Jamal - Consultant cybersecurite

EXPERIENCES PROFESSIONNELLES

Aptitude Conseil
Mai 2013 – à ce jour
Consultant Sénior
- Sécurité des S.I
- Audit et vérification des TI
- Mise en œuvre de processus ITIL
- Continuité d’activité
- Gestion de projet TI
Réalisations :

SENELEC – Projet d’Accompagnement pour l’Urbanisation SI, l’Élaboration du Plan de Reprise des Activités (PRA) et du Schéma Directeur Informatique et Télécom
Conseiller en continuité d’activité PCA / PRA - Juin 2018 à ce jour
- Elaboration de la cartographie des risques
- Définition de la stratégie de continuité
- Conception du Plan de Continuité des Activités
- Elaboration du dispositif de gestion de crise
- Tests de maintien en condition opérationnelle
- Plan de reprise d’activité

Hydro-Québec – Gestion des risques de sécurité des TIC - Janvier 2018 à Avril 2018
Conseiller en sécurité des TIC
Élaborer les exigences de sécurité en termes de conformité et de contrôles à mettre en place pour plusieurs types de projet TIC (Cloud, Développement, Infrastructure, Intégration, ...)

Accompagnement à la certification ISO27001
Vérifier si le système de management de sécurité de l’information est conforme aux exigences de la norme ISO 27001
Evaluer l'efficacité du système de management de sécurité de l’information et d'en déceler les éventuelles faiblesses
Émettre des recommandations et assister Desjardins dans la résolution des non conformités identifiées

TMPA - Tanger Med Port Authority - 2017
Accompagnement à la certification ISO27001
Renforcer ses dispositifs de sécurité via la mise en œuvre d’un Système de Management de la Sécurité de l’Information « SMSI » placé sous sa responsabilité et conforme à la norme ISO27001.

Banque Populaire - 2017
Formation ACL
ACL 105 - Fondamentaux – Concepts et pratiques
ACL 252 – Détection de fraude avec ACL
ACL 260 - Contrôle interne
ACL 303 - Fonctions et scripts

WSP au Canada – Services de consultation en ingénierie - Septembre - Octobre 2016
Conseil et formation en analyse de données - Développement de scripts ACL.

CPA Ordre des comptables professionnels agréés au Québec et l'IAI institut des auditeurs internes section de Montréal - Septembre 2016
Formation "Saisir toute la valeur de l’analyse intégrale de données avec ACL"
Contenu : Principes de base, Vérification de l'intégrité des données, Analyse de données, Contrôle Continu et Automatisation des analyses de données (CCM), ACL et la fraude, ACL et Contrôle interne.

SOREC (société royale d’encouragement du cheval)
Consultant - Auditeur
Accompagnement à la mise en place d’une politique de sécurité des systèmes d’information
Définir sa politique de sécurité des systèmes d’information (PSSI)
Réaliser des audits du SI :
Audit organisationnel de sécurité
Sécurité applicative et gestion des accès et identités
Audit technique de l’infrastructure
Former et sensibiliser les acteurs de la Sorec à la problématique de la sécurité des systèmes d’information

IAI Montréal (Institut des Auditeurs Internes)
Formateur ACL
ACL 105 - Fondamentaux – Concepts et pratiques
ACL 201 - Techniques d’analyse des données
ACL 252 – Détection de fraude avec ACL

Université de Montréal
Formateur ACL
Formation au département des vérificateurs internes
ACL 105 - Fondamentaux – Concepts et pratiques

Bureau du Vérificateur Général de Montréal
Consultant senior
Formation – Découverte ACL
Services d’analyse des données avec Scripting ACL

LYDEC (la lyonnaise des eaux)
Auditeur ISO 27001
Audit du Système de Management de la sécurité ISO 27001
Vérifier si le système de management de sécurité de l’information (SMSI LYDEC) est conforme aux exigences de la norme ISO 27001
Evaluer l'efficacité du système de management de sécurité de l’information et d'en déceler les éventuelles faiblesses
Émettre des recommandations et assister LYDEC dans la résolution des différents non conformités identifiées

APM Terminals
Consultant senior
Accompagnement à la certification ISO27001
Renforcer ses dispositifs de sécurité via la mise en œuvre d’un Système de Management de la Sécurité de l’Information « SMSI » placé sous sa responsabilité et conforme à la norme ISO27001.

