Patrice - RSSI-CdP sécurité/Cyber-PCA/PRA-AMOA-Audit

génération de documents . (42 mois) – IAM / Cyber Sécurit EDR/NDR & Varonis / Backup & DRP/ Risques.

• Juillet 2020/ fin 2021 : Chef de projet Dexia auprès du RSSI, dans la mise en place de la solution Varonis de sécurité de l’Active Directory (AD). Une action prioritaire de défense Cyber est attendue par le CODIR Dexia : la mise en place d’alertes aux ransomware et malware sur l’AD et l’installation d’un script de défense (désactivation de compte malveillant et isolement réseau de machine).
• J’interviens dans le projet IAM Dexia, sur la revue des rôles métiers et le design des matrices SOD des applications de paiement. Assistance à la revue de la ségrégation des droits et des profils des applications de paiement au sein de la banque. Interview des métiers et atelier de design des matrices SOD (Segregation of duty) des profils incompatibles. Une solution « Brainwave » doit intégrer ces matrices (format pivot) afin d’automatiser le suivi de la séparation des droits (vérification des incompatibilités sur les rôles métiers et aussi profils applicatifs). Communication de la matrice générale SOD auprès des CAC pour l’audit annuel sur la partie gestion des accès et SOD.
• Réalisation d’un POC de la solution Varonis permettant de vérifier l’installation et le fonctionnement de la solution Varonis. Génération des premiers rapports de la solution et tableau de bord sécurité.
• Dans les différentes étapes du projets, l’éditeur Varonis est très présent, j’ai la charge de la synchronisation des actions et du suivi du déroulement des ateliers.
• Un audit de l’AD au moyen de la solution Varonis de sécurité est réalisé. Il est alors identifié les scénarios de sécurité nécessitants les actions importantes de correction. Trois sous-projets sont ouverts : P1-revue des comptes et groupes sur l’AD, P2- Défense Cyber- mise en place des alertes et script de défense, P3 revue des droits d’accès aux répertoires sensibles et correction des accès ouverts à tous.
• L’éditeur Varonis nous propose un QBR (quarterly Business Review) afin de revoir les KPI sécurité produits par la plateforme et d’indiquer les éventuels axes d’actions prioritaires. Un audit « purple team » est aussi proposé annuellement afin de pentester les vulnérabilités éventuelles de l’AD et de réaliser le test des scripts de défense en cas de ransomware ou malware (déclenchement du script et identification des actions réalisées – compte désactivé et carte réseau machine inactivée). Ensuite les remédiations nécessaires sont engagées.
• 2022-2023 : Chef de projet POC EDR/NDR. (Endpoint & server)
- Premier semestre 2022, POC sur les solutions Crowdstrike (EDR) et Vectra (NDR). Deux périmètres sont identifiés, celui des serveurs et celui des « devices » utilisateurs. La plateforme Crowdstrike est disponible dans le Cloud. Une série d’ateliers est alors réalisée avec l’éditeur permettant la prise en main de la plateforme. Un échantillon de serveurs est alors onboardé au sein de la plateforme. Le POC se déroule bien. Le POC NDR Vectra est aussi réalisé sur le Data center Dexia, la Captation des flux Sécurité critiques est réalisée, copiée et envoyé sur la plateforme Cloud Vectra. Les possibilités de la plateforme sont revues avec l’éditeur. Le POC se déroule bien. Le choix de Dexia ne se porte pas sur ces deux solutions car la société décide de migrer sur 0365 de Microsoft.
- Fin Deuxième semestre 2022 et premier semestre 2023, un POC sur l’EDR Microsoft Defender (MDE) est lancé par décision du COMEX Dexia souhaitant la migration du SI vers MS O365. L’achat de licences E5 ou E3 pour les utilisateurs donne accès à tout un groupe de solutions de sécurité MS, dont MDE sans coût supplémentaire pour les utilisateurs. La Phase1 du POC porte sur les « devices » des utilisateurs utilisant W10 (laptops, desktops) et aussi les Mobiles IOS (iPhone, iPads). Le déploiement de l’EDR est réalisé par « intune ». Un test complémentaire est réalisé sur les serveurs Citrix (WS 2012 et 2019) permettant la connexion de certains groupes dont la SSI. Un test d’attaque proposé par MS est réalisé sur une machine, ceci amène la remontée d’une alerte dans la console MDE. Un déploiement par lot (batch) est alors proposé et fait l’objet d’un suivi très attentif notamment sur la partie Mobiles.
– Deuxième semestre 2023 : Le périmètre des serveurs doit être traité. Le POC est lancé, sur une trentaine de servers (MS, Red Hat) représentatifs du parc Dexia « on premise ». Le déploiement est réalisé avec SCCM. Le POC se terminera fin juillet par la restitution du rapport. Le micro planning de déploiement des servers est validé. Le déploiement sera réalisé par lot de 25 à 30 servers, ceci jusque décembre 2024. Le top sera donné suite à la validation du POC, du processus de migration et des aspects contractuels avec l’info gérant CHFS (Cognizant).
La gestion des alertes par l’infogérant doit faire l’objet d’une proposition de traitement (SOC s’appuyant sur le Siem Q-Radar).
• 2022 : Chef de projet Backup et DRP (Phase finale du projet)
Je fais la réception des procédures de restauration des principaux écosystèmes. Je suis en charge ensuite du suivi des tests de restauration des écosystèmes par les services techniques et les représentants IT (« tribes ») des métiers.
• 2020/2023: Suivi des projets sécurité critiques (Varonis, EDR/NDR et Backup et tests DRP) auprès des risques opérationnels. Production et présentation trimestrielle auprès des RO (risques opérationnels) des OCR (Operational Continuity Report). Ceci comporte un PPT de présentation du suivi du projet (définition, budget, planning, réalisé, « ongoing » et les « next steps » et synthèse des risques) et un fichier Excel des risques opérationnels identifiés sur le projet (risques opérationnels, évaluation, plan de remédiation, risques résiduels).

