Didier - Consultant MAITRISE D OUVRAGE

Expérience professionnelle

Prestataire
terrain
France relance
Fin 2022 – début 2023
Mairie
Mission en cours : réaliser l’audit organisationnel de la mairie et définir le
plan de sécurisation attendu par l’ANSSI dans le cadre du programme
France Relance.
Résultats attendus : définition du Plan et des Pack Relais en coordination
avec l’ANSSI.

Feuille de route
Directive NIS
2021 - 2022
Groupe industrie pharmaceutique
Mission (s) :
- Réalisation d’un diagnostic général de sécurité de l’information
basé sur la directive NIS ;
Résultats :
- Création de la feuille de route constituée des chantiers et actions
à mettre en œuvre pour atteindre le niveau attendu de sécurité et
de conformité en mode d’amélioration continue. ;

Management
EBIOS 2018
2019 - 2021
CHU + Hospice Civil + Centre (s) hospitalier(s)
Mission (s) :
- Traduire une étude de risques EBIOS 2010 en EBIOS 2018 dans le
logiciel EGERIE RISK MANAGER ; conduite de l’analyse des risques
en EBIOS 2018 pour intégration dans l’outillage opérationnel ;
- Création dans le logiciel EGERIE RISK MANAGER du module NIS
pour un SIE Active Directory à partir des référentiels ANSSI avec
pour objectif la mise en application au sein des OSE dans la santé ;
Résultats :
- Intégration des résultats d’analyse de risques dans l’outillage
opérationnel EGERIE RISK MANAGER ;
- Mise en production du module NIS – SIE_AD ;
- Prise en compte des PIA liés au RGPD ;

Risk
Management
EBIOS 2018
2019 - 2021
CHU + Hospice Civil + Centre (s) hospitalier(s)
Mission (s) :
- Traduire une étude de risques EBIOS 2010 en EBIOS 2018 dans le
logiciel EGERIE RISK MANAGER ; conduite de l’analyse des risques
en EBIOS 2018 pour intégration dans l’outillage opérationnel ;
- Création dans le logiciel EGERIE RISK MANAGER du module NIS
pour un SIE Active Directory à partir des référentiels ANSSI avec
pour objectif la mise en application au sein des OSE dans la santé ;
Résultats :
- Intégration des résultats d’analyse de risques dans l’outillage
opérationnel EGERIE RISK MANAGER ;
- Mise en production du module NIS – SIE_AD ;
- Prise en compte des PIA liés au RGPD ;

Responsable de
la Sécurité du
Système
d’Information
Depuis juin 2015
Entreprise de Services du Numérique (ESN)
Mission : Certifier la production de logiciels de la société à l’ISO 27001.
Résultats : Obtention du Certificat de conformité à la norme
ISO27001 :2013 du système de management de la sécurité de
l’information pour les activités suivantes :
Le domaine d’application du SMSI porte sur l’activité de réalisation de tout projet
de transformation technologique et digitale réalisé dans les BU de la société.
 Conception et implémentation du SMSI
 Analyse de risques EBIOS du circuit de production logiciel.
 Audits de conformité RGS des projets régaliens.
 Intégration de la gestion des risques dans les équipes projet de
développement logiciels en mode Agile.
 Définition du plan de mise en œuvre de l’ISO27001.
 Mise en œuvre des processus et indicateurs de l’ISO27001.
 Définitions des politiques et directives de sécurité.
 Suivi de la conformité sécurité des projets en réponse aux
exigences des clients.
 Rédaction des Plans d’Assurance Sécurité (réponse à appel
d’offre).
 Intégration d’outils d’audit de code et de protection de la donnée
dans les processus ISO27001.

EXPERIENCE PROFESSIONNELLE MARQUANTE DEPUIS 1999
Direction du programme Rhône-Alpes Hôpital Numérique

21 centres hospitaliers
2014-2017
• Conception du programme soutenu par l’ARS, animation et pilotage ;
• Définition et accompagnement à la mise en place et maintien en condition opérationnelle des
Politiques de sécurité,
Plan de Reprise d’activité,
gestion des risques,
gouvernance,
formation des RSSI;
• Accompagnement des établissements dans l’atteinte des critères de prérequis pour validation par la DGOS
Sécurisation de l’application mobile MAXICHEQUE

Projet : sécuriser l’application marchande et les processus de conversion des MaxiCheques en chèques cadeaux mono-enseigne pour un usage en magasin via Smartphones (Androïd, iPhone, Windows Phone).
• Encadrement d’une équipe d’experts en tests d’intrusion et architectes de l’infrastructure et du code applicatif ;
• Conduite de la certification OSSTMM (ISECOM.org) ;
• Revue technique et fonctionnelle du concept MOBICHEQUE, architecture et échanges de données ;
• Expression des mesures techniques, organisationnelles et juridiques de sécurité de la solution ;
• Gestion de risques liés à la solution : fraude, traitement du risque, risques résiduels ;

Analyse stratégique de continuité d’activité
(Conforme Hôpital Numérique)
• Diagnostic général de sécurité (environnement : organisationnel, technique et juridique) ;
• Scénarios de sinistres et analyse de risques avec mise en place d’un outil de gestion de risques type ISO 27005 ;
• Questionnaires métiers (ressources clé, exigences liées à un arrêt informatique et perte de données) ISO 27002 ;
• Cartographie applicative et infrastructure hiérarchisés par niveaux stratégiques, identification des points de défaillance uniques ;
• Bilan d’impacts sur l’activité et validation des exigences d’arrêt et de reprise de données ;
• Préconisations sur les stratégies de reprise immédiates et fonctionnelles des métiers ;

