Fabrice - Consultant cybersécurité PKI
Ref : 130703A001-
75015 PARIS
-
Consultant cybersécurité, DevOps (51 ans)
-
Freelance
EXPÉRIENCES PROFESSIONNELLES
02/2018-12/2021 – BNP PARIBAS REAL ESTATE
Consultant Sécurité Senior dans l’équipe Sécurité Production.
Evaluation de la sécurité sur les projets IT en cours, relatifs à la sécurité IT et à l’architecture.
Enquêtes sur les incidents de sécurité détectés par le CSIRT Groupe
Enquêtes sur les demandes GDPR et celles liées à l’activité du personnel sur les serveurs de fichier
Collecte des logs système de tous les équipements réseau, des serveurs et des stations de travail
(Rsyslogd, WEF, Winlogbeat, Filebeat)
Installation et maintenance de l’outil de SIEM (ELK)
Intégration au SIEM des bases BMC Discovery et IPAM (Perl / ELK)
Génération de rapports sur l’utilisation de CyberArk (ELK / Python)
Génération et peuplement des coffres Cyberark (PowerShell / API Cyberark)
Déploiement et maintenance de l’outil de supervision des serveurs de fichiers (Varonis)
Configuration des dashboards JIRA et SERVICE NOW de l’équipe.
Technologies : ELK, WEF, Syslog, Varonis, CyberArk, PowerShell
01/2017- 01/2018 – Crédit Agricole S.A.
Consultant Sécurité Senior dans l’équipe SSI du Groupe.
• Déploiement d’une bibliothèque crypto pour sécuriser les connexions sensibles entre les filiales (cartographie, spécifications, coordination, pilotage des audits)
• Choix d’un nouveau fournisseur de PKI publique via un appel d’offres
• Support sur le PKI interne et déploiement des tokens d’accès logiques et physiques
Technologies : PKI, cryptologie, assistance RSSI
05/2016-12/2016 – SG Banque De Détail France (BDDF)
Consultant Sécurité DevOps / SecOps
• Préconisations et élaboration des solutions de sécurité et de contrôle pour les Clouds externes (fournisseurs Amazon et Microsoft)
• Analyses de risques et expressions de besoins sécurité sur le Continuous Delivery (Nexus, Ansible) et le rapatriement des logs (Cloudwatch & Syslog-ng)
• Préparation au Compliance Briefing SOC1, SOC2, ISO, PCI-DSS : expression de besoin des questions à poser aux fournisseurs
• Classification PSEE de la prestation Amazon AWS
Technologies : Cloud externe et hybride - DevOps / SecOps
11/2014 à 04/2016 - SG International Banking & Financial Services (IBFS)
Consultant Sécurité.
Expertise en cyber-sécurité et lutte contre la fraude ; sécurisation des plateformes de banque en ligne et sur mobile.
• Assistance des projets (conseil aux spécifications fonctionnelles, validation de l'adéquation de la réponse technique, analyse de risques orientée métier bancaire).
• Industrialisation de l'accompagnement sur des problématiques récurrentes (solutions anti-DDOS, anti-malwares bancaires...), fiche de réponse à incidents cybercriminels.
• Gouvernance, analyses de risques IT, orientées métier bancaire
• Support aux filiales
• Evaluation d’une solution DLP.
04/2014 à 08/2014 - Mission SG Global Banking & Investor Solutions (GBIS)
Consultant Sécurité
Revue d’architecture sécurité de deux services critiques (plate-forme de trading, gestionnaire de mot de passe « bris de glace »)
• Analyse de risques
• Préconisations techniques, fonctionnelles et organisationnelles
• Définition d’un plan de remédiation à court et moyen terme.
10/2013 à 04/2014 - GEN-M-SECURE
GENMSECURE est un éditeur de logiciel spécialisé dans l’authentification hors bande basé sur des Smartphone ou tablettes et d’une architecture serveur dialoguant avec les applications nécessitant de l’authentification forte.
