CV/Mission de Consultant ebios freelance

Exemple de missions de Thierno,
Consultant ebios habitant le Val-de-Marne (94)

Client GEPSA - Leader des services en site sensible
(Mission en forfait courte durée)
Durée de la mission Déc. 2023 ➔ Mars 2024
Entité de rattachement
Maintenance et infogérance
Poste occupé
Auditeur site sensible
Description et
environnement de la
mission La mission porte sur 3 volets : le premier étant de faire un audit des sites sensibles avec des
déplacements sur les lieux et interrogation des techniciens et des RSI puis dans un second temps
faire une cartographie des équipements via un inventaire de tous les actifs (matériels et logiciels)
et dans troisième temps réaliser une analyse des risques
Activités la mission
▪ Déplacement sur les différents sites du client et faire une visite des lieux
▪ Interrogation des équipements de maintenance (infogérance)
▪ Récupération des informations sur les serveurs et autres équipements
▪ Dresser un inventaire des différents équipements
▪ Produire une analyse de risque en rapport avec les constats observés lors
des visites
Spécificité de la mission
Environnement sensible
Outils techniques
utilisés
Switch, Datacenter, serveurs, caméra,

Client
Capital Fund Management - Asset management company
(Mission en forfait courte durée)
Durée de la mission Oct. 2023 ➔ Déc. 2023
Entité de rattachement
Infosec – Security cloud AWS
Poste occupé
Audit SI cloud – AWS
Description et
environnement de la
mission
La mission porte sur trois volets : le premier sur l’audit des activités liées à la
sécurité sur le cloud AWS puis en second l’identification des rôles et responsabilités
(RACI) des équipes identifiées au sein de Capital Fund Management et enfin les
recommandations pour le suivi et la mise en œuvre des exigences de sécurité.
Activités la mission ▪ Kick-Off avec réunion de cadrage (Planning, périmètre et identification des
acteurs)
▪ Collecte des documents existants et organisation des ateliers de travail et
des interviews des différentes équipes
▪ Identification des constats
▪ Construction du RACI et validation des rôles et responsabilités
▪ Présentation des recommandations et rapport d’audit
Spécificité de la mission
Environnement cloud AWS avec client présent en France mais siège aux Etats unis
Outils techniques
utilisés
Services Clouds AWS, KMS, AWS config, vault (hashicorp), Dataset, Wiki Confluence, AWS
Guardduty + AWS Cloudwatch, Intégration et livraison (CI/CD), Gouvernance des images AWS et
conteneur
docker

Client SOCIETE GENERALE (SG)
Durée de la mission Avril 2022 ➔ Sept 2023
Entité de rattachement
GTS/SEC
Poste occupé
Chef de projet – Mise en conformité NIS (Network Information Security)
Description et
environnement de la
mission
La mission porte sur la mise en conformité au programme NIS directive européenne
de 23 règles visant à renforcer le niveau de sécurité commun à tous les états de l’union
européenne pour les réseaux et les systèmes d’information.
Activités la mission
▪ Cadrage du programme NIS
▪ Spécification du besoin et traduction opérationnelle des exigences (NIS/LPM)
▪ Analyse de risque – fiche de risque DICT
▪ Identification des acteurs et des points de contact
▪ Organisation d’atelier hebdomadaire et des comités de suivi
▪ Définition d’une roadmap pluriannuelle.
▪ Découpage des 23 règles par bloc (IAM, Log management, patching
Obsolescence des OS, Vulnérabilité, cloisonnement, filtrage analyse des
risques…)
▪ Étude et validation des solutions techniques (IAM, filtrage, Vulnérabilité,
SIEM.)
▪ Préparation à l’audit PASSI et des remédiations
Spécificité de la mission
Méthodologie de travail en mode projet agile avec des sprints de 2 semaines sur une
durée de PI (Product Incrément) de 2 mois à 3
Outils techniques utilisés CyberArck, AS400, Qualys, Environnements de Prod (Win OS/AD, UNIX, Z/Os
Mainframe, Illumio, PDIS, COBRA, Garfild, YOGA

