Yassine - Consultant Senior Expert Cybersécurité & Conformité Cybersécurité – Chef/Directeur de projets
Ref : 131031Z002-
34000 MONTPELLIER
-
Consultant cybersécurité, Directeur de projet, Chef de projet (47 ans)
-
En profession libérale
PARCOURS PROFESSIONNEL
Depuis Avril 2018
KLANIK
> Senior Project Manager
Consultant Senior Expert
Cybersécurité & Conformité
Pilotage du programme Gouvernance et Management des Identités et des Accès dans un contexte de transformation agile
d’une entité majeure d’un groupe bancaire (en cours) :
• Adaptation aux nouvelles méthodologies de cadrage et de fabrication et embarquement des collaborateurs
• Définition et mise en œuvre de nouveaux processus d’entreprise
• Etude d’opportunité, cadrage et fabrication de trois solutions du produit IAM
• Déploiement des habilitations sur l’ensemble de la population de l’entreprise : ~5000 identités, ~200 équipes, ~ 20 directions
Pilotage du programme de mise en conformité de la sécurité du SI d’une entité majeure d’un groupe bancaire
• Conduite de 26 projets Cybersécurité
• Reporting et communication département/direction/groupe
• Conformité de l’entité acquise
Mise en place des instances de gouvernance des activités de Conformité d’un département d’une entité majeure d’un groupe
bancaire
• Animation des 1ères instances (~3 mois)
• Restauration de la confiance
• Diminution de 80% des non-conformité en 9 mois
Assistance et accompagnement en tant que référent Cybersécurité & Conformité d’une entité majeure d’un groupe bancaire
• Acculturation à la Cybersécurité et à la conformité ainsi qu’aux processus afférents
• Assistance aux analyses de risque
• Assistance aux tests d’intrusions et à la résolution des vulnérabilités
Fév 2017 – Avril 2018
Indépendant
> Consultant Expert
Cybersécurité
Conduite de missions de conseil et d’audit sur la sécurité des systèmes d’information
(Administrations)
• Pilotage d’une mission d’audit de sécurité global suite à une suspicion de fraude ;
• Pilotage d’une mission de revue de la gouvernance SI et SSI (CoBIT, ISO 27001/27002) ;
• Conduite d’une mission de formations et de sensibilisations de l’équipe IT : GPDR, bonnes
pratiques, sécurité des données personnelles et ISO 27001 en vue d’une certification ;
Accompagnement du RSSI dans le cadre de sa prise de fonction (Administration)
• Evaluation des pratiques en vigueur au travers du prisme des standards ISO 27001/27002
• Evaluation technique (revue des habilitations, revue de conf, scan de vuln. etc …) ;
• Security Roadmap.
2014 - 2017
PwC
> Consultant
Senior Manager
Cybersécurité
Conduite de missions de conseil et d’audit dans le domaine des SI et de la Sécurité des
SI, tant à des niveaux gouvernance qu’à des niveaux opérationnels et techniques
• Pilotage d’une mission d’accompagnement à la refonte de la gouvernance de la Sécurité
des SI (industrie) ;
• Pilotage de missions d’accompagnement dans la mise en œuvre de politique
d’organisation et/ou d’architecture de sécurité (industrie) ;
• Pilotage de missions de conseil et d’audit SI et sécurité SI : revues organisationnelles,
stratégiques, fonctionnelles et techniques (secteur public) ;
• Pilotage des revues de sécurité réalisées dans le cadre de mandat de commissaire aux
comptes (industrie, banque, assurance) ;
• Pilotage de missions d’audit de la sécurité sur des infrastructures techniques ou des
applications, dans des environnements Windows, Unix, Oracle, SQL server, SAP, etc.
(banque, assurance, industrie, secteur public) ;
• Pilotage d’une mission d’accompagnent à la mise en place du plan de continuité et de
gestion de crise (assurance) ;
Responsable du Centre de Service et d’Expertise Cybersécurité de PwC France
Centre de service nearshore (Montpellier)
• Elaboration de l’offre de services standardisés dédiée aux BUs de PWC ;
• Mise en place des processus/procédures/outils internes ;
• Formations des analystes cybersécurité ;
• Coordination des activités / Gestion du plan de charge et affectation des ressources ;
• Evaluation des analystes Relais / auprès du top management.