• Spécifications des évolutions (Haute Disponibilité, Constitution de la Preuve)
• Rédaction de la documentation (Guides d’exploitation, d’installation, DAT)
• Développement du script d’installation (Shell-script, Tomcat)
• Conseil et spécifications des évolutions Produit
• Avant-vente, développement des partenariats.
08/2011 à 02/2013 - Mission au Crédit du Nord & Société Générale
Consultant Sécurité
Assistance à la maîtrise d’œuvre à la Société Générale
• Développement d’un projet de chiffrement et validation de signature électronique de fichier FileAct sur Swiftnet. Le but de la mission était d’industrialiser et de refondre l’application existante constituée de shell-script et d’une application Java, en vue de mieux supporter la charge (plusieurs milliers de fichiers, 1 Md €/jour) et de préparer une offre de service destinée à d’autres entités de la Banque.
• Développement de l’IHM, de la gestion de la file d’attente, et du shell-script de déploiement. Gestion d’une équipe de 4 personnes, suivi de production, débogage & réponse aux incidents.
Environnement de développement : Java, Tomcat, Spring, Eclipse / ClearCase.
Architectures : servlets et Web services, AIX, Serveur de validation DVS Dictao, SSO Sign&Go Ilex, (dé)chiffrement PGP, signature CMS et XAdES.
MOA en avant-projet
Système hors-bande d’authentification et de confirmation d’opérations sensibles. Dépouillement des réponses à appel d’offre concernant la fourniture d’une application OOB disponible sur iPhone, Android, Windows mobile et sur PC.
Analyse de risque au Crédit du Nord.
Au sein de la cellule Architecture Technique, participation à une vingtaine de projets bancaires :
• Rédaction de Dossiers Sécurité
• Pilotage de projets de sécurité
• Analyse de risques, expression de besoins, suivi de la mise en œuvre.
06/2008 à 06/2011 Mission à LCL
Consultant Sécurité à la Maîtrise d’ouvrage à la Banque en Ligne LCL (référent sécurité) :
• Déploiement des certificats et de la signature électronique pour les particuliers : le site de Banque en Ligne pour les particuliers propose la signature de contrats dématérialisés au format PDF, signés électroniquement par des certificats logiciels. Ces certificats sont également utilisés pour la confirmation d’opérations sensibles.
• Intégration des applets de signature et de retrait de certificat sur le site de recette (Développement HTML & JavaScript côté, gestion de 15 instances VMware côté client)
• Développement d’un script d’analyse des logs des l’ensemble des sites Webs de Banques en ligne (Perl / Excel). La synthèse générée m’a permis de répondre rapidement aux différentes sollicitations (lutte contre les fraudes), et d’analyser le comportement des utilisateurs dans les parcours clients de demandes/retraits de certificats et de signatures PDF et d’opérations sensibles, afin d’améliorer l’ergonomie.
• Mise en place de l'autorité de certification RGS : l’autorité de certification de télé-déclaration de la TVA arrivant à expiration, une nouvelle autorité de certification RGS ** a été mise en place conjointement avec le Crédit Agricole avec la mise en commun de l’Autorité de Certification (les offres restant séparées).
• Signature électronique EBICS-TS : suite au retard de la mise en place du RGS auprès des Administrations, il a été décidé d’utiliser les certificats RGS pour la signature EBICS, les tokens SAGEM ayant été spécialement choisis pour être compatibles RGS** et EBICS-TS.
• Clavier virtuel : spécifications pour la mise en place d’un clavier virtuel sur la page d’authentification de la Banque en ligne pour les Particulier, suite à la demande pressante de la Banque de France.
• Déploiement d’un anti key-logger sur les mires d’authentification (JavaScript / DOM).
• OTP SMS : spécifications pour l’enrôlement des numéros de téléphone portables et mise en place de la confirmation d’opérations sensibles par OTP SMS.
• Paramétrage des champs SPF (DNS) : face aux attaques successives des comptes clients par des mails de phishing, mise en place des champs SPF pour l’ensemble des noms de domaines LCL.
