Jean-Yves - Consultant cybersécurité SECURITE
Ref : 030909B001-
78130 LES MUREAUX
-
Consultant cybersécurité (64 ans)
-
Télétravail si le client est à plus de 2h de son domicile
-
En profession libérale
-
Consultant Senior – Expert en Cybersécurité
Malakoff Humanis Auxia (pour Expert-Line)Jan 2020 - Jan 2020Contexte :
Au sein du groupe Malakoff Humanis, Auxia est l’entité spécialisée dans la gestion des contrats
obsèques. Sa DSI à taille humaine permet le déploiement, le test et la validation de solutions
innovantes en matière de sécurité, à ce titre, elle est considérée comme le laboratoire sécurité du
groupe.
Mission :
• Création du Cockpit SSI.
• Elaboration des KPI et de la communication avec le groupe
• Mise en place d’un SIEM
Réalisations :
Pilotage de la mise en place d’une infrastructure ELK
Elaboration de tableaux de bord avec Kibana
Pilotage de la mise en place d’une infrastructure Quest-Intrust
Extraction et analyse des trames syslog,
Elaboration de tableaux de bord Excel, PowerBI
Mise en place de la main courante pour les auditeurs.
Création du Cockpit SSI :
Extractions de données
Depuis la console Office365-Azure
Depuis la console TRAPS
Depuis la console MacAfee
Depuis la console Olfeo
Depuis la console Quest et ChangeAuditor
Elaboration des tableaux de bord
De pilotage opérationnel
D’animation des comités SSI
Elaboration des GPO et pilotage des déploiements sur AZURE/Office365
Pilotage des actions de remédiation suite à Audits et Pentests
Suivi des campagnes de Patch Management -
Consultant Senior – Expert en Cybersécurité - Operational Security Manager
Société Générale (pour Expert-Line)Jan 2017 - Jan 2020Contexte :
Pendant ces 3 dernières années, j’ai eu la chance de participer à la mutation vers le cloud d’une des
banques les plus en avance sur la place. Ces changements fondamentaux de paradigme vers le «you
build it you run it» ont des impacts énormes en matière de sécurité et de transfert de responsabilité.
Mission :
• OSM de l’infrastructure d’hébergement des applications du domaine RETAIL (GTS/RCR).
Réalisations :
Animer la communication avec les DSI clientes: Comités de pilotage RSSI, Comités Opérationnels RSSI
Adj et OSM, Fourniture de rapports et KPI.
Animer la communication avec les autres départements de GTS: MainFrame, MiddleWare, BDD,
Systèmes, Sécurité, SOC, Méthodes, Risques Opérationnels, DPO, Réseaux, Poste de travail,
DatawareHouse, Datalake...
Effectuer une surveillance permanente et mener les campagnes de recertification sur les droits utilisateurs,
ports USB, combinaisons toxiques. Suivre les remontées du DLP. Contrôler les Bypass de rebonds
CyberArk.
Gérer les demandes de Dérogation pour les ouvertures de routes, l’obtention de droits étendus ou
l’ouverture de ports USB. Élaborer les Workflow de validation des requêtes dans les outils de Ticketing.
Effectuer les audits et analyses de risques des nouveaux composants d’infrastructure.
Piloter les actions de remédiation suite à Audits et Pentest commandités par les DSI ou l’inspection
générale, Scans hebdomadaires Qualys, Alertes et recommandations CERT, ANSSI, SOC...
Participer aux comités de restitution et challenger les préconisations formulées.
Établir les corrélations entre vulnérabilités et patch correctifs
Piloter les campagnes de Patch Management en conformité avec la PSSI
Suivre la mise en place du Virtual Patching
Élaborer les tableaux de bord, KPI et effectuer le reporting vers les DSI
Assurer l’accompagnement sécurité dans les projets :
Conformément au processus ISORP, participer aux comités de validation technique de tout nouveau
projet souhaitant bénéficier des infrastructures d’hébergement afin de préconiser et contrôler la mise
en œuvre des solutions permettant d’assurer la conformité aux exigences de sécurité.
Fournir un support aux architectes, Feature Teams et ME
Élaborer une checklist sécurité des dossiers d’architectures
Participer à l’élaboration des contrats PASF pour les PSEE.
Participer à la Gestion de crise « Spectre Meltdown » qui a permis de patcher 70K serveurs en un WE
ExpertLine Nov-2016 / Fev-2017
Consultant Senior.
Contexte :
Spécialisation en cybersécurité.
Mission :
Suivre les formations Expert-Line puis répondre aux missions et appels d’offres reçus.
Réalisations :
FormationRadware:PentestingetWAF(WebAppFirewall).