2009– 2013
Consultant / Expert Sécurité
BNP Paribas, Société Général, Alliance Assurance, TRUST ASSURANCE &
BANK
Mission
Analyse de risque
Evaluation de la sécurité du SI, Audit de sécurité (test de pénétration boite blanche/noir)
Accompagnement sécurité des projets,
Mise en place de PSSI
Validation sécurité des architectures
Analyse de risques projets et des évolutions
Expertises techniques (pour des projets et sur réponse à incident)
Mise en place d'indicateurs et de tableau de bord sécurité
Définition d’architecture et Intégration de solutions de sécurité
Veille sécuritaire, procédures de réponse sur incident
Animation de groupes de travail sécurité (Windows, Sécurisation des Flux Réseau, Antivirus, Messagerie, accès users)
2011– 2013
Consultant/Expert Manager Sécurité
Conseil Général du Gard
Mission
Audit du SI
Analyse de risque sur le périmètre de la conformité légal et réglementaire ISO 27005/EBIOS
Propositions de mesures de sécurité organisationnelles, managériales, administratives et techniques
Conduite du projet d’implantation des mesures de sécurités
2008 –2011
Assistant à maitrise d’ouvrage pour la refonte de la sécurité des
infrastructures – Chef de projet/Expert IT & Sécurité
Banque Centrale
Objectifs & enjeux :
Dans le cadre de la conformité légale et sectorielle (BALE2) La banque centrale souhaite la refonte de la sécurité de ses infrastructures nationales supportant l’ensemble des applications interbancaires distribuées auprès de ses clients (banques primaires et banques privés) et son système d'information interne.
Le projet concerne la sécurisation des accès au SI pour 5500 utilisateurs
Démarche :
Phase 1 – Cadrage, mise en place d’une gouvernance projet, audit, analyse de risque (EBIOS) & recommandations
Phase 2 – Construction d’un schéma directeur SSI sur 5 années
Phase 3 – Rédaction des cahiers des charges et assistance à la sélection des
soumissionnaires
o Sécurisation des Datacenter et réseaux locaux
o Sécurisation des interconnexions
o Sécurisation des flux applicatifs
o Sécurisation des identités & des accès au SI (projet IAM)
o Mise en place d’un SMSI (certification prévue en 2013)
o Mise en place d’un PCA
Phase 4 – Pilotage des projets de transformation de la sécurité des infrastructures et encadrement des projets au niveau techniques et organisationnels.
Résultats :
Intégration de la notion d’amélioration continue de la SSI
Intégration de la SSI dans l’ensemble des projets métiers
Intégration de nouvelles technologies permettant d’améliorer l’usage et l’expérience utilisateurs et la sécurité du SI
Mise en place d’un Plan de continuité d’activité orienté client interne et externe
(banques)
Forte sensibilisation des différents acteurs à la SSI
Mise en place de processus de gestion de la sécurité au plus prêt de la conformité réglementaire et sectorielle (BALE2, PCI DSS)
2010
Assistance à maitrise d’oeuvre pour la définition et la mise en place
d’une solution globale de gestion des incidents de sécurité
Chef de Projet Expert Sécurité
Compagnie Aérienne
Objectifs & enjeux :
Dans le cadre de l’évolution de la réglementation de l’aviation civile international, cette compagnie aérienne doit mettre à niveau son systèmes d’information et notamment en conformité vis-à-vis des mesures de sécurité dans le secteur en vue d’interconnecter ses applications aux applications IATA.
Démarche :
Phase d’analyse de risque
Définition de la politique de gestion des incidents de sécurité
Design de l’architecture cible du SI en terme de sécurité
Préconisation de solution de gestion de la conformité et de la remédiation
Mise en oeuvre des solutions
Formation des équipes
Support au maintient en condition opérationnelle
Résultats :
Mise en place d’un SOC (Security Opération Center)
o Equipe dédié à la SSI opérationnelle
o Solution globale (et mondiale) de gestion des évènements de sécurité
Diminution des incidents de sécurité de 97% en 3 mois grâce à une meilleure prévention des incidents et à une remédiation planifiée des vulnérabilités (1 vulnérabilité majeure est remédiée en moyenne en 5 jours )
Gestion du cycle de la conformité IT & Sécurité du SI
2009
Projet IAM - Gouvernance des identités, des habilitations et des accès
Chef de projet Sécurité
Gouvernement | Sureté
Objectifs & enjeux :
Dans le cadre de l’évolution des missions des forces de sureté et du renforcement de la lutte contre la délinquance, le banditisme, la fraude et le terroriste , le client a décidé d’évoluer son SI vers la centralisation de ses applications métiers tout en automatisant la recherche multi base métier (personnes recherchées, fichées, condamnée, immatriculation véhicule (carte grise, vol, …), passeport, pièce d’identité, police au frontière, …UNIDEE
Afin d’intégrer la sécurité au coeur de ce projet, la Direction Générale de la Sureté Nationale souhaite être conseiller pour la définition et la mise en place d’une politique d’accès au SI.