RSSI de transition – Assistance auprès du directeur et de la DSI de l’ADIS – IAM / Continuité d’activité /GDPR (GRC).

RSSI de transition au sein d’ADIS :
En charge des projets sécurité PCA/PRA, Gestion des identités, Anonymisation des données et de la préparation du COPILSEC mensuel auprès du comité de direction.

• Pilotage des ateliers de préparation au sein des services métiers et au sein des services techniques.
• Gestion des risques opérationnels
• Assistance à la mise en place du corpus documentaire de la continuité d’activité :
o Politique de continuité d'activité
o Stratégie de continuité d'activité (site de repli métier, site de repli technique, fournisseurs critiques)
o Plan de gestion de crise (tous les éléments pour la gestion de crise par la cellule de crise)
o Mise en place des procédures de continuité par département (gouvernance, évaluation des dommages, listes des intervenants, chaine de communication, sites de repli, RTO et RPO, liste des personnes envoyées sur le site)
• Assistance à la mise en place de la gouvernance au sein des services métiers critiques (atelier de présentation des procédures)
• Analyse de risque (EBIOS)
• Assistance à la sélection du site de repli métier (CDC, Dépouillement, notation et soutenance, sélection, contractualisation). Assistance dans la réalisation des ateliers de mise en place du site de repli métier (atelier réseau, atelier téléphonie, atelier master Poste, Atelier organisation des intervenants métier et technique et kick-off de l’exercice). Assistance dans le choix et la mise en place de la solution push & secours Telecom d’ORANGE (téléphonie).
• Assistance à la mise en place du corpus documentaire du plan de reprise d'activité
o Procédure PRA, Check liste des équipes (évaluation & coordination, réalisation, préparation site de repli)
o Fichier de préparation au PRA des équipes techniques
• Assistance à la Préparation de l’exercice PCA/PRA 2017:
o Lettre de mission pour les tests PCA/PRA 2017 (périmètre technique, listes des applications, etc.)
o Préparation des fiches de tests PCA avec les testeurs et managers des services critiques
o Préparation des éléments de réalisation du PRA (valise PRA, fichier de suivi PRA)
o Mise en place des demandes de réservations (billets de train, chambres d'hôtel)
• Assistance à la réalisation de l’exercice PRA et de l’exercice PCA, sur les sites de replis techniques et métier (Collégien IBM et Noisy Le Grand IBM).
• Assistance à la réalisation des documentations de synthèse des exercices, des pistes d'amélioration et plan d’action.
: Assistance à mise en place d'une solution de gestion des habilitations.
• Définition d'une politique de gestion des habilitations, approche des habilitations par des rôles applicatifs et métiers.
• Définition des formats des fichiers d'import (SIRH, gestion des externes et des prestataires)
• Définition d'un fichier organisationnel permettant la mise en place de la structure organisationnelle de l’entreprise.
• Approche des droits par des rôles applicatifs ou des rôles métiers et leur correspondance avec les profils techniques.
• Réalisation des ateliers de modélisation auprès des manager et des responsables d'applications.
• Assistance à la mise en place d’une solution de gestion des habilitations « User Cube ».

