Christophe - Consultant cybersécurité RISQUE

Expérience professionnelle

Depuis Février 1996 - Consultant en gestion des risques et sécurité des S.I.
Enseignant en sécurité des systèmes d'informations, en 3ème année de cycle "ingénieur en génie informatique", de l'école Hassania des Travaux Publics, (EHTP), à CASABLANCA.
Membre de l'"IARCP" (International Association of Risk and Compliance Professionals)

Prestations effectuées :
2020 – 2021 Enedis
Appui Cyber en région : Participation à la création du poste de référent cysber-sécurité sur deux régions d’occitanie.
Analyse de maturité cyber et établissement d’une feuille de route incluant des actions locales et nationales. Traitement des incidents cyber locaux en relation avec le CERT Enedis. Création et animation de sessions de sensibilisation utilisateurs en présentiel et à distance. Participation à l’évaluation de la cyber-sécurité du réseau industriel. Définitions d’actions de court terme de mise en sécurité du réseau industriel. Participation à la mise en sécurité d’un site opérationnel à construire : analyse des plans, des mesures de sécurité prévues et propositions d’améliorations.

2019 – 2020 Carrefour
RSSI : Gestion des risques IT et de la sécurité du S.I. sur un périmètre métier déterminé.
Activités récurrentes : sensibilisation des utilisateurs, animateur du comité sécurité métier, coordination des actions de sécurité avec les différents acteurs de la DSSIG (Direction de Securité des Systèmes d’Information Groupe).
Analyses de risques et gestion de la sécurité des projets.

2018 – 2019 Société Générale
Consultant en gestion des risques IT : Accompagnement à la mise en œuvre d’un framework de gestion des risques opérationnels
Préparation des rapports mensuels destinés aux CIO de Business Lines.
Participation a l’élaboration du framework de gestion des remédiations.

2017 – 2018 SODICA
RSSI de transition : Création de poste de RSSI.
Mise en place d'un pilotage par les risques.
Pilotage de la mise en conformité avec la GDPR.
Prise en charge de l'analyse des risques et de la sécurité dans les projets. Élaboration de la sensibilisation utilisateurs.
Identification et formalisation des processus de gestion des risques et de la sécurité S.I.

2016 – 2017 ARVAL
Consultant en gouvernance de la sécurité des S.I. / Directeur de programme : Pilotage d'un programme de mise à niveau de la gouvernance et des outils, avec alignement sur les principes du NIST. (4000 K€, 47 sous-projets sur 4 ans).
Animation des atelier d’identification des projets et des livrables, de cadrage budgétaires et de contrôle des capacités à faire.
Reporting à la direction informatique et préparation des supports de présentation au groupe BNP et au COMEX.

2016 – 2017 DCNS
Consultant en gouvernance de la sécurité des S.I. : Refonte de la gouvernance de la cybersécurité et alignement au NIST.
Analyse des actions existantes, interview des acteurs, élaboration des processus cible pour intégration au référentiel d’entreprise.
Benchmarking par rapport au principes du NIST et propositions d'axes d'alignement.

• Depuis Février 1996 - Consultant en gestion des risques et sécurité des S.I.

• Enseignant en sécurité des systèmes d'informations, en 3ème année de cycle "ingénieur en génie informatique", de l'école Hassania des Travaux Publics, (EHTP), à CASABLANCA.

• Membre de l'"IARCP" (International Association of Risk and Compliance Professionals)

Prestations effectuées :
2015 – 2016 SYSTRA
• Consultant en gouvernance de la sécurité des S.I. : Refonte de la gouvernance de la gestion des risques et du service "sécurité des S.I.".
Élaboration et mise en œuvre d'un pilotage par les risques. (Méthode MEHARI). Élaboration et rédaction de la PSSI, Élaboration des processus de prises en charge de la sécurité dans les projets S.I.. Élaboration de la gouvernance globale de sécurité de l'information et soutenance au CODIR SYSTRA.
Élaboration d'un schéma directeur sécurité à trois ans et d'un macro-planning associé, soutenance au CODIR SYSTRA.
• Intérim du RSSI : conseil auprès des chefs de projets métiers et de la partie "exploitation" de la DSI.

2014 – 2015 Pierre Fabre
• RSSI Adjoint : Refonte de la gouvernance de la gestion des risques et du service sécurité
Analyse des dysfonctionnements, élaboration d'un plan d'action en collaboration avec la DRA (Direction des Risques Assurances) et l'infogérant. Pilotage et management opérationnel du plan d'action.

2013 – MAIF
• Directeur de projet MOA : Refonte du système d’inventaire comptable
Encadrement des équipes métiers. Assistance à l’expression de besoins MOA. Suivi des plannings et des budgets en collaboration avec les chefs de projets MOE. Coordination des plannings MOA/MOE. Participation aux instances de pilotage. Identification et gestions des risques.