Bank of Africa, Senegal
Expert-formateur.
Animations des sessions de formation pour les agents de la direction des systèmes d’information et d’audit de la Bank of Africa. Ces formations sont : Audit des processus automatisés et Référentiel COBIT 5.

MDJS
Auditeur en système d’information
Audit technique des prestations rendues dans le cadre du contrat d’infogérance de la plateforme technique et du parc informatique.
Formation Audit des systèmes d’information
Formation ISO 27001

Sûreté du Québec
Conseiller principal - Conseiller Sécurité et système
Etude préliminaire pour la mise en place d’un site WEB transactionnel sécurisé.
La future application doit supporter de façon adéquate les besoins d’affaires de la Sûreté du Québec en ce qui concerne une gestion efficace et intégrée des opérations et activités requises, et plus particulièrement en matière de traitement des demandes d’habilitations sécuritaires.
Sécuriser l’échange d’information avec le citoyen (corporatif ou individuel) avec la solution gouvernementale ClicSECUR.
Méthodologie : P+, Hydroscope
Environnement : Z/OS (IDMS, CICS, COBOL, TSO-ISPF, MQ) ; Linux, Novell SUSE SLES 9 SP3 s390x. Oracle ; Apache ; IIS 6,0 ; RITM

FXInnovation
2012- Avril 2013
Conseiller Architecture & Technologie
Réalisations :
Loto-Québec
Conseiller en sécurité d’information - dans un projet d’évaluation de la pertinence et l’efficacité des politiques d’accès, ainsi que l’homogénéisation de leurs formats et contenus.
Le mandat consista à analyser les politiques d’accès afin de valider leur mise en œuvre et leur efficacité pour les environnements de production de la société. L’accent fut principalement mis sur les besoins de sécurité applicative, les besoins de conformité des politiques, directives et obligations ainsi que sur l’homogénéisation des politiques d’accès.
Contexte : Loto-Québec est certifiée ISO 27001

Environnement : Jboss EAP 5.1.1, IBM Websphere Application Server/MQ/Portal, HornetQ, Serveurs RHEL 5.0 HP-UX 11,x, VMWare vSphere 4.0,Oracle 9i/10g / 11g, Informix, MS-SQL, Symantec NetBackup, CA Unicenter, ArcSight, Système de surveillance Nagios et Tivoli, Apache, Tomcat

Hydro-Québec
Architecte du projet « Rehaussement de sécurité des outils de gestion intrusifs et sensibles de la direction principale des télécoms » du programme « SecurTIC» chez Hydro-Québec en collaboration avec Deloitte.
Les livrables du projet
• Évaluations de la situation actuelle
• Exigences propriétaires
• Stratégie de rehaussement à haut niveau
• Infrastructure technologique
• Impacts
• Coûts et bénéfices
Méthodologie : P+, Hydroscope : Normes : Nerc
Environnement : Arcsight (logger/connector), Ionix NCM, SyncView, CiscoSecure , IRIS, RADview, Comsphere, TimeView, Juniper VPN SSL , Réseau IP/MPLS,…
Université de Sherbrooke à Longueuil 2010- 2012
Chargé de cours
Faculté d’administration
Diplôme 2ème cycle en Gouvernance, Audit et Sécurité des TI
Cours enseignés – La protection des actifs informationnels
Aptitude Services Octobre 2004 – 2012
Président
Société d’ingénierie en organisation et systèmes d’information
(Sécurité des S.I, gestion de projet, conseil, optimisation des processus, audit des systèmes d’information, formation)
Projets réalisés :
La société Marocaine des jeux et du sport (2011-2012)
 Projet ISO 27001 et WLA
• Conseil à la mise en œuvre d’un Système de Management de la Sécurité (SMSI) ISO 27001
• Évaluation préliminaire
• Définir le périmètre SMSI
• Élaborer une politique SMSI
• Mise à jour de la politique sécurité
• Définir une méthode d’évaluation de l’efficacité du SMSI et des mesures de sécurité basée sur le choix d’indicateurs et la mise en place d’un tableau de bord
• Rédiger une procédure sur l’évaluation de l’efficacité du SMSI et des mesures de sécurité
• Documenter la démarche de revue de SMSI dans une procédure.
• Élaborer la procédure de développement sécurisé, de gestion de changement et de gestion de capacité
• Elaboration d’un SLA d’infogérance – infrastructure
• Service DESK :
• Gestion des postes de travail
• Service de proximité
• Gestion des infrastructures :
• Gestion du réseau et sécurité,
• Gestion des serveurs, messagerie, et bases de données
• Gestion des sauvegardes,
Environnement : Cisco Routeur et Firewall, Websense v5000, Trend Micro Entreprise Security, Serveur BlackBerry, Serveur Domino Doc, Active directory et DNS, Serveur HP DL180, IBM System Storge 5845,…

