Kamal - Consultant ITIL

Expérience professionnelle

Groupe Société Générale
RSSI DE TRANSITION
Septembre 2022 [À] Mars 2023
Contexte :
Mission d'expertise et d’accompagnement au sein de la DSI GTS (DSI Groupe).

Responsabilités :
- Assistance RSSI et management transverse (6 personnes) entre la Roumanie et la France
- Elaborer le dashboard sécurité GTS/SEC et mise en place des indicateurs de sécurité
- Piloter les activités opérationnelles de sécurité (risques, incidents, remédiation, etc.)
- Piloter les activités de contrôles de sécurité IT avec les entités GTS/SEC France et Inde.
- Accompagnement et expertise sur la sécurité Cloud (AWS, AZURE), gestion des tierces parties, Data Lake, etc.
- Accompagnement et expertise sur les mesures de sécurité relatives à l’arrêt de la CJUE SCHREMS II concernant le transfert et la protection des données à caractère personnel (clauses contractuelles types).

Livrables :
- Roadmap, plan d’action, management transversal, reporting et tableau de bord SSI.

Carrefour France
RSSI DE TRANSITION
MARS 2021 [À] JUIN 2022
Contexte :
Mission pour le compte de la Direction de Sécurité SI (France & Groupe).

Responsabilités :
- Coordination et gestion transversale des projets de sécurité SI au sein des directions Marketing France & Data France/ Groupe ;
- Formaliser l'intégration de la sécurité dans les projets (Carrefour Links, Data Lakes & Analytics, DataWarehouse, digitalisation du marketing, etc.) ;
- Organiser les comités de sécurité et développer les tableaux de bord , KPI, plan d’action, etc. ;
- Accompagner la direction juridique & DPO & achats pour la revue des contrats et des plans assurance sécurité, pour la coordination des activités des third parties, etc.;
- Définir les exigences de cybersécurité Cloud (Google GCP, Azure Cloud, etc.)
- Piloter des projets opérationnels de sécurité SI (authentification multifacteur (MFA), chiffrement, revue de code, vulnérabilités, etc.);
- Expertise en sécurité de l'information (analyse des risques, conformité RGPD, normes ISO 2700X, IAM, PAM, SOC, DLP, CASB, APPSec, CI/CD, etc.).

Livrables :
- Roadmap, plan d’action, management transversal, reporting et tableau de bord SSI.


GALERIE LAFAYETTE
RSSI DE TRANSITION
DE NOVEMBRE 2020 [À] MARS 2021
Contexte :
Mission pour le compte de la DSI des magasins GALERIE LAFAYETTE.

Responsabilités :
- Rédiger la Politique de Sécurité des Systèmes d’information « PSSI » ;
- Définir la structure de gouvernance SSI, les KPI et les tableaux de bord ;
- Piloter le projet SOC externalisé ;
- Piloter le projet IAM ;
- Management de la sécurité opérationnelle (Antivirus, Scan vulnérabilité, Patch Management, etc.) ;
- Accompagnement SSI (analyse des risques, sécurité dans les projets, etc.)

Livrables :
- Politique de Sécurité des Systèmes d’information ;
- Audit de sécurité, organisation SSI, plan d’action, management opérationnel, reporting et tableau de bord SSI.

SAINT-GOBAIN
RSSI DE TRANSITION
DE JUIN 2020 [À] OCTOBRE 2020
Contexte :
Mission de management d’une équipe transverse entre l’Inde et la France (5 personnes).
Responsabilités :
- Rattaché au RSSI du Groupe SAINT-GOBAIN et en coordination avec les Directions de l’entité INTERNATIONAL DIGITAL - IT SERVICES “SGIDS” ;
- Elaborer le Dashboard Global SGIDS et mise en place du meeting mensuel avec le RSSI Groupe SG ;
- Contribuer à la mise en place du plan Cyberdéfense annuel SGIDS ;
- Analyser l'organisation et la gouvernance de la Cybersécurité au sein de SGIDS, et proposer une organisation Cybersécurité SGIDS cible (gouvernance, comitologie, profil de recrutement, matrice des responsabilités, workflow, etc.) ;
- Analyser le processus d’Intégration de la Sécurité dans les Projets sur la base des méthodologies du groupe SG, et élaborer une stratégie ISP et des indicateurs de performances ;
- Analyser les processus de gestion d’incidents, des vulnérabilités et des remédiations, et proposer des actions d’amélioration ;
- Elaborer la méthodologie DevSecOps de SGIDS (stratégie, organisation, roadmap, outil d’évaluation, etc.) ;
- Analyser les plans de sensibilisation et de formation des développeurs et des chefs de projets ;
- Monitoring et suivie des activités (scan de vulnérabilité, pentest, protection WAF, incidents, inventaires des actifs, etc.) ;
- Pilotage, coordination, conseil et expertise GRC.