• Réponse aux réquisitions judiciaires et aux demandes TRACFIN.
• Surveillance de la production, veille sur les attaques de phishing (en relation avec le CERT du Crédit Agricole), support 3è niveau.
09/2005 à 04/2008 – HAPSIS – Consultant Sécurité
Natixis (2 ans)
Maîtrise d’œuvre sur un projet de mise en place de la signature électronique sur le réseau SWIFT-NET et sur le Portail Commercial Internet de Natixis :
• Spécifications techniques ;
• Pilotage de projet, coordination ;
• Intégration des solutions de génération et de validation de signature : Formats XAdES et CMS, connexions aux Web services de signature, de validation et d’horodatage (HTML / JavaScript) ;
• Spécification des évolutions et validation des logiciels Dictao ;
• Recette Métier, génération de certificats de tests (OpenSSL, shell-script) ;
• Assistance à la Maîtrise d’ouvrage.
Mission à la Banque de France (3 mois)
Choix d’un outil de chiffrement des données sur le poste de travail (Prim’X ZoneCentral) et des fichiers échangés par messagerie pour la Banque de France. Dans le cadre du projet PKI, identification des meilleures solutions du marché, tests des produits et rédaction d’un cahier des charges.
02/2003 à 07/2005 - DENY ALL - Consultant Avant-vente
• Analyse des besoins clients et prospects ;
• Rédaction de propositions technico-commerciales ;
• Conseil sur la mise en production d’architectures de sécurité ;
• Maquettage (analyse des traces HTTP, développement d’expressions régulières), intégration et support avant-vente ;
• Formation sur les produits.
• Rédaction des fiches produits, fiches partenaires, supports de cours, présentations d’avant-vente et de séminaires ;
• Traductions ;
• Participation aux divers rédactionnels (communiqués de presse, mailings, etc) ;
• Packaging ;
• Conférences aux Assises de la Sécurité ;
• Participation à Infosec 2003, salon de la sécurité, conférence RSA, et à divers séminaires clients.
07/1997 à 01/2003 - NETSECURE SOFTWARE - Responsable produits
Spécifications des produits
Spécification et planning des évolutions des deux produits « NetSecure Web » et « NetSecure Mail », en collaboration avec l’équipe commerciale.
Avant-vente et Après-vente
• Analyse du besoin des clients et prospects ;
• Participation à la rédaction des propositions technico-commerciales ;
• Participation à des salons spécialisés
• Conseil et formation sur l’installation des produits et à la mise en production d’architectures de sécurité et de sites Internet ;
• Intégration des produits ;
• Support niveau 2.
Participation à deux projets de recherche appliquée :
• DICO (détection d’intrusion coopérative) : projet en collaboration avec notamment FT R&D, INRIA, Supélec Rennes, ENS Cachan.
• Animateur de sous-projets, analyse d’intrusions, spécifications pour la mise en application de nouveaux procédés de détection d’intrusion.
• R4C (Ressource Cryptographique Critère Commun) : projet en collaboration avec Bull, CertPlus, Serma.
• Gestion de projet d’intégration d’une carte certifiée CC EAL 4+ au produit “NetSecure Web” (couche SSL de chiffrement).
EXPERTISE
SECURITE
Expertise en Banque en ligne et cyber-sécurité
Assistance RSSI
Infrastructure de confiance :
• Plates-formes d’échange et de preuve
• Plates-formes de Certification et horodatage,
• Administration de la Preuve : intégrité, signature, horodatage, archivage ;
Technologies :
• Signature électronique, authentification forte, Certificats électroniques
• Sécurité applicative, reverse proxy et pare-feu applicatif,
• Cryptographie, WEBSSO ;
Standards et méthodes : ISO 27005, OWASP, Référentiels RGS & PRIS ;
FORMATION & CERTIFICATIONS
• 2016 ISC2 CISSP
• 1991-1996 Diplôme d'ingénieur ESEO (Angers)
• 1991 Baccalauréat C
LANGUES
• Anglais : Bon niveau
Français : Natif