Daniel - Consultant cybersécurité IDENTITY AND ACCESS MANAGEMENT

• Objectifs :
- A court terme : ramener les cyber risques à un niveau acceptable, élaborer le SMSI et le plan d’action associé, préparer la mise en conformité NIS 2.
- A moyen ou long terme : obtenir la certification ISO 27001.
• Méthode : utilisation des normes ISO 27001 et ISO 27002 comme fil conducteur de la démarche.

- Audit de la situation en matière de SSI.
- Analyse des risques de sécurité de l’information et élaboration d’un plan d’action pluriannuel pour le traitement des risques résiduels.
- Couverture des risques identifiés, avec mise en œuvre progressive des exigences de la norme ISO 27001.

 Objectifs : réorganiser le pôle « Sécurité du système d’information et continuité d’activité », mettre à niveau le SMSI, ramener les cyber risques à un niveau acceptable.
 Moyens : budget de 9 M€ (hors fonctionnement et matériel) sur 4 ans ; équipe de 6 personnes.

Réorganisation de l’équipe en charge de la sécurité des systèmes d’information (SSI) et de la continuité d’activité :
- Révision des principes de gouvernance de la SSI et mise en œuvre.
- Création du tableau de bord sécurité (KPI – monitoring, supervision).
- Création de la grille d’analyse des risques de SSI (KRI, cartographie des risques, classification des actifs).
- Refonte du plan d’action et du processus de suivi.
- Création de l’activité de veille technologique.
- Révision du reporting et des comités.

Projets :
- Documentation du SMSI (politiques, directives, chartes, procédures, etc.).
- Sécurité dans les projets.
- Homologation et sécurisation des EUC (End User Computing).
- Plan d’assurance sécurité (PAS) dans le cadre de la mise en œuvre d’un contrat d’infogérance de l’infrastructure informatique.
- Plan d’assurance sécurité (PAS) dans le cadre de l’externalisation de fonctions essentielles.
- Nouvelle solution d’IAM, processus d’habilitation, modélisation des droits (RBAC), revues, SOD.
- Gestion des incidents de sécurité.
- Cyber sécurité : SIEM (QRadar), serveur-bastion (CyberArk), protection de l’AD (Varonis), EDR (CrowdStrike), NDR (Vectra).
- Sauvegardes (renforcement, cohérence sur les écosystèmes applicatifs, externalisation).
- Continuité d’activité : outillage, optimisation des sites de repli, développement du travail à distance.
- Sensibilisation à la sécurité de l’information.

Etude préalable à la migration sur une solution existante d’IAM, du réseau européen « Private banking » d’une grande banque internationale

- Analyse des écarts entre la solution actuelle et la solution cible.
- Elaboration du plan de traitement des écarts et arbitrage avec les directions concernées.
- Etude des modalités de migration (présentation de plusieurs scénarios soumis à arbitrage).
- Evaluation du plan de charge et du planning prévisionnel.

RSSI (manager de transition) / DPO (Data Protection Officer) / RPCA (Responsable du plan de continuité d’activité)

 Objectifs : créer le pôle « Sécurité du système d’information, continuité d’activité et protection des données », mettre à niveau le SMSI, obtenir la certification ISO 27001 (obtenue en juillet 2015 et confirmée en juin 2016 et juin 2017).
 Moyens : budget de 1,8 M€ (hors fonctionnement et matériel) sur 2 ans et demi.

