Benjamin - Assistant à maîtrise d'ouvrage PACK OFFICE

Practice Leader / Consultant Sécurité

Practice
• Développement de l’offre sécurité du SI au sein de Gfi IS dans l’équipe du CIE (Centre
d’Innovation et d’Expertise) : Stratégie, partenariat, commerce, avant-vente, évènements,
management ;
• Responsable de la communauté sécurité au sein de Gfi : Organiser la diffusion de
l’expertise, animer la communauté d’experts, point d’entrée pour nos partenaires, contribuer
aux solutions innovantes Gfi, identifier les start-ups partenaires dans son domaine ;
• Chef de projet Sécurité : Suivi et interventions sur les projets de la practice (forfaits).

Gouvernance SSI
• Mise en place de la gestion des incidents de sécurité au sein de Gfi : Respect et cohérence
avec la PSSI, définition des exigences et recommandations, pilotage ;
• Analyse de risques Sécurité à la CNIEG : Etude l’authentification et de la confidentialité des
données au sein du site web, étude concurrentielle et mise en place d’un curseur de position ;
• Correspondant Sécurité du projet TNW chez Total : Organiser, piloter et mettre en place tout
le lot sécurité du projet New Web (200 sites monde), mise en place du PAS, suivi des rapports
d’audit, déploiement de l’OWASP, etc. ;
• Correspondant Sécurité du projet de migration chez LFB : Organiser, piloter et mettre en
place tout le lot sécurité du projet LFB (200 serveurs), mise en place du PAS, suivi des
rapports d’audit, déploiement des bonnes pratiques de sécurité, etc. ;
• Analyse de risques Sécurité chez la CNIEG : Etude de la gestion des données à travers une
classification des données avec le métier, une étude des bonnes pratiques sécurité sur le
marché et un plan d’actions associé ;
• Analyse du PRA/PCA chez Gfi : Analyse des prévisions contractuelles du PRA/PCA des
différentes Factory IS de Gfi et contrôle des moyens mis en œuvre ;
• Politique de Sécurité chez ENIB : Rédaction de la PSSI de l’ENIB en fonction de la cible à
atteindre définie par la PSSIE et pilotée par l’ANSSI et les contraintes contextuelles du client ;
• Plan d’Assurance Sécurité : Rédaction de nombreux PAS en fonction du contexte client.

Audits
• Pilotage d’audit sécurité chez Lacroix Electronics : Gestion, organisation et pilotage de la
prestation (Test d’intrusion, Wifi, Active Directory) ;
• Responsable d’audit et auditeur 2700x chez Pitney Bowes : Organiser, piloter et réaliser
l’audit de sécurité sur trois sites distincts (Allemagne, Angleterre, Etats-Unis) ;
• Responsable d’audit et auditeur chez ENGIE : Organiser, piloter et réaliser les audits de
sécurité des sites prestataires et sites sûres, en France et à l’International, de la Branche
Energie Europe (France, Portugal, Maroc, Sénégal, Cameroun, Tunisie, Ile Maurice).
• Responsable d’audit et auditeur chez LNE : Organiser, piloter et réaliser les audits de
certifications du système de chargement VIGIK.

Chef de Projet IT sur le projet ASIP

Objectifs & enjeux :
Phase 0C : Mettre en œuvre la mise à jour des cartes CPS (Cartes Professionnels de Santé) en ligne hors données certifiées. Interruption de la solution temporaire de mise à jour.

Démarche :
o Piloter le projet sur tous les aspects non financiers (fonctionnels, techniques, organisationnels)
o Organiser les ateliers « spécifications » entre les différents acteurs (client / fournisseurs). Valider les fiches de lecture et diffuser les spécifications validées.
o Piloter la phase de développement auprès du fournisseur. Respecter le planning, les jalons.
o Piloter la mise en place de l’exploitation suite à un renouvellement de contrat. Mettre en place l’architecture en coordonnant les équipes d’exploitation.
o Assurer les transferts de compétences entre les équipes de développement et l’exploitation (fournisseurs différents). Assurer la bonne cohésion entre ces différents interlocuteurs.
o Préparer, organiser et piloter la recette fonctionnelle et technique de la phase 0C du projet. Gérer le planning et les ressources.
o Piloter la prise en compte des anomalies

Résultats :
o Livraison des différents livrables d’une phase d’un projet.
o Amélioration et automatisation des taches d’exploitation.
o Validation de l’applicatif.

Compétences fonctionnelles : Gestion de projet. Spécifications générales et détaillées. Pilotage des équipes d’exploitation et de développement. Organisation de la recette.

Compétences techniques : Diagramme de Gantt. Ingénierie système et réseau. Gestion des certificats. Reporting Mantis.

Objectifs & enjeux :
S’assurer de la mise en place de la sécurité dans les projets.
Vérifier le respect de la PSSI dans l’entreprise.

