Patrick - Consultant cybersécurité ISO 2700x
Ref : 190925N001-
91700 STE GENEVIEVE DES BOIS
-
Consultant cybersécurité (38 ans)
-
Freelance
Expérience professionnelle
Depuis Juin 2017
RCI BANQUE AND SERVICES
Responsable de la mise en conformité RGPD (volet Sécurité) : Budget 2M€ équipes 8
personnes
Principales Responsabilités :
• Mettre en conformité le SI de RCI banque vis-à-vis des recommandations RGPD
• S’assurer du respect des mesures mise en place par les équipes projet et le métier
Réalisations :
• Analyse d’écart afin d’identifier les manquements du SI vis-à-vis des recommandations
RGPD
• Benchmark sur les outils du marché (anonymisation, droit à l’oubli, chiffrement des
données, contrôle d’accès)
• Ecriture des procédures d’effacement des données, de droit à l’oubli et d’alerte en cas
de « data breach » avec prise en compte des spécificités locales des pays.
• Mise à jour de la politique de sécurité et de la politique de protection des données
• Pilotage des processus d’appel d’offre des outils d’anonymisation, de chiffrement des
données et de contrôle d’accès aux données et sélection des éditeurs et intégrateurs.
• Intégration des outils de sécurité dans le SI RCI banque (world Wide)
• Rédaction des documents projets (analyse de risque, annexe sécurité avec les
fournisseurs)
• Construction et déploiements des analyses de risques liés à la vie privée
• Contribution à la rédaction des PIA sur les projets éligibles
• Installation des équipes d’anonymisation des données et de gestion de l’outil de
bastion d’administration.
Assistance RSSI
Principales Responsabilités :
• Améliorer et décliner le SMSI au sein de RCI Banque
• Proposer un cadre méthodologique d’intégration de la sécurité dans les projets
• S’assurer du respect des recommandations sécurités imposées par les régulations (BCE, PCI,
SWIFT)
Réalisations :
• Mise à jour de la feuille de route sécurité en y intégrant les éléments SMSI
• Intégrations des spécifications RCI Banque au sein de la politique de sécurité groupe
• Mise à jour des indicateurs de monitoring de la sécurité au sein des filiales.
• Mise en place de la méthodologie d’intégration de la sécurité dans les projets
• Rédaction de la politique de sécurité des services externalisés et cloud conformément à la
recommandation BCE notamment pour office 365
• Accompagnement sécurité du projet de migration vers 0365 (CASB, DLP, AV)
• Assurer la conformité des sites en lignes RCI banque vis-à-vis des standards PCI-DSS (autoévaluations SAQ-A et SAQ-EAP)
• Assurer le Customer Security Program Swift pour les 3 entités RCI (FR, UK, DE)
• Assurer le pilotage de l’audit PCI DSS sur les boutiques et centres d’appel RCI.
SOCIETE GENERALE
04/2016 - 06/2017
Superviseur Sécurité RUSSIE Budget 13M€ sur 3 ans équipes 5 personnes
Principales Responsabilités :
• Superviser les filiales et lignes métier Russie (3 banques)
• Assurer la remontée d’informations vers le RSSI Groupe
• Veiller à au respect de la politique de sécurité en accord avec les spécificités locales
Réalisations :
• Supervision du roll-out du schéma directeur sécurité sur 3 ans (90 mesures de sécurité, 13
Million d’Euros).
• Suivi régulier des filiales, analyse des rapports de sécurité envoyés par les CISO locaux
• Suivi du plan de remédiation des vulnérabilités et de la procédure de patch management
• Analyse d’écart entre réglementation locales (RUSSE) et règlementation groupe.
• Campagne sensibilisation des employés et des clients
• Supervision et expertise dans la résolution des incidents de sécurité
• Remonté des indicateurs via tableau de bord au niveau groupe (Contrôle périodique,
secrétariat générale etc.)
• Participation aux comités stratégiques de la région (Audit and Account Commettee).
• Participation à la définition de la stratégie de réorganisation de la sécurité au sein des filiales
• Apport de l’expertise sécurité aux régions si nécessaire.
• Supervision de la sécurisation des applications sensibles niveau groupe.
• Elaboration des checklists sécurité pour auto-évaluation de la sécurité
ALD AUTOMOTIVE
09/2016 - 06/2017
Assistant RSSI et RSSI par Intérim : équipe de 2 personnes
Principales Responsabilités :
• Décliner le SMSI au sein de ALD et assister les filiales (31) dans la mise en place de la
politique de sécurité.
Réalisations :
• Analyse de risque sécurité dans les projets
• Intégration des annexes sécurité dans les contrats avec les tiers
• Mise en place des plans d’assurance sécurité avec les fournisseurs
• Animation des comités de sécurité mensuel et résolution des alertes
• Pilotage des test d’intrusion et plan d’action de remédiation sur les actifs sensibles
• Lancement d’une campagne de revue des droits des comptes utilisateurs
• Rédaction des guides de sécurité applicatives (web et mobile)
• Organisation des formations aux bonnes pratiques de développement sécurisé (OWASP)
• Supervision des campagnes de sensibilisation des utilisateurs et des clients
• Participation aux instances de suivi des projets (comité d’architecture, comité nouveaux
produits)
BNP PARIBAS CETELEM PRAGUE
02/2015 - 10/2016
Security and continuity Stream Leader : equipe 1 personne
Principales Responsabilités :
• Responsable de la sécurité IT et de la continuité dans le cadre de la construction du système
d’information de la banque en ligne Cetelem en république Tchèque.