RéalisationdecampagnesdePenTesting.(KaliOwaspsqlmap). -
Directeurtechnique de la sa PTBKB (Expatriation 3 ans en Indonésie).
PT BKB (Indonésie)Jan 2013 - Jan 2016Contexte :
Opportunité d’expatriation en Indonésie pour intégrer une société de création de sites web et
applications pour mobiles.
Mission :
Managementd’uneéquipeinternationalede15personnes
Réalisations :
Pilotage des équipestechniques.
Création de sites web d’e-booking pour les hôtels et restaurants.
Création d'applications mobiles pour smartphones et tablettes (Ios et Android).
Développement de bornes interactives pour les centres commerciaux…
Transformation de routeurs Wifi en micro serveurs intranet pour la diffusion à très haute vitesse de vidéos,
reportages, offrespublicitaires... -
Chef de projet PCA.
Cedicam (Crédit Agricole)Jan 2009 - Jan 2012Contexte :
Intégration de la deuxième phase des directives liées à la création de la zone SEPA (Single Euro
Payment Area) – SDD SEPA Direct Debit.
Mission :
Pilotage duPlan de continuité d’activité de la plate-forme technique 3PG-SDD (SEPA Direct Debit).
Réalisations :
Suivi des équipes de développement,
Rédaction des contraintes liées aux exigences de résilience,
Contrôle et suivi de la prise en compte des exigences de résilience,
Reporting,
Élaboration des tests de résilience,
Élaboration des procédures de bascule et retour arrière…. -
Chef de projet «Task Force PCA-RCSA du SI.RISQ».
Société GénéraleJan 2008 - Jan 2009Contexte :
Suite à un incident de production du SI, demande de la direction générale d’effectuer un contrôle de
cohérence de l’ensemble des PCA des différentes entités.
Mission :
Chef de projetTask Force PCA-RCSA du SI.RISQ
Réalisations :
Pour chacune des entités rattachées à la division RISQ :
AuditetContrôledecohérencedesPCA,PRA,PSIetRCSA(RiskControlSelfAssessment).
Définition des procédures d’alerte, escalade et convocation de la cellule de crise.
Élaboration des plans de communication de la cellule de crise.
Synchronisation entre les différentes entités et intervenants.
Suite à l’épidémie de grippe H5N1 et le black-out d’une entité au Mexique, refonte des PCA
pandémie. -
Chef de projet PCA téléphonie et mandataires
ButagazJan 2007 - Jan 2008Contexte :
Suite au black-out total de l’accès téléphonique aux plates formes de prisede commandesButagaz
pendant3jours.
Mission :
Menerunauditpouridentifierlesproblèmesetlesresponsabilités.
Mettreenplaceunplandecontinuitépourlesplateformestéléphoniesetpourleséquipesdes centres
d’appels.
Réalisations :
Audit et mise à jour de la plateforme technique centrale.
Audit et renégociation des contrats Nextira One et Completel.
Audit des différents centres d’appels mandataires,
Mise en place de sites de repli utilisateurs,
Rédaction des PCA/PRU associés. -
Chef de projet à la Direction des Activités Bancaires - Programme SEPA-SCT (Crédit Transfert).
CNCEJan 2007 - Jan 2007Contexte :
Intégration des directives liées à la création de la zone SEPA (Single Euro Payment Area).
Mission :
Piloter la bascule de la PFU (Plate-forme Unique d'échanges) qui est chargée de mettre en œuvre les
directives européennes du programme SEPA-SCT. Elle est interfacée avec les systèmes de place et
basée sur les outils SWIFT - Cristal...
Réalisations :
Pilotage de labascule, préparation et tests.
Analyse des interfaces.
Élaboration des procédures de retour arrière. -
Chef de projet Senior
Cegetel sasJan 2004 - Jan 2005Contexte :
Suite à la fusion de CEGETEL et TELECOM DEVELOPPEMENT,
Mission :
Organisation et pilotage des applications de planification et suivi budgétaire, des applications de
supervision et cartographie du réseau.
Réalisations :
Pilotage des projets de planification, de supervision et de cartographie. -
Responsable intégration des projets techniques
DGI/DGCPaujourd'huiContexte :
Programme COPERNIC (Refonte des SI DGI et DGCP, plus gros projet informatique européen) :
Suite à l’échec de la première campagne de télé déclaration des revenus, création de l’entité COPERNIC7
responsabledelaqualification,destestsdechargeetdelamiseenproductiondesapplications.
Mission :
Au sein de cette entité Copernic7, j’étais «Responsable intégration des projets techniques ».
Réalisations :
Rédaction des stratégies, scénarios et cas de tests.