Démarche :
o Gestion de la BAL Sécurité : Point d’entrée sur les aspects de sécurité. Toute demande liée à la sécurité est adressée par courriel à la BAL SEC.
o Répartir les charges de travail à l’équipe SSI en fonction du besoin de la demande. Accompagnement sur différents types de sujets (Analyses de risques, Comité des Accès Externes)
o S’assurer que les directives de sécurité Groupe sont bien prises en compte dans les projets. Le cas échéant, dérouler le processus de mise en place des dérogations.
o Communiquer sur la PSSI auprès des RSSI Branches et Domaines

Résultats :
o Amélioration continue de la sécurité dans le Groupe.
o Mise en place de fichier de suivi des comités de dérogation

Compétences fonctionnelles : Gestion du risque sécurité dans les projets.
Gouvernance et communication sécurité. Référentiel sécurité.

Compétences techniques : Compréhension et critique des schémas d’architecture (technique + fonctionnel).

Objectifs & enjeux :
S’assurer de l’exhaustivité de l’étude sécurité dès la phase de cadrage des projets. Assurer la conformité au référentiel de sécurité.

Démarche :
o Rencontrer les chefs de projet informatique et mettre en place un Plan Sécurité Projet (PSP) pour vérifier le niveau de sécurité dans le projet.
o Mise en place d’une classification des données, des processus métier et du projet (Disponibilité, Intégrité, Confidentialité, Preuve).
o Identification des besoins métiers et du niveau de service informatique.
o Prise en compte de la sécurité applicative.
o Mise en place d’une analyse de risques sécurité (ci-dessous).
o Vérifier que le projet est en conformité avec le référentiel de sécurité du Groupe. Le cas échéant, prévoir un passage en comité de dérogation (ci-dessous).
o Définition d’un plan d’action sécurité.
o Mises en place de réunion d’équipe afin d’exposer les différents projets. L’objectif étant de confirmer ou non la validité des aspects de sécurité pour le COPROJ (Comité Projet permettant la mise en place de l’offre de prestation).
o Compte rendu de ce comité et diffusion des décisions prises auprès des équipes projets et du métier.
o Mise à jour d’un fichier de suivi des PSP (base de données de tous les projets étudiés).

Résultats :
o Les équipes projet prennent en compte les aspects de sécurité dès la phase avant-projet. Mise en place de plan d’action et de PRA si nécessaire.
o Suivi de tous les projets par l’équipe Sécurité.

Compétences fonctionnelles : Gestion du risque sécurité dans les projets. Gouvernance et communication sécurité. Référentiel sécurité.

Compétences techniques : Bureautique. Compréhension et critique des schémas d’architecture (technique + fonctionnel). Variété de métiers différents

Objectifs & enjeux :
Vérifier que les aspects de sécurité définis durant la phase avant-projet (PSP) sont pris en compte lors de la mise en production.

Démarche :
o Identifier les projets en production ainsi que les responsables d’application (RIA).
o Planifier des revues de PSP avec le responsable d’application, le propriétaire d’application, le RPSI.
o S’assurer que le niveau de sécurité qui a été défini lors de la phase avant-projet (mise en place du PSP) est toujours d’actualité.
o Vérifier que le plan d’action sécurité est pris en compte ou en cours (définir un planning le cas échéant)
o Valider le niveau de sécurité lorsque le projet est conforme. Définir des actions en cas de non-conformité (dérogation, audit, etc.)
o Mettre à jour le fichier de suivi des PSP.

Résultats :
o Le suivi de tous les projets par l’équipe Sécurité est continu dans le temps. Cette revue des PSP est effectuée un mois après la mise en production et puis tous les deux ans ensuite.
o Cette revue permet d’identifier les failles qui n’ont pas été mentionnées par le chef de projet lors du cadrage. Des actions sont lancées pour se mettre en conformité (plan d’action sécurité).

Compétences fonctionnelles : Suivi de projets. Référentiel sécurité. Communication.

Compétences techniques : Bureautique. Architecture technique + fonctionnelle

Analyse de risques sécurité

Objectifs & enjeux :
S’assurer que le niveau de sécurité est conforme au référentiel Groupe et acceptable. Alerter le métier sur les risques de sécurité du projet et lui faire accepter ce risque.

Démarche :
o Accompagner les chefs de projet dans la mise en place des analyses de risques sécurité (méthodologie interne basée sur Ebios).
o Compréhension des objectifs et des enjeux du projet.
o Challenger l’équipe projet sur l’architecture cible.
o Mise en place des risques de sécurité. Synthèse de ces risques sécurité.
o Mise en place des contre-mesures de sécurité et mise à jour du niveau de risque.

Résultats :
o Synthèse des risques résiduels et plan d’action associé.
o Le métier est informé des risques de sécurité. A lui de l’accepter ou non.