Le projet concerne la sécurisation des accès au SI pour les utilisateurs répartis :
Toutes les préfectures
Toutes les sous préfectures
Toutes les communes
Toutes les directions centrales métiers et les directions support
Les participants externes
Démarche :
Assistance à la cartographie technique & fonctionnelle du SI
Aide à l’identification et classification des biens du SI
Classification des flux du SI
Analyse de risque et classification risque/menace/vulnérabilité selon la méthode de défense en profondeur.
Aide à la rédaction des spécifications techniques et fonctionnelles de la solution IAM
Assistance aux choix de la solution
Assistance au pilotage de la mise en place de la solution
Assistance au pilotage de la sensibilisation des acteurs du projet
Résultats :
Confiance du Top management dans la sécurité des applications critiques de gestion des forces de sureté
Mise en place d’un processus de gestion du cycle de vie d’un utilisateur du SI
Détection temps réel des tentatives d’accès illicite
Traçabilité des accès au SI
2006– 2011
Directeur de Projet IT & Sécurité
Comexposium – UNIBAIL RODEMCO
Objectifs & enjeux
Maitrise d’ouvrage et maitrise d’oeuvre du système d’information de l’ensemble des évènements (salons) du groupe Comexposium (1er Organisateur de salons professionnels en France). Plus de 100 évènements annuels.
Mission
Pilotage et mise en place de procédure d’exploitation, de production et de sécurité du SI
Mise en place du support et d’un centre de service proches ITIL
Mise en conformité légale et réglementaire des SI
Management opérationnel des équipes IT sur site
2006 – 2013
Directeur informatique & sécurité
Chef de projet IT & Sécurité
Groupe UNIDEES
Mission
Définition de la stratégie et pilotage de l’intégration de la politique de sécurité
Pilotage des évolutions technologiques de l’ensemble de l’infrastructure
Conduite du projet de mise en place du PCA du groupe
Management de l’équipe IT & SSI composée de 13 consultants
Aide avant-vente projets IT & SSI (aide à la réponse aux cahiers des charges…)
Consultant Expert Sécurité dans le cadre de missions/projets clients
Quelques projets/missions clients (Banque, Assurance, Administration publique, Gouvernement, Groupes internationaux…) :
AMOA, MOA, MOE SI et SSI
Audit de SI/SSI ou Audit de Conformité
Projets Analyse de risques (ISO 27005/31000/EBIOS)
Définition de politique de sécurité du SI
Conduite de projets de plan de continuité d’activité, PCA, PRA, PSI (ISO 22301)
Conception, pilotage et déploiement d’architectures sécurisées,
Mise en oeuvre de projet de gestion des incidents de sécurité
Accompagnement à la mise en place ou à l’audit d’un SMSI (ISO 27001, 27002)
Conduite de projet de mise en conformité légale et réglementaire du SI
Formation & Communication SSI
2006 – 2007
Chef de projet / Expert SIG
SUEZ ENVIRONNEMENT
Mission
Audit fonctionnel et technique de l’existant SIG
Evaluation macroscopique des futures phases du projet SIG, y compris les sous missions de cadrage pour chaque phase
Calendrier prévisionnel du projet
Préconisation des solutions
Initialisation du projet
2001 – 2005
Directeur de projet
Responsable du département R&D
IMAGIS
Objectifs & enjeux :
Projet : Etude et développement d’un Framework SIG et de 10 progiciels (>500000 lignes de code)
Plus grand projet système d’information géographique de France en 2005
Equipe : 3 chefs de projets, 2 architectes et 13 développeurs
Technologie: Langage : C#.NET, Arcgis 9, Oracle
Mission
Management des équipes
Consolidation des plannings
Conduite de réunions
Intégration de la sécurité en développement
Gestion de la sous-traitance
Orientation des développements
Responsable des délais/couts
Validation Spécifications et architectures
1999 – 2001
Chef de Projet/Produit SIG
IMAGIS
Objectifs & enjeux :
Gamme de produits SIG Imavue 2 et 3
Gestion du Cadastre, Plan Local d’Urbanisme, Eclairages Publique, Feu Tricolore, Réseau Eau potable et Assainissement, etc. …
Equipé par plus de 1000 collectivités en France
Mission
Management de l’équipe de développement/produit
Planning des releases
Contrôle des spécifications, développement et Test
Validation des intégrations client.