Pilotagedescampagnesdequalification(Testsderobustesse,deperformance,desécurité,
d’exploitabilité, d’installabilité, d’administration, de bascule et de non régression fonctionnelle).
Test et mise au point des campagnes de bascule : Rédaction de la feuille de route de la
bascule(Ordonnancement- testsdevalidationetprocéduresderetourarrière–
Synchronisation).
Élaboration des contrats de services, reporting et tableaux de bords. -
Chef de projet PCA
Crédit Agricole saaujourd'huiContexte :
Suite à audit de la BCE, nécessité de réaliser un test de bascule du SI.
Mission :
Audit du Plan de Secours Informatique.
Contrôle de cohérence avec les RTO et RPO exprimés par les métiers
Pilotage test de bascule.
Réalisations :
Étude et contrôle de cohérence des conditions de redémarrage des applications demandées parles
utilisateurs (RPO et RTO).
Élaboration d’une cartographie des flux et des interfaces.
Audit desplates-formesetdes infrastructures techniques (réseau,téléphonie,SAN…) dusitede
production et du site de backup informatique.
Analyse duPlan deSecours Informatique et des conditions de redémarrageréellement
opérationnelles. Mesure des écarts parrapport aux besoins exprimés.
Pilotage du premier test de bascule sur le site de backup.
Résultats :
Mise en cohérence des conditions de redémarrage des applications
Test de bascule.
Compétences Fonctionnelles
Management et suivi de projets informatiques
Expression de besoins – Cahier des charges - Spécifications fonctionnelles
Recette fonctionnelle & technique, tests de performance
Formation des utilisateurs
Qualification des procédures de pré production
Compétences Métiers
Très bonne connaissance de la continuité d’activité (PCA – PRA – PSI) et des Risques Opérationnels ( Bâle II - RCSA – KRI – Surveillance Permanente)
Bonne connaissance de l’ensemble des métiers de la banque
Bonne connaissance de l’ensemble des métiers de la téléphonie Fixe, Mobile et IP.
Méthodologies ITIL, CMMI et COBIT.
Expertise des cartographies applicatives
Méthodes et outils d’analyse de risques SI : MEHARI, ISO 17799 , ERSI
COMPETENCES TECHNIQUES
Systèmes: Windows, Aix –HACMP, Solaris, HPUX, Linux, VM, MVS.
Contrôle et ordonnanceur : Nagios, OpenView, Tivoli, Patrol, VTOM, $U.
Langages : HTML, C++, SQL, VB, PL-SQL.
SGBD : ORACLE, SQL Server, ACCESS, DB2, MySql.
Communications/ Echanges: SS7, X25, IP, TCP / CFT, ETEBAC, CBSA, CB2A..
Décisionnel – DWH : BO, WEBI, ESSBASE – DATAMART, INFORMATICA.
Middlewares : TUXEDO/T, /Q, /WS – IBM MQ Series.
EAI / ERP / CRM : WebMethods / SAP (SD – FI), People Soft / AVENUE/Vantive.
Suivi de projet : MSProject, PMW, Team Workbench. Nikù, OPX, Artémis
Management et suivi de projets informatiques
Expression de besoins – Cahier des charges - Spécifications fonctionnelles
Recette fonctionnelle & technique, tests de performance
Formation des utilisateurs
Qualification des procédures de pré production
Compétences Métiers
Très bonne connaissance de la continuité d’activité (PCA – PRA – PSI) et des Risques Opérationnels ( Bâle II - RCSA – KRI – Surveillance Permanente)
Bonne connaissance de l’ensemble des métiers de la banque
Bonne connaissance de l’ensemble des métiers de la téléphonie Fixe, Mobile et IP.
Méthodologies ITIL, CMMI et COBIT.
Expertise des cartographies applicatives
Méthodes et outils d’analyse de risques SI : MEHARI, ISO 17799 , ERSI
COMPETENCES TECHNIQUES
Systèmes: Windows, Aix –HACMP, Solaris, HPUX, Linux, VM, MVS.
Contrôle et ordonnanceur : Nagios, OpenView, Tivoli, Patrol, VTOM, $U.
Langages : HTML, C++, SQL, VB, PL-SQL.
SGBD : ORACLE, SQL Server, ACCESS, DB2, MySql.
Communications/ Echanges: SS7, X25, IP, TCP / CFT, ETEBAC, CBSA, CB2A..
Décisionnel – DWH : BO, WEBI, ESSBASE – DATAMART, INFORMATICA.
Middlewares : TUXEDO/T, /Q, /WS – IBM MQ Series.
EAI / ERP / CRM : WebMethods / SAP (SD – FI), People Soft / AVENUE/Vantive.
Suivi de projet : MSProject, PMW, Team Workbench. Nikù, OPX, Artémis