Karamo Boubacar - Consultant cybersécurité RISQUE

EXPERIENCES PROFESSIONNELLES

2019 CONSULTANT SSI – SOCIETE GENERALE
Mise en place d’un centre de service afin d’accompagner les maitrises d’œuvre sur les sujets de sécurité. Dans le cadre de la
prestation, les livrables suivants ont été rédigés :
• Définition de la criticité d’une application/d’un projet
• Rédaction d’un dossier de sécurité sur les applications/projets (Application web, bureautique, application hébergée dans le cloud, migration de base de données ...)
• Analyse de sécurité sur l’application/le projet (Projet DSP2, …)
• Rédaction du plan d’assurance sécurité fournisseur dans le cadre des hébergements externes
• Bilan de sécurité des applications/projets
• Accompagnement des ME sur la mise en place des mesures de sécurité
OUTILS ET TECHNOLOGIES : DSP2, RGPD, Analyse de risques sur les applications bancaires, analyses de risques sur les
applications support, réalisation d’analyse de risques sur poste de travail/ Mainframe, ouverture de route

2019 CONSULTANT SSI – CREDIT AGRICOLE S.A
Le crédit Agricole par le biais de son responsable sécurité informatique a mis en place un centre de service pour assurer
l’accompagnement des métiers sur la réalisation de leurs analyses de risques. Plusieurs actions ont été menées dans ce cadre :
• Entretien avec le responsable pour identification du besoin
• Entretien avec les différents acteurs du projet
• Echange régulier avec les hébergeurs d’application externe
• Définition des enjeux de sécurité de l’application (Disponibilité, Intégrité, Confidentialité et Preuve)
• Identification des mesures de sécurité déjà en place
• Identification des scénarios de menaces sur l’application
• Identification des risques
• Proposition des mesures de sécurité complémentaires en collaboration avec les acteurs (MOE, MOA, Architecte).
• Suivi des remédiations de sécurité
OUTILS ET TECHNOLOGIES : Référentiel et outils de sécurité interne, ISO 27 005, suivi des remédiations de sécurité, ouverture de route

CONSULTANT SSI – NATIXIS
Dans le cadre de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), Natixis a lancé un programme
de coordination des initiatives internes dont la responsabilité est portée par le département juridique. Ce dernier a chargé
la DSI du suivi et de la mise en place des actions IT. Cette mission a été réalisée autour de 2 lots:
1.Mise en conformité des applications Natixis
oMise en place d’un catalogue de sécurité à destination des responsables métiers
oSuivi de la mise en place des actions IT
2.Etude de solutions du marché répondant aux besoins RGPD
oFormalisation du besoin. Définition du périmètre et du planning de chaque étude
oPanorama de l’existant
oEtude des solutions du marché
oBilan
oRéalisation du POC
oRestitution
Outils et technologies: RGPD

2018 C ONSULTANT SSI – AXA
AXA audite 10 de ses fournisseurs chaque année dans le cadre de son plan d’audit annuel.
Dans le cadre de cette mission, les actions suivantes ont été réalisées:
•Kick- off de démarrage interne avec les équipes AXA
•Kick - off externe avec les fournisseurs, pour présenter la méthodologie de l’audit
•Audit de chaque fournisseur en suivant la norme ISO 27002 comme référentiel
•Rédaction du rapport final de l’audit
•Restitution de l’audit. Chaque audit a fait l’objet d’une restitution indépendante
Outils et technologies : ISO 27 002

2017 CONSULTANT SSI – TOTAL
La direction des systèmes d’information (DSI) a souhaité obtenir de l’entité TGITS (Total Global Information Technology Services),
un suivi et un reporting consolidés de l’ensemble des projets de sécurité menés par TGITS.
L’objectif de la mission est de fournir au RSSI une vision d’ensemble de l’avancée des projets de sécurité. Différentes actions ont été réalisées dans le cadre de la mission:
•Echange avec les chefs de projets pour identifier l’avancement et les points bloquants au niveau de leur projet
•Rédaction de compte-rendu de réunion/atelier
•Rédaction et présentation du document de reporting à destination de la DSI
•Communication sur les projets
•Gestion d’un espace de stockage et des droits d’accès associés
•Suivi budgétaire des projets
Outils et technologies:
Tableau de bord de suivi de projets 2017 CONSULTANT SSI – ITCE IT
-CE, GIE informatique des Caisses d’Epargne, souhaite définir et réaliser son Schéma Directeur Sécurité des Systèmes
d’Information (SDSSI) sur les 3 années à venir. L’objectif est de fournir aux métiers un meilleur accompagnement sur les sujets d’innovations digitales et de renforcement de la sécurité. L’accompagnement sollicité a été réalisé en deux temps:
•Identification des enjeux majeurs et des axes stratégiques. Cette action a été réalisée par le biais d’un audit de sécurité
ISO 27002 auprès des différents responsables de la sécurité.
•Ensuite, détailler ces grands axes stratégiques en projet par le biais d’ateliers de travail en 3 étapes avec les responsables identifiés. Ces ateliers de travail ont permis des échanges avec eux sur les problématiques rencontrées, les projets en cours et à venir ainsi que les tendances actuelles et futures dans le domaine de la sécurité.
Outils et technologies : ISO 27 002