Chef de projet sécurité Anonymisation : Assistance à la mise en place d'une solution d'anonymisation des données.
• Anonymiser les partitions de Développement et de tests
• Définition des données personnelles et critiques nécessitant l'anonymisation
• Mise en place de la solution DOT Anonymiseur.

Chef de projet IAM / sécurité Habilitations

IAM CoE (Center of Excellence) – Assistance auprès du directeur du programme IAM, Assistance auprès d’IAM DA (Design Authority)

AXA-Tech a la charge de la définition des solutions et des plateformes mises à disposition des différentes Opco AXA (AXA France, AXA US, AXA Germany, AXA Japon, etc.). J'interviens en tant qu'architecte fonctionnel pour la définition des solutions RECERTIFIACTAION et AUTHORIZATION. Au sein des ateliers mener avec le chef de projet, les intégrateurs, le directeur de programme, je dois rédiger les documentations "Share Services Definition", "Blue print" et préparer les passages auprès du SAB (Solution Architecture Board - Gate 2). J’ai aussi la charge de l'animation d'atelier auprès des correspondants architecture et sécurité d'AXA au sein des différentes OPCO sur les sujets connexes à Re certification et Autorisation.

Re certification Share Service Définition :
• Présentation du contexte
• Définition des types de compagnes de recertification (SOX)
• Définition des services attendus pour la V1.0
• Définition du mode d'import des informations depuis les end-points/applications (PIVOT File format)
• Définition de l'importation par connecteur des données relatives à l'identité des utilisateurs (liste des champs) depuis l'annuaire globale (GIR) ou depuis une source extérieure d'identité (Fichier d'import spécifique/ liste des champs) au sien de la solution
• Définition du mode de corrélation des comptes & droits (account & entitlement) avec les utilisateurs : trois modes standard de corrélation (email, identifiant company, identifiants Windows). Définition des workflows de recertification.
• Définition du rapport recertification et du fichier de remédiation (remediation file format).
• Finalisation du "IAG BLUE PRINT Recertification and authorization" document chapeau pour l'architecture des solutions. Authorization Share Service Definition
• Amorce de la rédaction de la version V1.00 (automatic provisioning) et de la version V2.00 (RBAC & Workflow)
• Animation des ateliers avec le directeur de programme IAM et le directeur DA (Design Autority), le responsable du IAM CoE (IAM Center of Excellence) sur la partie Authorization V1.0 et V2.0.

Chef de projet. Gouvernance de la PKI, gestion des clés (CA/HSM- création, gestion, sauvegarde des clés publiques et privées), gestion des certificats, Certificat X509, Hash, suivi des CRL (RA). Protocole de gestion et d’interrogation d’une PKI (SQEP, OCSP, etc.). Protocoles de chiffrement OpenSSL, Cryptlib, S-Mime. Signature électronique.
Mission Carrefour : Etude sécurisation des échanges de fichiers
Mission SAFRAN : Chef de projet migration SAAS de la PKI OPEN trust.
Détails disponibles dans la suite du CV.