Client BNP PARIBAS (BNPP)
Durée de la mission Novembre 2019 - Mars 2022
Entité de rattachement ITG-PROD Département gestion des risques des environnements de production
Poste occupé Coordinateur d’audit auprès des CAC (Commissaires aux comptes)
Description et
environnement de la
mission
La mission d’audit portait sur le système d'information bancaire BNPP sur le périmètre
des applications financières avec comme objectif la certification des comptes BNPP. Les
actions d'audit portaient sur la justification des accès aux ressources, la sécurisation des
environnements de production dont l’infrastructure technique comprend (Applications,
Serveur, OS (Unix, Windows, zOs et des bases de données SQL/Oracle, DB2, Teradata).
Activités la mission ▪ Planification et organisation des exercices d'audit
▪ Identification et définition du périmètre d'audit (périmètre applicatif)
▪ Identification des entités à auditer (périmètre ITGP)
▪ Analyse des risques – Fiche de risque AZIF - DICT
▪ Préparation des interviews d'audit
▪ Collecte des "preuves », des extractions applicatives et des serveurs (Appli +
Bdd)
▪ Analyse des "preuves" et demande de complément d'extraction
▪ Émission des constats d'audit
▪ Demande de justification des constats avec les éléments de preuve
▪ Validation du rapport d'audit
▪ Traitement des recommandations
Spécificité de la
mission ▪ Analyse des extractions d'audit et corrélation des résultats d'analyse,
▪ Contrôle de la mise en œuvre des mesures de sécurité sur les environnements
applicatifs, Windows OS, AD, Unix et ZOS, et BDD
▪ Ordonnanceurs et Outil de mise en production.
▪ Création et suivi de la réalisation des « changes » (Normal, Accelarate)
▪ Analyse des scripts oracle/SQL (test + validation avant exécution en prod)
▪ Contrôle des accès à privilèges des comptes "Root"
▪ Contrôle d'accès des comptes techniques individuels, génériques et des
groupes d'accès
▪ Contrôle des outils de mise en production et des ordonnanceurs
▪ Contrôle des traitements et des sauvegardes des données de production
▪ Contrôle des comptes et des ressources Mainframe Z/Os RACF TSS
▪ Contrôle de la robustesse des mots de passe et de leur robustesse
Outils techniques
utilisés
Script PowerShell, Excel, SQL, Teradata, Oracle, DB2, CyberArk, Active directory, AD, LDAP,
Excel

Client Assurance-Épargne-Pension (AEP)
Durée de la mission Octobre 2018 - Octobre 2019
Entité de rattachement Sécurité globale
Poste occupé Assistant RSSI – Sécurité SI et protection des données à
caractère personnel
Description et
environnement de la
mission
Projet de revue des habilitations de l’application GHAIA et mise en œuvre d’un
processus de gestion des accès et définition des rôles de chaque responsable de pôle.
Activités la mission ▪ Mise à jour des fiches de risques (AZIF) pour évaluer la criticité des
applications – analyse des risques.
▪ Gestion des habilitations revue des droits, profils métiers + rôles
applicatifs
▪ Gestion des accès aux ressources et suivi des sujets transverse sécurité.
▪ Évaluation des risques sécurité des applications sensibles.
▪ Faire une cartographie des habilitations par profil métier et rôles
applicatifs.
▪ Mettre en place un processus de gestion des accès et définition des rôles
de chaque responsable de pôle.
▪ Renseigner les fiches de risques (AZIF) pour évaluer la criticité des
applications.
▪ Suivi des demandes de dérogations et validation des droits d’accès.
▪ Identification et justification des comptes à privilèges, comptes techniques
et désactivation des comptes fantômes)
▪ Mise en place d’une politique de mot de passe.
▪ Suivi des écarts entre l’Active Directory et le référentiel des habilitations.
▪ Mise à jour des profils métiers et des rôles applicatifs donnant accès aux
ressources AEP.
▪ Organisation de COSEC (Comité Sécurité) et suivi du déroulement du
planning du déploiement des patchs OS (Windows et Linux)
▪ Suivi du RUN (ticket incident sécurité, validation des demandes
d’habilitations, dérogations, ouverture des flux.)
Spécificité de la mission ▪ Évaluation de la criticité des applications
▪ Analyse et corrélation des extractions des fichiers applicatifs
▪ Analyse et corrélation des comptes à privilèges sur les serveurs
▪ Gestion des habilitations, revue et mise place de processus de gestion
accès et suivi des sujets sécurité (RUN).
▪ Évaluation des risques sécurité des applications sensibles. (Active
directory, LDAP, référentiel GHAIA
▪ Gestion des accès (profil métier et rôles applicatifs)
▪ Évaluation de la criticité des applications
▪ Gestion des dérogations
▪ Ouverture des flux

Client SNCF-TRANSILIEN
Durée de la mission Aout 2017 – Sept 2018
Entité de
Rattachement
DSI- TRANSILIEN
Poste occupé Assistant RSSI, – Sécurité SI et protection des données à caractère personnel
Description et
environnement de la
mission
La mission consistait à faire une cartographie des données SNCF sur le périmètre
TRANSILIEN et accompagner à l’analyse des risques avant le lancement d’un projet via
l’outil ZEN – de type ISP intégration de la sécurité dans les projets.
Activités la mission ▪ Identifier les processus métiers et les acteurs concernés
▪ Définir le périmètre à cartographier et planifier les interviews,
▪ Identifier les applications à risque portant sur des DCP
▪ Construire la cartographie des données et les CR
▪ Conduire des préqualifications (analyse des besoins de sécurité + analyse de
risques)
▪ Validation des PAS et réalisation des PIA (Privacy Impact Assessment)
▪ Accompagnement pour la déclaration CIL et construction du registre des
traitements
▪ Protection des données pers...