Livrables :
- Dashboard Global mensuel SGIDS ;
- Plan Cyberdéfense ;
- Stratégie DevSecOps ;
- Pilotage, reporting et tableau de bord SSI

Bpifrance
CHEF DE PROJET & ASSISTANCE RSSI
DE NOVEMBRE 2019 [À] MAI 2020
Contexte :
Mission de gouvernance de la Sécurité des Systèmes d'Information au sein de la DSI Groupe.

Responsabilités :
- Rattaché au RSSI Groupe et en coordination avec les Directions Technologiques, la Direction de Conformité et de Contrôle, les équipes IT, les Directions métiers, et les parties prenantes ;
- Rédiger la Politique de Sécurité des Systèmes d’information « PSSI » de Bpifrance ;
- Définir la structure de gouvernance SSI et préparer les comités de sécurité SI (COSEC, CODIR, etc.) ;
- Définir les KPI et les tableaux de bord pour le comité exécutif et le comité de Direction ;
- Élaborer le Framework SSI Bpifrance avec pour stratégie d'identifier, de spécifier, de mettre en œuvre, et de mesurer la conformité aux exigences SSI ;
- Revue et mise à jour des politiques thématiques (ex. actifs informationnels, classification et protection de l’information, gestion des identités et des accès, gestion des incidents, gestion des parties tierces, etc.) ;
- Coordonner le management des risques numériques, le pilotage des plans d’actions, etc. ;
- Conseil et accompagnement stratégique, opérationnel et technologie (Cyber-stratégie, Cloud, IA, RPA, etc.).

Livrables :
- Politique de Sécurité des Systèmes d’information ;
- Politiques thématiques : poste de travail, nomadisme et télétravail, Intégration de la Sécurité dans les Projets (ISP), etc. ;
- Framework des exigences SSI ;
- Pilotage, reporting et tableau de bord SSI.
BNP Paribas Wealth Management
CHEF DE PROJET & ASSISTANCE RSSI
DE MARS 2019 [À] NOVEMBRE 2019
Contexte :
Mission de management des projets de sécurité SI au sein de la DSI de Wealth Management.

Responsabilités :
- Rattaché au RSSI métier et en coordination avec les RSSI(s) au niveau de l’Europe (Genève, Londres) et de la zone géographique APAC (Singapour), etc. ;
- Piloter le management des risques numériques et la conformité (NIST, RGPD, etc.) entre les entités de Wealth Management (France, Allemagne, Suisse, Singapour, etc.) et le Groupe BNP Paribas ;
- Piloter le programme de continuité des activités entre les entités de Wealth Management (France, Allemagne, Suisse, Singapour, etc.) et le Groupe BNP Paribas ;
- Piloter le programme « NIST cyber Security Maturity » en coordination avec le Groupe BNP Paribas ;
- Piloter le management des projets de sécurité applicatifs « AppSec Wealth Management » ;
- Piloter le management des projets « Cloud Security Wealth Management » ;
- Mise en œuvre et suivie de l’Intégration de la Sécurité SI dans les Projets « ISP Wealth Management » ;
- Préparer la réunion trimestrielle « Cyber Security & Information Continuity Committee » ;
- Pilotage, reporting et tableau de bord pour le RSSI de Wealth Management et pour le Groupe BNP Paribas ;
- Etc.