1997 – 1999
Ingénieur de développement
IMAGIS
Mission
Analyse et développement de plusieurs progiciels SIG (système d’information géographique)
FORMATIONS
Langue • Anglais: capacité professionelle
Formation continue • Leadership, change management, business management, time management
• Gouvernance des SI: Cobit, ITIL v3
• Gestion de projet : PRINCE2 Practionner
• Risque : ISO 31000 Risk Manager / ISO 27005 Risk Manager
• Audit des SI : CISA, ISO 27001 Lead Auditor
• Cybersécurité : CISSP, ISO 27001 Lead Implementer
• Continuité : ISO 22301 Lead Implementer
Formation Initiale • Master of Business Administration degree - IAE de Montpellier
• Ingénieur en informatique - IMT Mines Alès - EERIE
Option Intelligence Artificielle - Major de stage de fin d’études – Prix du meilleur projet industriel
RESUME DES COMPETENCES
Type d’intervention
Gestion et/ou Direction de projet IT & Sécurité
Assistance à maîtrise d'ouvrage SI et SSI
Conduite de projet d’audit de SI/SSI ou audit de conformité
Stratégie et gouvernance de la SSI
Conduite de projet d’analyse de risques (ISO 27005/31000/EBIOS)
Evaluation de la sécurité de SI par des audits boite blanche et boite noire
Définition & conduite de projet de plan de continuité d’activité, PCA, PRA, PSI (ISO 22301)
Management d’équipe IT & Sécurité fonctionnelle & technique
Conception, pilotage et déploiement d’architectures sécurisées,
Mise en oeuvre de projet de gestion des incidents de sécurité
Accompagnement à la mise en place ou à l’audit d’un SMSI ou SMCA (Accompagnement à la certification ISO 27001, ISO 22301)
Préconisation de solutions : Définition d’Architecture réseau et sécurité, Etude comparative de produits de sécurité, Elaboration de cahier des charges,…
Conduite de projet de mise en conformité légale et réglementaire du système d’information
Formation & Communication SSI
Type d’entreprise/Secteur
Banques.
Opérateurs Télécoms.
Transport
Gouvernement.
Collectivité locale, Territoriale, Administration
Energie.
Grandes entreprises publiques
Pme/Pmi
Compétences techniques
Sécurité
Management des risques : méthodes/normes : ISO 27005, EBIOS
Définition de Politique de Sécurité du SI : PSSI,
Management de conformité IT & Security (Standards, Normes, Référentiels sectoriels & légales/règlementaires LOPPSI, LCEN, CNIL,
BALE2/3, SOX, ISO 27001/2, ISO22301, PCI DSS)
Accompagnement à la définition et à la mise en place d’un SMSI (Système de Management de la Sécurité du SI) : normes ISO 27001 : 2005 et ISO 27002 : 2005
Accompagnement/Conseil à la définition, à l’implémentation et à la gestion d’un SMCA (Système de Management de la Continuité d'activité) : normes ISO 22301 (ISO 22313, ISO 27031, ISO 31000)
Stratégie de sécurité. & Conseil de direction
Accompagnement à la sensibilisation du personnel à la sécurité des SI
Audit Interne ou audit de certification ISO27001 (en suivant l'ISO 19011)
Audit Interne ou audit de certification ISO22301 (en suivant l'ISO 19011)
Rédaction de standards, baselines et procédures de sécurité
Intégration de la sécurité dans les projets
Elaboration de Tableau de Bord sécurité
Définition de PCA/PRA/PSI : Plans de secours informatique : normes ISO 22301
Gestion des incidents de sécurité
Gestion des identités & des habilitations
Gestion et Direction de projet
Coordination/management d’équipe, définition et suivi budget/planning,
Analyse des besoins et élaboration des cahiers des charges et des spécifications fonctionnelles et techniques,
Gestion des relations prestataires, de la soustraitance
Méthode d’organisation, de gestion et de contrôle de projet Prince 2
Outil de gestion de projet : MS Project, Primavera
Réseaux
OS : Windows NT4 Server, Windows 2000/2003/2008 Server, Linux, Unix Sun Solaris
Protocoles réseaux : TCP/IP, X25, ATM, Frame Relay, Ethernet/IEEE 802.3,VoIP (H.323, SIP)
Protocoles de routage : RIP, OSPF, BGP, MPLS
Réseaux : Switchs Cisco, Alcatel Lucent, Firewall (Cisco, Netasq, Fortinet, CheckPoint, Squid, …), Kaspersky, VadeRetro, Trend Micro, Baracuda, Optenet, Avast …
Virtualisation de Datacenter, d’application et de poste de travail : Citrix, Vmware, Parallels
Supervision : HP Open View, Cisco Works, Tivoli
Stockage et Sauvegarde : Netbackup, Backupexe, ArcServ, Tivoli, EMC, NetApp
Certifications
CISA
ISO 27005 Risk Manager
PRINCE2 Practitioner
PRINCE2 Fondamental
ISO 31000 Risk Manager
Itil V3
ISO 27001 Lead Auditor
ISO 27001 Lead Implémenter
ISO 22301 Lead Implementer
ISO 22301 Lead Auditor