Missions équivalentes dans secteurs: industries, services, grande distribution.
Audit général de sécurité type ISO27001
Plan directeur sécurité
• Audit basé sur la norme ISO27001 et sur les recommandations de la Haute Autorité de Santé (HAS) ;
• Analyse de risques et détermination du profil de l’établissement par rapport à une perte de Disponibilité, d’Intégrité, de Confidentialité et/ou de Trace des données ;
• Définition du Plan directeur sécurité ;
• Sensibilisation des responsables de services et définition des exigences métier ;
• Hiérarchisation des actions et évaluation des charges internes/externes du plan directeur sécurité ;

Missions équivalentes dans secteurs: industries, grande distribution, services, collectivités territoriales, cliniques.
Définition et mise en œuvre de la politique et gouvernance en sécurité
• Audit général de sécurité siège et 300 points de vente ; Définition du plan directeur sécurité ;
• Définition de l’ensemble de la politique et des directives de sécurité (organisationnel, technique, juridique) ;
• Accompagnement/formation du responsable de la sécurité des systèmes d’information (RSSI) ;
• Aide à la certification du RSSI en tant que lead Implementer ISO27001 ;
• Déf. des architectures de sécurité (AD, RADIUS, wifi, pare-feu, cloisonnement réseau, postes/ serveurs) ;
• Mise ne place d’outils de pilotage et indicateurs ;
• Conformité : ISO27001 (politique SMSI siège, wifi magasins, gestion pare-feux) ; CNIL et charte ;
Missions équivalentes dans secteurs: industries, services, hautes technologies.
Déménagement data center et système d’information complet

Directeur de projet en AMOA dans le cadre de la fusion avec Elf et impactant l’ensemble des métiers de l’Exploration-Production (EP)
• Déménagement de plus de 300 serveurs (entre plusieurs data center simultanément)
• Déménagement de plus de 2500 postes de travail (courant fort/faible, mobilier)
• Mise en place d’un help desk (10 personnes) en support des vagues de déploiement (maxi 600 postes sur 1 we)
• Gestion du stress client et gestion de crise
Missions équivalentes dans secteurs: banques, centre d’appels.

Depuis 1999 SOLUZEN

2011-2012 Programme VolcanIE de sécurisation des PME (Consultant, expert)
• En coordination d’un plan d’Intelligence Economique, Conseil et accompagnement du responsable de l’entreprise sur le diagnostic sécurité de l’information, la définition du plan sécurité et la mise en œuvre des mesures de sécurité ;

2010 Programme Ulysse Région Rhône-Alpes de sécurisation des PME (Consultant, expert)
• Conseil et accompagnement du responsable sécurité de l’entreprise sur le diagnostic sécurité de l’information, la définition du plan sécurité et la mise en œuvre des mesures de sécurité ;

Programme Cybermassif 2010 de sécurisation des PME (Consultant, expert)
• Conception de la méthodologie et des outils pour le conseil et l’accompagnement du responsable sécurité de l’entreprise sur le diagnostic sécurité de l’information, la définition du plan sécurité et la mise en œuvre des mesures de sécurité ; formation/sensibilisation/conférences organisées pour les CCI et centres de compétences du grand Massif Central ; sur une centaine d’entreprises ;
-
2009 Deloitte Technology Fast 50 (Palmarès Rhône-Alpes/Auvergne Edition 2009)
• Participation au palmarès des 50 sociétés candidates affichant un taux de croissance médian de 310% entre 2004 et 2008 avec une rentabilité positive pour 88% d’entre elles ;

2002 CLUSIF (Club de la Sécurité de l’Information Français) (Contributeur)
• Participation à l’élaboration du référentiel MEHARI (Méthode Harmonisée d’Analyse de Risques) ;

2000 Réseau Rhône-Alpes Entreprendre (Lauréat 2000)
• Projet de création d’entreprise validé et soutenu financièrement par l’association de chefs d’entreprises (national) ;
• Labélisation NOVACITE (pépinière d’entreprises) ;

1979 à 1999 HEWLETT-PACKARD FRANCE

e-Project Manager(1989-1999)
• Définition et conduite de projets e-business pour les Business Unit européennes d’HP ;

Project Manager(1989-1998)
• Développement de l’activité HPSITE à partir de Lyon (câblage et infrastructures de salles informatiques) ; définition des offres, cahiers des charges techniques, suivi et gestion de la réalisation des projets ; développement de l’activité commerciale base installée et « new business »;
• Pilotage de projets de déploiements d’infrastructures (réseaux, postes de travail..);
• Conception et mise en œuvre de réseaux LAN/WAN Cisco/3COM ;
• Avant-vente « infrastructure physique » auprès des ingénieurs commerciaux grands comptes ;

Customer Account Manager(1989-1998)
• Réalisation d’opérations de déménagements informatiques sensibles (centre d’appels);
• Précurseur dans le développement de l’activité HPSITE à partir de Lyon ; en accord avec le management mise au point de l’offre de câblage HP et développement du chiffre d’affaire auprès de la base installée dans un premier temps et ensuite sur des projets détectés par les ingénieurs d’affaires ;
• Responsable après-vente et référent sur des compte HP ciblés et stratégiques ;
• Gestion globale du support après-vente sur les comptes HP ; objectifs de satisfaction client et fidélisation respectés ;
• Support technique sur site des calculateurs scientifiques HP1000 et de gestion HP3000 ;
• Support technique sur site des calculateurs scientifique de bureau ;