2012 – 2013 MACIF
• Directeur de programme MOE : mutualisation des S.I santé et prévoyance.
Reprise du contrôle d'un programme en cours d'exécution. Identification des dysfonctionnements, mise en place du pilotage, formalisation des jalons de suivi, (livrables, phases). Gestion de la relation avec la MOA, coordination des actions MOE/MOA. Participation aux instances de pilotage, reporting client. Identification et gestion des programmes. Encadrement des chef de projets.

2011 – 2012 : WAFA Assurances (Maroc)
• Directeur de projet : projet d'infrastructure du siège (IARD).
Assistance à la DSI dans la gestion du programme de refonte des infrastructures techniques, réseaux/systèmes, avec optimisation du partage des ressources.
Découpage en chantiers, identification des objectifs par chantier, validation du PAQ, élaboration des tableaux de bord de suivi de projet.
Encadrement des chefs de projet et des PMO, consolidation des informations de suivi de projet, identification des alertes, animation des comités de projets, préparation et présentation des synthèses à la DSI et à la direction générale.
Contrôle du respect des procédures projet, participation à la validation de la documentation livrable.

2011 – Solar Euromed
• Pilotage du schéma directeur informatique global de l'entreprise.
Étude des besoins fonctionnels, dimensionnement, élaboration des prévisions de budgets et délais de réalisation, formalisation des hypothèses et scénarios de mise en oeuvre.
Synthèse et présentation des résultats au comité de direction.

2011 – Confédération Française des Travailleurs Chrétiens (CFTC)
• Intérim du DSI
Reprise en mains de la gestion du S.I. et d'une application critique en situation de dysfonctionnement grave.
Stabilisation de l'équipe informatique en place, diagnostic des dysfonctionnements organisations et techniques.
Optimisation des tâches au sein du service informatique et mobilisation de la MOA utilisateurs.
Élaboration et mise en oeuvre d'un plan d'urgence et d'un plan de retour à la normal à moyen terme.

2009 – 2010 : Mutuelle d'Assurance des Artisans Français (MAAF)
• Mise en oeuvre de la gestion des risques opérationnels S.I. en conformité avec Solvency II, pillier 2.
En collaboration avec le Risk Manager et les MOA, identification des risques à prendre en compte, classification, estimation des impacts quantitatifs et qualitatifs, identification des mesures de maîtrise.
• Au sein de l’équipe en charge de la SSI, gestion des problématiques de sécurité S.I. dans l’ensemble des projets impactant le S.I.

2007 – 2009 : Mutuelle d'Assurance des Instituteurs de France (MAIF)
• Analyse des impacts de la mise en conformité de la mutuelle avec Solvency II, sur les processus liés au système d'information.
• Gestion de la problématique de sécurité relative aux projets S.I.

2004 – 2006 : Royal Air Maroc (RAM - Maroc)
• Analyse des risques liés aux systèmes d'informations de la Royal Air Maroc basé sur la démarche MEHARI. (MEthode Harmonisée d'Analyse des Risques).
• Définition et mise en oeuvre d'une organisation de gestion des risques opérationnels au niveau du S.I.
• Management temporaire de l’activité SSI en attente de recrutement.
• Coaching du RSSI recruté pendant les six premiers mois de son activité.

2005 – 2006 : Caisse Nationale de Retraite et d'Assurances / Régime Collectif D'allocations de Retraite. (CNRA/RCAR - Maroc)
• Analyse des risques liés aux systèmes d'informations basé sur la démarche MEHARI. (MEthode Harmonisée d'Analyse des RIsques).
• Pilotage de la mise en conformité des processus liés à la sécurité des systèmes d'informations et à la maîtrise des risques avec le référentiel COBIT V3.

2005 : Royal Marocaine d'assurances (RMA - Maroc)
• Analyse des risques liés aux systèmes d'informations basé sur la démarche MEHARI. (MEthode Harmonisée d'Analyse des Risques).
• Étude d'impacts comparative des référentiels d'organisation COBIT V3 et BS17799 sur les processus liés à l'exploitation des systèmes d'informations.

2004 : COOPER-MAROC
• Analyse des risques liés aux systèmes d'informations basé sur la démarche MEHARI. (MEthode Harmonisée d'Analyse des Risques).

2004 : ONDA (Office National Des Aéroports – Maroc)
• Analyse des risques liés aux systèmes d'informations basé sur la démarche MEHARI. (MEthode Harmonisée d'Analyse des Risques).

2003 : COSUMAR (Maroc)
• Audit de conformité avec le référentiel de sécurité BS17799

2003 : ONA (Omnium Nord Africain - Maroc)
Audit de sécurité des systèmes d'informations basé sur les démarches MEHARI. (MEthode Harmonisée d'Analyse des Risques) et ISO 27001/27002 (BS17799),

2002 : Forces Royal Air (Maroc)
• Audit de sécurité des systèmes d'informations basé sur les démarches MEHARI. (MEthode Harmonisée d'Analyse des Risques) et EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).

2002 : CEMA BOIS DE L'ATLAS (Maroc)
• Audit de sécurité des systèmes d'informations de la Royal Air Maroc basé sur la démarche MEHARI. (MEthode Harmonisée d'Analyse des Risques).