Gouvernance (RSSI) :
- Elaboration de la stratégie de sécurité du système d’information (SSI) : création et animation du Comité de pilotage, schéma directeur, gestion des incidents de sécurité, reporting COMEX.
- Définition et mise en œuvre du SMSI et de la politique de sécurité du système d’information (objectifs et enjeux métiers, rôle des acteurs et des instances, maitrise des risques, etc.).
- Préparation et obtention de la certification ISO 27001 (animation des groupes de travail, pilotage des actions de mise en conformité, reporting, relations avec l’organisme de certification).
- Rédaction de divers documents opérationnels (chartes, directives, processus).
- Réalisation du tableau de bord sécurité.
- Constitution d’un réseau opérationnel de correspondants sécurité.
- Animation et suivi des plans d’action relatifs à la sécurité du SI.
- Préparation des campagnes de sensibilisation à la sécurité de l’information et animation de certaines actions.
- Veille technologique (évolution du cyber-risque, étude des menaces, solutions du marché, etc.).
- Sécurité dans les projets et les développements : accompagnement des métiers pour l’expression des besoins de sécurité, élaboration et mise en œuvre du protocole d’homologation des projets (PAS – Plan d’assurance sécurité, analyse des risques du système cible, conformité réglementaire et juridique pour le volet SI), participation au comité de validation et d’engagement.
Gestion des risques (Pilote des risques liés au SI) :
- Cartographie des risques liés au système d’information et pilotage des plans d’action, en coordination avec la Direction de l’audit, du contrôle interne, de la conformité et des risques.
- Classification des actifs matériels et immatériels.

Protection des données, conformité juridique et réglementaire (DPO) :
- Elaboration de la stratégie en matière de protection des données personnelles et médicales (création et animation du Comité de protection des données personnelles et médicales, élaboration de la politique afférente).
- Rédaction des BCR (Binding Corporate Rules) et prise en charge du volet Informatique et libertés-CNIL ; préparation à la conformité RGPD.
- Pilotage du projet de renforcement de la sécurité des données de santé.
- Etude pour la sécurisation des documents et l’archivage à valeur probante.
- Assistance aux métiers pour les réponses aux appels d’offres, la rédaction des contrats, les audits externes, etc., sur le volet « Sécurité du SI » : conformité réglementaire (S2 pilier 2, AERAS, ACPR) et juridique (I&L-CNIL, RGPD, etc.).
- Veille réglementaire et juridique.

Continuité d’activité (RPCA) :
- Direction du projet de refonte globale de la stratégie de continuité d’activité monde : BIA (Business Impact Analysis), élaboration de la stratégie de continuité d’activité et pilotage de la refonte du PCA, du PCIT et des plans de secours.
- Participation à la cellule de crise, en qualité de RPCA.

Analyse des risques et expertise ISO 27001 pour préparation de la certification Mise en œuvre d’un SOC – SIEM

 Certifications ISO 27001, ISO 9001 et ISO 20000 obtenues le 12 juin 2014.

- Analyse des risques liés au SI (méthode EBIOS 2010).
- Mise en conformité ISO 27001:2013 et ISO 20000 : prise en charge du plan de remédiation issu de l’audit à blanc : mise en conformité de la politique de sécurité des systèmes d’information (PSSI), élaboration de la déclaration d’applicabilité, rédaction des directives.
- Mise en conformité avec le PDS-RC (Plan directeur de la sécurité - Retraite complémentaire).
- Pilotage de l’étude de mise en œuvre d’un SOC (Security Operations Center) avec une solution de SIEM (Security Information and Events Management).

Rédaction d’une politique de sécurité ISO 27001

- Analyse des risques (EBIOS / ISO 27005).
- Rédaction des documents suivants (en anglais) : Security Policy, Data Privacy Policy, Agreement Third Party.

Elaboration d’une politique de sécurité des systèmes d’information (PSSI)

A la suite d’un rapprochement, élaboration d’une PSSI commune à plusieurs organismes, à partir des politiques individuelles existantes et en tenant compte des nouveaux axes stratégiques définis par les parties prenantes. Cette PSSI est en conformité avec la norme ISO 27001 et le référentiel sectoriel.

Expertise d’une solution d’IAM

- Expertise d’une solution d’IAM déjà en place (CA Identity Manager), pour audit et optimisation des référentiels, du modèle d’habilitation et des workflows associés.
- Mise en conformité RBAC.

Direction de projet IAM

 Ce projet a obtenu le prix de l’efficacité des trophées 01 Business de la sécurité 2013.