Livrables :
- Tableau de bord “Intégration de la Sécurité SI dans les Projets” ;
- Tableau de bord du niveau de maturité NIST « Cybersécurité » ;
- Tableau de bord du niveau de maturité de la continuité des activités ;
- Reporting et suivi de la stratégie de cyber- sécurité ;
- Reporting et suivi du programme vulnérabilités & patches ;
- Reporting des risques IT & Cyber ;
- Etc.

GROUPE UP
EXPERT SÉCURITÉ SSI & ASSISTANCE RSSI
D’OCTOBRE 2017 [À] JANVIER 2019
Contexte :
Mission d’expert Sécurité des Systèmes d'Information au sein de la DSI Groupe, coordination des projets de sécurité SI, management des risques IT & SSI, pilotage de la conformité sur des projets transversaux impliquant la Direction des Systèmes d’Information Groupe, la Direction de la conformité et des risques Groupe et la Direction générale Groupe.

Responsabilités :
- Rattaché au RSSI Groupe et en coordination avec les RSSI(s) et correspondants de sécurité SI dans le monde (19 pays et une quarantaine de filiales) ;
- Piloter le programme de la conformité IT & SSI impliquant la Direction des Systèmes d’Information Groupe, la Direction de la conformité et des risques Groupe et la Direction Générale Groupe ;
- Piloter le management des projets de sécurité SI, management des risques IT & SSI, mise en œuvre des plans d’actions SSI, suivie et reporting ;
- Élaborer la stratégie de cyber-défense, les indicateurs de sécurité (KPI, KRI), les tableaux de bord et des documents de sécurité SI, etc. ;
- Elaborer la stratégie de protection des données sensibles, valider la matrice de responsabilité RACI et élaborer les plans d’actions de mise en conformité RGPD, ISO 27001, PCI DSS ;
- Elaborer la politique de gestion des incidents SSI, définir les niveaux d’alerte, d’escalade et de notification en cas d’attaques cybersécurité et/ou de violations des données sensibles ;
- Étude opérationnelle et de faisabilité d’un SIRT interne (Security Incident Response Team), modèle appliqué détection-réponse, processus de gestion et de réponse à incident, structure du centre de compétence, workflow pour la prise de décision, etc. ;
- Séminaires thématiques et transfert de compétence.


Livrables :
- PSSI ;
- Rapport d’audit de la conformité RGPD ;
- Tableau de bord et indicateur des risques SSI & IT & Cyber ;
- Stratégie de cyber-défense ;
- Processus de gestion des incidents SSI ;
- Plan de communication ;
- Etc.

De 11/2015 au 10/2016 SG Maroc
Manager IT/SSI (Freelance)
Mission :
Gouvernance IT § SSI, Management de portefeuille de projets transversaux, Coordinateur régional (CASABLANCA - Paris)
Piloter les ressources, analyse des risques projets, validation des missions, plan de management projet
Définir le périmètre de l’Audit SI/SSI (Cobit, ITIL, ISO2700x, etc.)
Définir le référentiel système d’information (Architecture SI, matrice RACI, etc.)
Elaboration des outils, validation du planning, dossiers techniques, documents projets, coordination des équipes, management projets SI/SSI, etc.
Conseil et audit de la politique de continuité des activités (PSI/PRA), suivi de l’avancement des projets, etc.
Identification de la criticité des actifs et protection, processus de réponse aux incidents et escalade, gestion de crise (préparation et intervention d'urgence)
Supervision, tableau de bord, indicateur (KRI, KPI), suivi des projets, pilotage, workshop, réunion, meeting, etc.
De 02/2015 à 05/2015 AXA Maroc
PMO SSI (Freelance)
Mission :
Accompagnement DSI, RSSI, Coordinateur régional (CASABLANCA-Madrid-Paris)
Pilotage programme transverse SSI et des ressources (Enterprise Architecture, Roadmap & Emerging Technology, Enterprise Security Policy, Standards and Guidelines, Information Security Risk Management, Security Oversight and Governance, Security Compliance and Regulatory Requirements Mgmt, Security Assessment and Authorization/ Technology Risk Assessments, Security Systems Management, SSDLC framework, Security Awareness and Training, Privacy Awareness and Training, Network Access and Perimeter Controls, Internet Content Filtering, Data Loss Prevention, Disaster Recovery Procedures, etc.)
Analyse des risques projets, validation des missions, plan de management projet, plan de communication, réalisations des différents rapports d’avancement des projets, réalisation du suivi budgétaire, feuille de route, plans d’actions, animation des comités (pilotage, projets), conseil, accompagnement, etc.
Conseil normes ISO 27001, ISO 27002, ISO 27005, ect.
Conseil technologique (mobility, cloud, NGN, etc.)