La compagnie d’Assurance de Transport (2009-2012)
 Projet de refonte du système d’information
• Projet d’urbanisation – infrastructure
• Cartographie du système actuel
• Définition du système cible
• Mise en place du Matériel
• Logiciel et télécommunications
• Sécurité des sites
• Processus autour du Data Center
• Développement d’application spécifique
• Recensement des besoins
• Mise en place de l’environnement de développement et de test
• Développement des applications
• Tests (unitaire, intégration, régression, stress, acceptation)
• Formation et déploiement
• Méthodologie Agile-Scrum
• Intégration de l’ERP de la gestion financière ANAEL
• Cadrage du projet
• Conception - Expressions des besoins;
• Paramétrage
• Tests et recettes
• Déploiement
• Conduite de changement et formation;
 Projet de Service TI et Continuité
• Mise en œuvre des processus exploitation ITIL
• Définition de la politique des services
• Cadrage et collecte des informations
• Gap Analysis
• Préparation du plan de déploiement
• Formalisation du processus de gestion des incidents et mise en œuvre
• Plan de conduite du changement
• Amélioration continue
• Projet de plan de secours informatique
• Analyse de l’impact sur les affaires
• Définition de la stratégie de secours
• Elaboration du PSI
• Elaboration des procédures et des modalités de vie du PSI
• Sensibilisation des utilisateurs à la sécurité de l’information

Environnement : Active Directory et de LDAP, Apache, Tomcat, Réseaux sans fil 802.11x, MS SQL, J2EE, MySQL, PHP, Linux…
L’office national des chemins de fer (2010)
• Cartographie des risques TI (pour le compte de PricewaterhouseCoopers)
Démarche (référentiel utilisé RISK IT)
• Identification des risques liés aux SI
• Évaluation de leur impact
• Établir une cartographie des risques liés au SI.
• Proposition de traitement des risques en fonction de l’appétence
(Élimination, réduction, transfert, acceptation).
La compagnie d’Assurance Zurich (2009-2010)
• Revue des contrôles généraux informatique dans les domaines suivants : (2009)
• Organisation et pilotage informatique
• Développement et maintenance
• Exploitation
• Sécurité physique et logique
• Procédures de sauvegarde
• Plan de secours informatique
• Cartographie des risques TI
Démarche (référentiel utilisé RISK IT)
• Identification des risques liés aux SI,
• Évaluation de leur impact
• Établir une cartographie des risques liés au SI.
• Proposition de traitement des risques en fonction de l’appétence
(Élimination, réduction, transfert, acceptation).