Cadrage :
- Etude critique de l’existant incluant les processus de gestion des comptes et des habilitations, les aspects fonctionnels par macro-processus et par applicatifs, la gestion et la structure des identifiants et l’infrastructure technique (cartographie).
- Recueil des besoins fonctionnels des métiers.
- Recueil des besoins techniques de la DSI.
- Recueil des besoins de la Direction de la sécurité (conformité).
- Etude des solutions, coûts et faisabilité : description des processus cibles, gestion et structure des identifiants, architecture fonctionnelle et applicative, faisabilité technique (architecture technique), étude des solutions du marché, présentation et évaluation des scénarios possibles (description, avantages/inconvénients, stratégie et méthode, conditions de réalisation, impacts utilisateurs, cohérence avec le schéma directeur système d’information et sécurité de l’information, risques et points critiques, gains, budget ventilé outil – infrastructure – MOE et MOA en J/H – intégrateur - assistance, planning).
- Présentation de l’étude au Comité de direction pour arbitrage et prise de décision.
- Rédaction du cahier des charges, dépouillement des offres et aide au choix d’un éditeur et d’un intégrateur (réalisation d’un POC), en vue de l’acquisition de la solution cible.

Réalisation du projet – budget : 2,5 M€ :
- Rédaction des spécifications fonctionnelles générales et détaillées (gestion des identités, gestion des habilitations et des ressources, authentification, provisioning, worklows d’approbation, revues, etc.).
- Coordination et suivi des travaux, gouvernance, gestion des plannings et des budgets, tableau de bord, encadrement de l’équipe AMOA.
- Préparation du reporting pour les instances de pilotage et la DG.
- Animation des groupes de travail et encadrement des contributeurs.
- Encadrement des équipes fonctionnelles.
- Supervision du travail de l’intégrateur et de la DSI (équipes d’intégration et de production) pour la mise en œuvre des solutions suivantes :
- FIM 2010 (Forefront Identity Manager - IAM) de la société Microsoft.
- Active Directory.
- Identity GRC (revue des comptes et conformité des habilitations) de la société Brainwave.
- SSOX (SSO et authentification forte) de la société Avencis.
- Modélisation de l’ensemble des processus (RBAC) et transfert de compétences au futur administrateur fonctionnel de la solution (collaborateur du groupe, référent applicatif).
- Rédaction des cahiers de recette et pilotage de la recette, y compris pour le volet organisationnel (mobilisation des postes et des ressources).
- Assistance au déploiement.
- Formation des utilisateurs et accompagnement au changement.

AMOA SSI – Stratégie et pilotage SSI, sécurité dans les projets, PSSI ISO 27001, sensibilisation à la SSI, analyse des risques

- Elaboration de la stratégie globale en matière de SSI (fonctionnement du poste, objectifs à court, moyen et long termes, gouvernance).
- Constitution d’un réseau opérationnel (relais internes, moyens nécessaires, relations avec les structures externes, organisation des actions et de la communication, plan d’action, etc.).
- Préparation des communications institutionnelles et de direction et des réunions stratégiques.
- Définition des orientations et préparation des budgets et plans d’actions.
- Mesures de conformité avec les attentes des instances de tutelle (AGIRC-ARCO) : RMS, PDS-RC, MECORISK-RC (EBIOS 2010).
- Définition des orientations conjoncturelles dans le cadre de diverses fusions.
- Aide méthodologique sur divers sujets de sécurité.
- Rédaction de la politique de sécurité de l’information et préparation de la certification ISO 27001.
- Réalisation du tableau de bord sécurité.
- Rédaction des conventions de service « sécurité » entre le GIE et ses membres.
- Préparation d’une campagne de sensibilisation à la sécurité de l’information.
- Rédaction de diverses procédures, de la charte interne et de la charte destinée aux tiers.
- Prise en compte de la sécurité dans les projets : élaboration du PAS (Plan d’assurance sécurité), inséré dans la méthode de suivi et de développement des projets (questionnaire de pré-évaluation, analyse des risques du système cible et classification).
- Mise au point de la méthode d’analyse des risques (en collaboration avec le contrôle interne).
- Elaboration du référentiel de traitement des risques portant sur les processus de gouvernance du SI (ITIL), dans le cadre de la certification ISO 20000. Présentation sous la forme d’un plan de contrôle interne (COSO).