Compétences fonctionnelles : Référentiel sécurité. Gestion des risques de sécurité. Méthodologie Ebios. ISO 27005.

Compétences techniques : Tout ce qui fait référence à la sécurité.

Objectifs & enjeux :
Faire accepter le niveau de sécurité des projets non conformes au référentiel Groupe et définir un plan d’action pour se mettre en conformité dans le temps.
Assurer le suivi de ces projets dans le temps.

Démarche :
o Identifier les projets qui ne sont pas conformes au référentiel de sécurité Groupe. Définir quelles sont les directives qui dérogent.
o Accompagner la mise en place du formulaire de dérogation.
o Mise en place d’une analyse de risques avec le demandeur. En effet, toute demande de dérogation est accompagnée d’une analyse de risques sécurité.
o Planification d’un comité de dérogation avec l’entité qui fait la demande ainsi que l’équipe SSI.
o Compte rendu du comité et diffusion des décisions prises en comité de dérogation.
o Mise à jour d’un fichier de suivi des dérogations. Une dérogation est acceptée pour une durée maximale d’un an. Au bout d’un an le demandeur doit repasser en comité pour donner son statut d’avancement et voir si la dérogation a besoin d’être prolongée ou non.

Résultats :
o Contrôle des aspects de sécurité en cas de situation dérogatoire.
o Analyse de risques rédigée et validée par l’entité qui déroge ainsi que par l’équipe de sécurité du SI.
o Suivi des dérogations dans le temps.

Compétences fonctionnelles : Rédaction. Organisation et planification de comité. Suivi des plans d’action.

Compétences techniques : Selon le métier. Aspects de sécurité du SI.

Objectifs & enjeux :
Alerter les utilisateurs lors d’une mauvaise utilisation ou d’une utilisation frauduleuse du SI. Suivre le comportement des utilisateurs.
Proposer des méthodes de traitement.

Démarche :
o Récupérer le fichier de logs de la console antivirale (Symantec EndPoint Protection) mis en place par les équipes opérationnelles.
o Identifier le RSSI local de l’utilisateur frauduleux.
o Envoyer un mail d’alerte à l’utilisateur en intégrant le RSSI local en copie ainsi que les équipes de sécurité.
o Rappeler les bonnes pratiques de l’utilisation du SI et de sécurité aux collaborateurs.
o Mettre à jour le fichier de suivi des alertes/chartes et relancer les utilisateurs en cas de négligence.
o Mise en place de rapports trimestriels et annuels afin de définir des plans d’action sécurité.

Résultats :
o Alerte auprès des utilisateurs dangereux pour le SI.
o Suivi des utilisateurs dans le temps
o Rapport et bilan de l’activité permettant de mettre en place des plans d’action.

Compétences fonctionnelles : Cartographie. Suivi des utilisateurs, des incidents. Relance.

Compétences techniques : Bureautique.

Objectifs & enjeux :
Conduire le projet de chiffrement des disques durs des 200 VIP de l’entreprise afin de protéger leurs données en cas de perte ou de vol.

Démarche :
o Identifier les VIP concernés.
o Mettre en place l’infrastructure et les politiques. Rédaction de documentation.
o Rédiger le guide de déploiement.
o Concevoir les packages selon les versions de machines.
o Tester le processus d’industrialisation du déploiement via la TDM.
o Réaliser un guide utilisateur (PowerPoint + Vidéo) pour sensibiliser les VIP à l’application. La communication vers cette population est très sensible et minutieuse.
o Contrôler le déploiement sur les machines (from scratch ou upgrade de version).
o Faire du reporting sur l’état d’avancement du projet.

Résultats :
o Les données des machines des VIP sont protégées en cas de perte ou de vol.
o Une console de management permet de contrôler l’activité et de mettre en place le reporting.

Compétences fonctionnelles : Communication utilisateur (vers les VIP). Mise en place de tests. Gestion du planning de déploiement. Support de niveau 3.

Compétences techniques : Gestion du chiffrement. Sophos Safeguard Enterprise 5.40 et 5.50. Adobe Captivate (vidéo).

Objectifs & enjeux :
Améliorer de façon continue la politique de sécurité Bureautique.
Prendre en compte la politique de sécurité dans les projets.

Démarche :
o S’approprier la politique de sécurité Bureautique.
o Décliner la politique de sécurité Groupe.
o Rédiger des documents d’information vers les utilisateurs.
o Accompagner les chefs de projets dans la prise en compte de la politique de sécurité dans les projets.

Résultats :
o Politique de sécurité tenue à jour.
o Sensibilisation des utilisateurs à la sécurité du SI.
o Politique de sécurité prise en compte dans les projets.

Compétences fonctionnelles : Rédaction de politique de sécurité. Analyse de risque. Suivi des utilisateurs. Droit français en informatique. Conduite de projet. Gestion des changements.