De 05/2014 à 11/2014 Sews Maroc
Responsable opération (Contrat en régie)
Mission :
IT Service Delivery, management de transition, processus ITSM, gestion du changement, organisation et conduite du changement dans le cadre de la transformation du SI, Matrice RACI, comité d'Approbation des Changements (CAB), etc.,

Proposition de stratégies ICT, améliorer l’organisation du système informatique (Datacenters,, Mobilité, CRM, Active Directory, Réseaux, Sécurité, Virtualisation, Stockage, etc.)
Assurer la qualité SI et la maîtrise des risques SI, analyser les risques, continuité SI, formalisme et rédaction de procédure (gestion des changements et des incidents, etc.)
Formation et sensibilisation…

De 02/2012 à 10/2013 Renault Maroc
Consultant ITSM (Contrat en régie)
Mission :
Conseil et Gestion des Configurations, incidents, catalogue des services, etc.
AMOA des outils de Gestion de Services (ITSM), et help desk
Définition du plan de progrès orientés vers l’ITSM

De 04/2011 à 11/2011 Poste Maroc
Manager SSI (Freelance)
Mission :
Management de la Continuité d’Acticité « MCA » :
Mise en œuvre du système de management de la continuité d'activité «SMCA»,
BIA et analyse des risques,
Conception de la politique de continuité, etc.
Mise en œuvre des plans de contournement des sinistres (Plan de Continuité des Opérations (PCO), Plan de Gestion de la Crise (PGC), Plan de Communication (PCOM), Plan d’Hébergement des utilisateurs (PHEB), Plan de Continuité Informatique (PCI), Plan de Rétablissement des activités métiers et TI (PRA), Plan de test et recettes.

De 02/2011 à 01/2012 ONE
Manager SSI (Freelance)
Mission :
Assistance et conseil référentiel de sécurité SI :
Vision et cadrage des besoins,
Analyse des exigences et des risques SI, cartographie des risques opérationnels et des risques informatique,
Formalisation des politiques SSI, chartes utilisateurs SI, plan d'assurance sécurité,
Audit du PCA (gestion de la cellule de crise décisionnelle, La détection, l'escalade, etc.)

De 01/2010 à 01/2011 Attijariwafa Bank
Chef de projet sénior SSI (Freelance)
Mission :
Schéma Directeur Sécurité Système Informatique (SDSSI)
Réalisation du schéma directeur du SIG, assistance à l'instauration des schémas en conformité aux normes ISO 27001, ISO 27002, ISO 27005…
Evaluation des risques IT, Elaboration de la cartographie des risques SI, de la PSSI, de la charte utilisateur, de la stratégie de sécurisation de AD, de l’infrastructure Citrix et de l’infrastructure VMware, etc.
Elaboration et mise en œuvre d'une stratégie de sécurisation des serveurs CFT (Cross File Transfer), Swift,
Conseil gestion des Identités (annuaires, référentiels), gestion des habilitations (provisioning, rôle management), gestion des Accès (SSO, authentification forte), traçabilité et contraintes réglementaires, etc.
Elaboration de la politique de gestion des identités, procédure (s) de gestion des habilitations, référentiels et profilage des droits, RBAC (Role Based Access Control), réalisation de formulaires d'habilitation etc.
Audit des habilitations et des processus liés à la gestion des accès pour améliorer la réactivité
Audit de la conformité des habilitations, du respect des procédures appropriées d’attribution, et du processus de certification.
Audit du domaine Active Directory (Groupes, GPO, OU)
Définir les politiques pour chiffrer et déchiffrer les données statiques et les messages en utilisant S/MIME
Définir la stratégie de sécurisation des données en continu à travers la DMZ
Conseil pour le cryptage SSL en vue de sécuriser les connections de transports (l’authentification des points d’accès et es données échangées)
Conseil pour l’intégration des moteurs DLP et anti-virus, etc.
Sécurisation des réseaux étendus, des canaux alternatifs (SMS, Internet, Fax, ETEBAC (Échange Télématique Banque-Clients)), des réseaux partenaires, des Serveurs Centraux, etc.