Réalisations :
• Rédaction des spécifications sécurités liées au système d’information (Infrastructure, application
etc.)
• Rédaction des analyses de risques des applications avec document d’acceptation des risques
(fraude interne, fraude externe, usurpation d’identité, vol de données, …)
• Rédaction des procédures de sécurité (authentification, autorisation …)
• Rédaction des plans de continuité d’activité des applications sensibles
• Définition d’un plan de sensibilisation des utilisateurs
• Conception des schémas d’architecture sécurisée du SI
• Mise en place du plan de traitement des données en conformité avec la réglementation PCI -DSS
• Rédaction des documents d’expertise afin de répondre aux problématiques de fraude et de Cyber
attaques sur les environnements bancaires
• Focus sur la sécurisation du point d’accès internet.
• Analyse d’écart entre spécifications sécurité et mesures implémentées via checklist.
• Pilotage et revue des tests d’intrusion, scan de vulnérabilité et revue sécurité du code.
SOCIETE GENERALE
05/2013 - 12/2014
CHEF DE PROJET SECURITE
Principales Responsabilités :
• Mise en conformité des projets IT vis-à-vis des standards de sécurité du groupe
Réalisations :
• Atelier de cadrage des projets et conduite d’atelier métier / maitrise d’œuvre afin de
récupérer les préoccupations métier en termes de sécurité
• Accompagnement et expertise de sécurité auprès des projets
• Gestion du portefeuille projet et gestion des budgets sur les interventions
d’accompagnement sécurité dans les projets.
• Analyse des livrables de sécurité réalisés par les équipes sécurités des enseignes
• Rédaction des appels d’offre pour les audits techniques
• Challenge des résultats d’audit et suivi du plan d’action de remédiation
• Rédaction des documents d’expertise sécurité (white paper, normes de sécurité etc..)
• Rédaction des analyses de risque sécurité
• Restitution des analyses de risque avec plan d’action de réduction des risques
08/2011 - 03/2013
INGENIEUR SECURITE RESEAU
Principales Responsabilités :
• Mise en place des filtres sur le reverse proxy RWAB
• Responsable de la plateforme de chiffrement des fichiers entre la Société Générale et ses
partenaires.
Réalisations :
• Etude du besoin et de l’architecture puis validation de la mise en place des filtres
• Mise en place du filtre en mode auto-apprentissage et récolte des logs
• Analyse des logs d’accès et construction de la racine du filtre par expressions régulières
• Mise à jour régulières des filtres en conformité avec les changements apportées aux
différentes applications
• Gestion des incidents et modification des filtres si nécessaire (lors de blocages et faux positifs)
• Génération des paires des clés de chiffrements asymétriques pgp.
• Mise en place des scripts de chiffrements avec les interlocuteurs métier
• Test et validation des processus de chiffrements et envoi des données
• Gestion du cycle de vie des clés de chiffrements pgp
BNP PARIBAS SECURITE GROUPE
04/2010 - 06/2011
INGENIEUR SECURITE RESEAU
Principales Responsabilités :
• Assurer le respect des architectures sécurisées N-tiers conformément à la PSSI
• Analyser les flux réseaux avant ouverture sur les firewalls du groupe
Réalisations :
• Assurer le respect des architectures sécurisées des nouveaux projets dans les fiches de sécurité
• Analyser les vulnérabilités relatives aux ouvertures de flux techniques et applicatifs
• Etude au cas par cas par rapport à l’analyse de risque et à la Politique de Sécurité
• Alerter en cas de non-respect des normes et standards
• Attribuer et gérer les dérogations éventuelles sur la base d’une évaluation des risques
• Rédiger les exigences de sécurité en cas de nouvelle menace identifiée
• Participer à la formation aux bonnes pratiques de sécurité
BNP PARIBAS SECURITE GROUPE
04/2010 - 06/2011
ANALYSTE SECURITE
Principales Responsabilités :
• Analyse et validation des demandes de droit d’accès à privilège
Réalisations :
• Accompagner le groupe dans la validation des droits d’habilitations étendues.
• Attribuer les droits d’accès à la navigation à risque en respectant les différentes validations
• Rappel des risques de sécurité, et des bonnes pratiques sur l’utilisation des comptes à privilège
• Veille de sécurité web et remontée des sites Internet à risque aux équipes techniques afin de les
mettre sur liste noire
• Assurer le cycle de vie des comptes temporaires (ouverture, utilisation, fermeture
Compétences-clés
• Assistance RSSI
• Déclinaison SMSI
• Sécurité dans les projets
• Gestion des risques SSI
• Architecture sécurisée
• Politique de sécurité
• Sécurité des réseaux
Normes et Outils
• ISO 27001, ISO 27005
• Mise en conformité RGDP : confirmé
• Mise en Conformité SWIFT CSP : confirmé
• Mise en conformité PCI-DSS : confirmé
• Gestion des projets : Confirmé
Langues
• Anglais écrit et parlé : courant