Environnement : Téléphonie IP Cisco, RPG/ COBOL for AS/400, DB/2, WSphere, Active Directory et de LDAP, …

Price Waterhouse - Mandats de vérification TI (2006 et 2008)
• Revue des contrôles généraux informatique dans les domaines suivants :
• Organisation et pilotage informatique
• Développement et maintenance
• Exploitation
• Sécurité physique et logique (SMSI inspiré de la norme ISO 27001)
• Procédures de sauvegarde
• Plan de continuité d’activité et plan de secours informatique
• Livrables : Rapport d’audit : Etat des lieux ; Constat, risque et recommandations ;
La Mutuelle d'Assurances des Transporteurs Unis MATU (2008), Compagnie d’assurance ZURICK (2006)

La Fondation Banque Populaire Pour la Création d’Emploi (2007)
 Projet de refonte du système d’information
• Cartographie des processus métier
• Recensement des besoins utilisateurs
• Rédaction des procédures métier
• Rédaction du cahier des charges pour le développement des applications spécifiques
• Rédaction des exigences de sécurité
• Sélection des prestataires
• Assistance à maitrise d’ouvrage

Groupe CMA-CGM (Contractuel) (2004- 2006)
Poste : Directeur de projet
 Projet de réingénierie des processus métiers
• Développer la vision des activités et les objectifs des processus
• Identifier les processus d'activité à reconcevoir
• Comprendre et mesurer les processus existants
• Identifier les leviers technologiques
• Concevoir et élaborer un prototype du nouveau processus
• Adapter le paramétrage ERP et effectuer le développement spécifique en tenant compte du résultat du BRP.
Groupe CMA-CGM (Permanent) 1994- Fin Septembre 2004
(Multinationale dans le secteur du transport international)

Septembre 2003 à Septembre 2004
Poste : Directeur Général Adjoint
Responsabilités : Animation des fonctions (effectif > 200):
Organisation, système d’information et télécommunication, qualité, ressources humaines, finance, comptabilité, trésorerie et recouvrement, achat et services généraux
Réalisations :
Élaboration des tableaux de bord de la Direction Générale
Selon l’approche « Balanced Scorecard » dans le but :
• Contribuer à des objectifs de création de valeur
• Accroître la performance des processus métiers et leur orientation clients
• Maîtriser les aspects financiers
• Développer les solutions et les compétences dont l’entreprise aura besoin dans le futur
• Garantir que les risques liés au métier sont sous contrôle

Mai 1994 à Septembre 2003
Poste : Directeur Organisation et Systèmes d’Information (permanent)
Responsabilités : Animation des fonctions d’organisation, du système d’information et des télécommunications.
Service des études et développements
Service exploitation et infrastructure
Réalisations :
 Mise en œuvre d’un nouveau système d’information
- Évaluations d’opportunités
- Schéma directeur informatique
- Politique et plan d’action sécurité
- Equipement d’une nouvelle infrastructure de communications et réseaux
- Élaboration du cahier des charges pour la consultation des ERP
- Sélection des ERP
- Management du projet de mise œuvre de l’ERP
- Développement d’applications spécifiques autour de l’ERP avec Websphere et RPG AS400
- Mise en œuvre d’un centre de service
• Elaboration des procédures de gestion des incidents
• Mise en place d’une application Workflow Lotus Note de gestion des incidents
• Déploiement et formation des utilisateurs
- Mise en œuvre d’un plan de continuité d’activité

Environnement : ERP Tradeware, IBM Websphere, AS400/Iseries, Lotus domino
Société Générale d’informatique - Agent IBM 1989 - 1994
Décembre 1991 à Avril 1994.
Poste : Directeur Projet (permanent)
Responsable d’un portefeuille de projets d’études et de développements.
Projets dans les secteurs de l’industrie (mine, sucrerie, bâtiment, agro-alimentaire..) et des services (assurance, formation, santé,..)
Formateur et responsable de la formation AS/400, UNIX , MERISE et SIGNON Environnements AS/400 et RISC 6000 Sous AIX

Avril 1989 à Novembre 1991.
Poste : Ingénieur technico-commercial. (Permanent)
Recruté par IBM FRANCE pour le compte de son agent.
Chef de projet et responsable de l’équipe de développement sur IBM AS/400 (Cobol et RPG, DB2).
Interlocuteur technico-commercial IBM-AGENT.