De 01/2010 à 01/2011 APSB (Association Professionnelle des Sociétés de Bourse)
Chef de projet sénior SSI (Freelance)
Mission :
Management de la continuité d’activité pour 18 sociétés de bourse de la place
Audit PCA/PCI
Elaboration de la cartographie des risques SI, des plans de continuité, etc.
De 12/2008 à 01/2010 BMCE Bank
RSSI (CDI)
Mission :
Gouvernance, management, reporting et externalisation de la fonction SSI (SLA-ITIL-ISO 27002)
Pilotage du SMSI (ISO2700x)
Pilotage du projet de Conformité PCI-DSS
Elaboration du référentiel de sécurité SI de la banque (Framework, PSSI, charte utilisateur, plan de remédiation)
Conception, mise en œuvre et test du PCA/PCI de la banque, conduite opérationnelle de la continuité d'activité (cellule de crise), plan de gestion de crise par scénario de sinistre, mise en place et animation de la cellule de gestion de crise.
Pilotage du projet de refonte des réseaux LAN et WAN (Cisco Catalyst 6500 Series Switches)
Formation, Sensibilisation, rédaction des rapports, des procédures et des appels d’offres, Kickoff meeting, séminaires, conduite de réunions, etc.
De 04/2005 à 06/2008 Net2S Conseil
Consultant IT §SI §SSI (Freelance)

02/2002 à 12/2004 MACSI (SSII)
Manager support TI (CDI)

09/1998 à 01/2002 INAAM (industrie)
Administrateur TI (CDI)