– PCA ET AUDIT D’EXERCICE / MISE EN PLACE DE SMSI – ISO 27001.

RSSI de transition, assistance à la mise en place du PCA/PRA, exercices réels PCA/PRA. Mise sur la trajectoire de la certification ISO 22301.
Mission Dexia : Projet sauvegardes et suivi des tests DRP des applications de la banque.
Détails disponibles dans la suite du CV.

ANALYSE DE RISQUES OPERATIONNELS ET DE SECURITE

Analyse des risques opérationnels suivant le référentiel groupe SG (huit types de risque et 49 risques identifiés). Intégration de l’analyse de risque sécurité. Rédaction des scénarios et des mesures de couverture en place. Suivi des mesures de remédiation.

Mission SG (Société Générale) : Revue risques opérationnels des projets IT critiques. Suivi de la Méthodologie SG.
Mission Dexia : suivi des risques opérationnels des projets varonis, cyber (EDR) et Sauvegardes & tests

Expert Risques opérationnels bancaires et sécurité. (35 mois)

• Etude des Risques Opérationnels des projets à forte composante IT : digitalisation de processus, authentification, authentification biométrique, nouveaux IHM, application mobile, etc. Ceci en suivant le référentiel groupe : risques commerciaux, risques litiges avec les autorités (GDPR/CNIL, DSP2, MIF2, référentiel Chèque, entretien conseil, exigences BCE, exigences ACPR, etc.), risque de modèle et pricing, risque d’exécution, risque de fraude, risque de trading, risque de résilience (BIA, RTO, RPO), risque de disfonctionnement du SI.
• Préparation des supports de revue de risque opérationnel des projets pour la réalisation des revues en présentiel avec les ORM CDN et BDDF (Managers des Risques Opérationnels), les responsables de la conformité, les responsables des Data (DPO - GDPR), les RSSI, les juristes et les acteurs des projets.
• Pilotage du processus de Revue de Risques Opérationnels, préqualification des projets pour les revues, réalisation des présentations des scénarios de risques opérationnels des projets, réalisation des CR et du suivi des recommandations dans l’outil PROST (outil de suivi des recommandations issues des revues de risques opérationnels et de sécurité).
• L'étude ponctuelle liée aux Risques Opérationnels incluant la résilience, les PCA, la gestion de crise. Utilisation de la méthodologie STAMP (très proche de l’ISO 22301)
• Pilotage des domaines de la sécurité, ainsi qu'une maîtrise des méthodes d'analyse de risques (ISO 27005, Bâle 2 risques opérationnels, COBIT, iso 27002 référentiels SSI)
• Suivi des risque Cyber, lecture des synthèses hebdomadaires produites par la SG (CERT).
• Les études de risques opérationnels des projets les plus importants et sensibles répondent à des impératifs réglementaires groupe sur la réglementation Bâle 2 (remonté des analyses au sein du reporting groupe).
• Quelques exemples de projets :
o Refonte modèle de contrepartie PME moins de 50 M€ (exigence BCE sur les modèles d’évaluation des probabilités de défaut et provisions RWA).
o Refonte application mobile PRO/ENT (introduction gestion des cartes, utilisation de React Native (APP Android) et mise en place de l’authentification par biométrie sur mobile).
o Canal API – Store Sandbox- AISP/PISP (DSP2-accès aux informations du compte courant des clients par les AISP et PISP et réalisation de paiement)
o Démat-Assurance Vie (modification processus digital, signature électronique actes de gestion pour arbitrage, entretien conseil)
o RPA – Robotics Process Automation – Fermeture de compte automatique PRO.
o Etc..

• Assistance auprès des directeurs de département (ITIM/SRO – Sécurité et Risques Opérationnels) lors de l’audit résilience de BDDF par la BCE. Suivi des questions adressées par les auditeurs BCE et des remontés des réponses auprès des auditeurs BCE, tenu de l’outil de suivi pour la partie ITIM/SRO.