2016 CONSULTANT SSI–CREDIT AGRICOLE S.A
Le crédit Agricole par le biais de son responsable sécurité informatique a mis en place un centre de service pour assurer l’accompagnement des métiers sur la réalisation de leurs analyses de risques. Plusieurs actions ont été menées dans ce cadre:
•Entretien avec le responsable pour identification du besoin
•Entretien avec les différents acteurs du projet
•Echange régulier avec les hébergeurs d’application externe
•Définition des enjeux de sécurité de l’application (Disponibilité, Intégrité, Confidentialité et Preuve)
•Identification des mesures de sécurité déjà en place
•Identification des scénarios de menaces sur l’application
•Identification des risques
•Proposition des mesures de sécurité complémentaires en collaboration avec les acteurs (MO
E, MOA, Architecte).
Outils et technologies : Référentiel et outils de sécurité interne, ISO 27005.

2016 CONSULTANT SSI–STET
Dans un contexte de fortes contraintes règlementaires et d’attentes clients liées à
la plate-forme CORE (point névralgique du système de règlement inter bancaire), STET opère le traitement, la compensation et le règlement de la totalité des paiements
de détails échangés au sein des banques françaises.
Dans le cadre de son plan d’audit annuel, STET souhaite réaliser un audit de sa politique de sécurité de l’information, ainsi que de son processus de mesure et de contrôle de l’efficacité du SMSI:
•Analyse de la documentation existante liée au SMSI
•Production d’un questionnaire ISO 27002
•Production d’un questionnaire ISO 27001 relatif à l’évaluation des performances du SMSI
•Planification, animation des ateliers de travail et rédaction des comptes rendus
•Cartographie des indicateurs de sécurité et proposition de nouveaux indicateurs
•Production du rapport d’audit
•Réunion contradictoire permettant aux audités de commenter les écarts relevés
•Prise en compte des remarques des audités et réunion de restitution.
Outils et technologies: ISO 27001, ISO 27002, PSSI, SMSI, Gouvernance

2015 CONSULTANT SSI –MINISTERE DE LA JUSTICE
Parmi ses nombreuses missions, le Ministère de la Justice doit permettre à l’administration d’émettre des documents numériques
revêtus de la même valeur juridique que les documents fournis sous format papier. Pour ce faire, elle met en œuvre une IGC (Infrastructure de Gestion de Clefs) permettant la signature électronique à valeur probante. Pour se doter du niveau requis pour ce type de signature électronique, le Ministère de la Justice à l’obligation de respecter le référentiel général de sécurité (RGS) niveau 3 étoiles.
Assistance à maitrise d’ouvrage pour une analyse de risques selon la méthode EBIOS:
•Définition des critères de sécurité répondant aux besoins du Ministère de la Justice
•Identification de l’ensemble des processus essentiels et de l’ensemble des biens supports
•Définition et production des scénarios de menaces
•Identification des risques et propositions de mesures de sécurité permettant de les réduire à un niveau acceptable
•Production d’une cartographie des risques résiduels.
Outils et technologies :
EBIOS, RGS, Cryptographie

2014 CONSULTANT SSI–VOLKSWAGEN BANK FRANCE
Revue de la documentation de Volkswagen Bank France pour mise en conformité avec les documents du siège en Allemagne. La
mission s'est effectuée en respectant la méthodologie spécifique définie par le siège, à savoir :
•Analyse des documents existants
•Analyse des écarts signalés par le RSSI de Volkswagen Bank France
•Rédaction d'une première version des livrables suivants (sécurité physique, patch management et gestion des incidents)
•Entretien avec le RSSI de Volkswagen Bank France
•Rédaction de la version finale des livrables
Outils et technologies : ISO 27002, SMSI, PSSI