified Ethical
Hacker V10

XIRRUS XIRRUS TECHNICAL
PROFESSIONAL2

FORMATION ET SENSIBILISATION
• Pilotage des programmes de CYBER-DRILL/CYBER-RANGE de simulation des
incidents pour entraîner les équipes de sécurité informatique.
• Pilotage des programmes de compétition CTF (Capture The Flag)
• Animation des sessions de sensibilisation aux risques des intrusions.
• Animation des formations en (NORME ISO27001, NORME SWIFT CSP,
Sécurité applicative, techniques d’intrusion, Développement sécurisée).
• Élaboration des supports des formations.
• Vulgarisation des principes et des faiblesses et des bonnes pratiques

GOUVERNANCE DE
SECURITE
• Élaboration des politiques de sécurité (PSSSI)
• Élaboration de plan de réponse aux incidents.
• Élaboration des programmes de PHISHING ASSESSEMENT
• Implémentation du système de management de la sécurité de l’information
(SMSI) conformément à la norme ISO27001
• Réorganisation des activités de sécurité.
• Accompagnement à la réalisation des analyses de risque
• Rédaction des fiches de postes des équipes de sécurité.

SECURITE APPLICATIVE
• Maitrise des techniques d’intrusion applicatifs.
• Maitrise des bonnes pratiques de sécurisation (Authentification, Contrôle de
session et privilège, Validation des inputs, Traçabilité des activités).

INFRASTRUCTURE IT
• Maitrise des risques affectant les produits infrastructures (Active directory.
• Maitrise des fonctions de sécurité essentiels (Application des patchs,
Protection antivirus,

INFRASTRUCTURE
INDUSTRIELLE
• Maitrise des risques sécuritaire des systèmes industriels.
• Assistance au benchmark des solutions de sécurité.

DETECTION DES INCIDENTS
• Familiarisé avec les alertes de sécurité de plusieurs systèmes et services.
• Développement des IOC (Indicator of Compromise) pour renforcer la
détection des incidents.

STRATEGIE DE
SECURISATION
• Maitrise des fonctions de sécurité essentiels (Application des patchs,
Protection antivirus, GPOs, Security hardening).

INVESTIGATION DES
INCIDENTS SECURITAIRES
• Maitrise des techniques d’investigations au niveau des postes de travail
(Windows, Linux et OSX) et au niveau des produits connus ( ORACLE/AD/IIS
..).
• Maitrise des techniques d’investigations au niveau des bases de données
ORACLE/MSSQL.
• Maitrise des techniques de corrélation des évènements avec des scripts
personnalisés.
• Présentation des résultats d’investigation (Faiblesses exploitées, mode
opératoire, …)