Domaines d’expertises

Management de la continuité d’activités (MCA):
Direction de comité de pilotage MCA, mise en œuvre de l’organisation projet, planification et structuration des activités, plan de communication projet, reporting, tableau de bord, etc.
Élaboration de Toolkit pour l’évaluation de la gestion du risque d'entreprise (risques SI § opérationnels), de la gestion la sécurité, de la gestion continuité des activités, etc.
Management de la Continuité d’Acticité « MCA », mise en œuvre du système de management de la continuité d'activité «SMCA», BIA et analyse des risques, politique de continuité, etc.
Conception et mise en œuvre des plans de contournement des sinistres (Plan de Continuité des Opérations (PCO), Plan de Gestion de la Crise (PGC), Plan de Communication (PCOM), Plan d’Hébergement des utilisateurs (PHEB), Plan de Continuité Informatique (PCI), Plan de Rétablissement des activités métiers et TI (PRA), Plan de test et recettes; et PANDEMIE GRIPPALE).
Conduite opérationnelle de la continuité d'activité (cellule de crise), plan de gestion de crise par scénario de sinistre, mise en place et animation de la cellule de gestion de crise.
Conception et mise en œuvre des procédures de rétablissement informatique et de continuité d’activités
Etudes des sites de repli, des modalités d'hébergement et de repeuplement, des procédures de fonctionnement en mode dégradé, de redémarrage et de retour à la normale,
Etudes et stratégies de secours information, haute disponibilité, disaster Recovery, réplication, sauvegarde, restauration des données, etc.
Audit de conformité aux référentiels (ISO 22301, BS 25999, ITIL, etc.), du niveau de maturité du management de la continuité et du niveau de résilience de l’organisation.
Sensibilisation à la continuité des activités, formation, accompagnement et développement des relations clients, etc.
Gouvernance de la sécurité des systèmes d’information:
Accompagnement DSI, RSSI, Risk Managers et équipes techniques dans des programmes de sécurité des systèmes d’information à haute valeur ajoutée.
Alignement stratégique et pilotage SSI: schéma directeur SSI, identification des orientations stratégiques, des structures organisationnelles et de l’écosystème des menaces et des risques, élaboration du référentiel des exigences SSI, mise en œuvre des mesures de sécurité SI, management du changement (change request process), etc.
Planification stratégique Cyberdéfense: analyses des menaces orientées risques/scénarios (APT, DDOS, spear-phishing, etc.), identification de la criticité des actifs et protection, processus de réponse aux incidents et escalade, gestion de crise (préparation et intervention d'urgence), forensics, veille, innovation, et amélioration continue, etc.
Programme SETA (security education, training, and awareness), élaboration d’une organisation Knowledge Management (communities of practice (CoP), MOOC, e-learning, etc.), élaboration de campagne de sensibilisation à la sécurité informatique, etc.
Bureau de projets (PMO) : management de portefeuille de projets transversaux, pilotage programme SSI, pilotage des ressources, analyse des risques projets, validation des missions, plan de management projet, plan de communication, réalisations des différents rapports d’avancement des projets, réalisation du suivi budgétaire, feuille de route, plans d’actions, animation des comités (pilotage, projets), conseil, accompagnement, etc.
Pilotage de programme sécurité des systèmes d’information : externalisation fonctions DSI & RSI & RSSI, accompagnement à la certification ISO 27001; management de la sécurité «SMSI », management des exigences de la sécurité SI (organisationnelle, opérationnelle et technique), protection du patrimoine informationnel contre la malveillance, la fraude informatique, l’utilisation illicite du système informatique, la fuite de données, le piratage, etc.
Management de la sécurité de l'information : vision et cadrage des besoins, analyse des exigences et des risques SI « ******** », cartographie des risques opérationnels et des systèmes d’information, formalisation des politiques SSI, chartes utilisateurs SI, plan d'assurance sécurité, rédaction de FEROS (fiche d’expression rationnelle des objectifs de sécurité), rédaction de profils de protection, rédaction de cibles de sécurité, etc.
Elaboration de référentiels de sécurité SI (Framework de sécurité SI, politique de sécurité SI, méthodologie d’intégration de la sécurité dans les projets SI, service level agreement, etc.).
Elaboration de stratégie de protection des données, identification des modalités de traitement, mise œuvre d’une organisation spécifique et du processus de signalement et gestion incidents, déploiement des mesures techniques, rédactions des procédures internes, etc.
Elaboration framework SSDLC pour la sécurité des applications dans le cycle de vie du développement, politique de sécurité applicative, intégrer le processus de test logiciel au VMP (Vulnerability Management Program), etc.
Gouvernance et gestion des identités et des accès:
Conseil gestion des Identités (annuaires, référentiels), gestion des habilitations (provisioning, rôle management), gestion des Accès (SSO, authentification forte), traçabilité et contraintes réglementaires, etc.
Elaboration du processus de gouvernance des identités, gestion des risques, et de la conformité réglementaires, etc.
Elaboration de la politique de gestion des identités, procédure (s) de gestion des habilitations, référentiels et profilage des droits, RBAC (Role Based Access Control), réalisation de formulaires d'habilitation etc.
Audit des habilitations et des processus liés à la gestion des accès pour améliorer la réactivité
Audit de la conformité des habilitations, du respect des procédures appropriées d’attribution, et du processus de certification.
Audit du domaine Active Directory (Groupes, GPO, OU)
Conformité aux référentiels (COSO/ COBIT/ ITIL/ ISO 20000/ISO 2700x, PCI-DSS, SOX, ISO 22301/BS 25999, etc.) aux législations et règlements en vigueur (CNIL, Loi 09-08 de protection de Données à caractère personnel, ISO 27018, etc.),
Audit sécurité SI et mises à jour (objectif de l'audit, planning, revue de la documentation, recommandations, etc.)
Rédaction des rapports, des procédures et des appels d’offres, Kickoff meeting, séminaires, conduite de réunions, etc.
Compétences technologiques: ERP, CRM, cloud computing, BYOD § mobilité § MDM, data center, virtualisation, SGBD, réseaux (LAN, WAN, Télécoms), SOC, IAM § IGA, DLP, SIEM, NAC, NGN, SDP, etc.