Nicolas - Consultant cybersécurité LPM

PARCOURS PROFESSIONNEL

Aujourd’hui
Associé fondateur du Cabinet de conseil en gestion des risques NEC3S. Mission : délégation RSSI de Bolloré Transport et Logistics, accompagnement à l’homologation OIV, conseiller technique du Cluster SSV, accompagnent homologation PASSI, accompagnement mise en conformité RGPD, audits.

2014-2012
Groupe SAFRAN – MORPHO : Responsable du pôle Architecture sécurité. En charge de l’intégration de la sécurité dans les programmes du groupe. Manager équipe 15 personnes.

2012-2008
Groupe THALES : Manager au sein du pôle conseil en sécurité de l’information. Responsable hiérarchique de 5 consultants, pilotage d’équipe projet 10 personnes. Intervention en tant qu’expert sécurité auprès des Ministères des Finances et de la Défense.

2008-2005
PSA Peugeot Citroën Auditeur Interne Chef de mission, Audit des plans de reprises d'activité (Banque PSA Finance, sites industriels, centres informatiques), Audit de la Sécurité d'applications bancaires, Audit de la gestion des habilitations, Audit d'un annuaire LDAP, Audit d’architecture.

2005-2000
Groupe THALES : Chef de projet en sécurité de l’information auparavant consultant en sécurité de l’information, Intervention auprès de Société Générale, Bouygues Construction, Bouygues Telecom, DGA, Caisse des dépôts et consignons, la Banque Postale, SAFRAN, Telecom Lille 1, INT Evry et EISTI.

homologation de la sécurité de systèmes d’information ou de produit de sécurité dans le cadre de leur
développement (Site du Ministère de la Défense, Système de défense aérien, Système de défense stratégique,
Systèmes de défense naval)
 Contexte technologique : DNS, Radius, Annuaire, PKI, Chiffrement d’artères, Chiffrement IP, Authentification par carte à puce, TOIP, Cloisonnement réseau, Filtrage réseau, worflow, produit de sécurité, liaisons radio etc.
 Analyse de risques de systèmes d’information,
 Définition des besoins en sécurité par rapport à la confidentialité, l’intégrité, la disponibilité et l’auditabilité,
 Définition des fonctions de sécurité et des mesures organisationnelles pour couvrir les besoins de sécurité exprimés,
 Assistance sécurité aux architectes,
 Analyse des vulnérabilités résiduelles.

Mise en oeuvre d’un Système de Management de la Sécurité de l’information (SMSI) pour un GIE informatique en cours de création :
 Analyse de risque,
 Analyse et définition de processus de management,
 Mise en place de la comitologie
 Définition des tableaux de bords et indicateurs

Etudes de sécurité pour un système de type SCADA (Vidéo Surveillance, Contrôle d’accès Physique, Interphonie,

Détection d’intrusion, Gestion technique du bâtiment, systèmes de transport ferroviaire, installations portuaires, systèmes de transport pétrolier)
 Analyse de risque
 Définition des besoins fonctionnels de sécurité
 Elaboration de l’architecture de sécurité
 Définition des mesures techniques et non techniques de sécurité
 Identification des risques résiduels

Audits d’applications bancaires de gestion des moyens de paiement en environnement bancaire pour la banque PSA Finance
 Contexte technologique : Oracle, Uniface, AS400
 Identification des risques métiers liés à l’application
 Cartographie des données et des flux d’informations
 Elaboration du programme de contrôle vis à vis des risques identifiés (existence de spécifications pour les parades informatiques attendues, conception détaillée des mécanismes à mettre en oeuvre, conformité et efficacité des parades informatiques par rapport aux spécifications, dispositif de recette des contrôles informatisés mis en place, gestion des identités des utilisateurs et administrateurs de l’application)
 Détermination des écarts et identification des recommandations

Audit et conseil pour un groupe bancaire dans le cadre de la mise en place d’une politique de sécurité
 Audit organisationnel du système existant vis à vis de l’ISO27000,
 Élaboration de tableaux de bord de consolidation et de suivi du niveau de sécurité global,
 Réalisation d’un plan d’actions avec indicateurs de suivi
 Elaboration du schéma directeur sécurité sur 3 ans

Audits des plans de reprise d’activité informatique de PSA
 Contexte technologique : MVS, Unix, Windows, OS/400, réseau MPLS, SAN, réplication de données, processus de sauvegarde et restauration etc.
 Elaboration d’un programme de contrôle vis à vis du processus d’élaboration des PRA
 Analyse de l’adéquation aux besoins de reprise des solutions techniques mises en place pour des applications informatiques de gestion de pièces de rechange, de production industrielle
 Détermination des écarts et identification des recommandations

Audit de sécurité de l’informatique du réseau commercial de PSA
 Contexte technologique : SAP, Windows, Unix, Accès de partenaires via DMZ, Authentification distante etc.
 Identification des risques inhérents à l’activité
 Analyse des processus métiers
 Audit technique des composants d’interfaces
 Analyse des processus et des mécanismes de gestion des identités
 Détermination des écarts et identification des recommandations

Définition du processus de prise en compte de la sécurité dans les nouveaux projets pour un grand groupe bancaire
 Elaboration d’une méthode d’analyse de risque basée sur MARION,
 Définition du workflow de validation des études sécurité
 Définition des plans types
 Mise à jour du référentiel de développement

Analyse de vulnérabilité du système de gestion centralisé de la dépense de l’Etat (CHORUS)
 Contexte technologique : Réseau IP Interministériel, SAP, Authentification renforcée distante, Filtrage réseau et applicatif, Architecture n-tiers, DMZ, Base de données, Active Directory
 Identification des risques liés au système de déploiement CHORUS
 Recensement des mécanismes de sécurité proposé (gestion des secrets utilisateurs, politique anti-virus, rôles définis dans le système, cloisonnement des rôles, gestion des habilitations et du besoin d’en connaître, procédures de sauvegardes et restaurations etc.)
 Elaboration d’un rapport d’analyse de vulnérabilité

Mise en place d’un Plan de Reprise d’Activité après sinistre pour le compte d’un industriel de l’automobile
 Projet de mise en oeuvre d’un plan de reprise d’activité pour les applications pilotant la chaîne de production,
 Analyse des enjeux métiers (Business Impact Analysis), notamment sur les différents modes de défaillance informatique appliqués aux étapes successives de la production,
 Identification des scénarios de sinistres représentatifs suivant les menaces applicables au contexte,
 Développement des outils de gestions de crise (stratégies de reprise et fiches réflexes) suivant les scénarios retenus,
 Test du plan de Reprise d’activité suivant scénario de test,
 Formation des opérationnels aux procédures de gestion de crise.

Formation en école d’ingénieur
 Conception d’un support de formation « avoir confiance dans son système d’information »
 Animation des séances de formation devant un public composé de professionnels ou d’étudiants en Master.

Coaching du RSSI pour un grand groupe du BTP
 Audit de sécurité suivant l’ISO27002
 Identification des processus sécurité à mettre en oeuvre dans le cadre d’un système de management de la sécurité
 Elaboration de la politique de sécurité de l’entreprise

Coaching du RSSI pour un groupe du secteur automobile
 Analyse de l’intégration de la sécurité dans les processus de développement
 Proposition d’amélioration au travers de la mise en oeuvre d’analyse de risque et d’élaboration de dossier de sécurité