Expert en sécurité des systèmes d’information et gestion des risques IT, avec plus de 20 ans d’expérience dans la gouvernance, la conformité réglementaire (ISO 27001, PCI DSS, LPM), et le management de la sécurité.
Accompagnement stratégique pour des grands comptes (banques, énergie, industrie) sur des projets complexes : sécurisation de SI, audits, et mise en œuvre de SMSI.
Compétences éprouvées en optimisation des coûts SSI, élaboration de politiques internes, et sensibilisation à la sécurité.
Leadership confirmé en consulting et direction opérationnelle, avec une expertise dans la protection du patrimoine informationnel et la gestion des habilitations.
Formation solide en ingénierie numérique et gestion de projet, complétée par des activités associatives et sportives.
Expériences professionnelles
AE Partners
LA BANQUE POSTALE (40 millions de clients) Sécurisation de la Banque En Ligne (BEL)
2013 - aujourd'hui
Expertise en gestion de risques liés à l’information
Associé fondateur « AE Partners » (extrait de missions réalisées)
ï§ Conception sécurité du Clavier Virtuel Sécurisé (4x4 cases)
ï§ Mise en oeuvre authentification forte pour les opérations engageantes BEL
ï§ Définition de la modularité (séparation sécurité métier / technique)
ï§ Intégration sécurité dans les projets d’évolution métier
ï§ Suivi et maintien des niveaux de sécurité du portail d’authentification
ï§ Veille sécurité applicative / technique autour de l’EAI
Conseil en gestion de risques liés à l’information Directeur des opérations « Alvérys » (extrait de missions réalisées)
Naya* Alverys
2010 - 2013
ï§ NATIXIS ASSET MANAGEMENT
Reporting et Pilotage des activités SSI (Comex / Codir)
ï§ Sécurité du SI - évaluation de conformité au référentiel visé (i.e. : ISO27002)
ï§ Politiques et missions de la filière - suivi des niveaux de mise en oeuvre
ï§ Incidents - analyse et catégorisation des incidents (selon la base d’incident disponible)
ï§ Budget - suivi des aspects financier liés à la Sécurité du SI et des projets afférents
ï§ ALVERYS (Interne)
Création / développement du cabinet : Stratégie & Gouvernance des risques - Expertise SSI - Conformité réglementaire
ï§ Avant-vente (prospection, proposition commerciale, soutenance)
ï§ Management des collaborateurs et supervision des opérations (suivi d’activité COMEX/CODIR, plannings / charges)
ï§ Definition offre normes et règlementations (Sox, PCI DSS, LSF, Bâle II, Solvency II, Cobit, Coso, Ebios, Mehari)
ï§ Mise en place du Knowledge Management Groupe / Gestion de processus métiers (BPM, BAM, SOA)
ï§ Participation actives à des groupes de travail associatifs : AMRAE, IMDR, IFACI, Club Iso27001, Clusif.
Devoteam Consulting
2008 - 2010
Conseil en gestion de risques IT & Business
Consultant Senior en gestion de risques IT & Business (extrait de missions réalisées)
ï§ ENGIE (ex : GDF – Suez)
Plan d’Action stratégique Sécurité
ï§ Pilotage du Système de Management de la Sécurité de l’Information
ï§ Mise en place de la campagne de revue des risques métiers et évaluation des niveaux de conformité Groupe
ï§ Déploiement d’un programme de sensibilisation à la sécurité de l’information (création partenariat DCRI)
ï§ Spécification et déclinaison d’une démarche sécurité projet / Animation du comité sécurité SI Groupe
Maitrise des risques financiers associés à la gestion des habilitations
ï§ Identification des besoins du Contrôle Interne et du comité des risques
ï§ Formalisation des matrices d’incompatibilités métiers / Outillage du référentiel de gestion des habilitations (IAM)
ï§ Industrialisation et déploiement des processus pré-passage des Commissaires Aux Comptes
ï§ AIR LIQUIDE (R&D)
Protection du patrimoine informationnel
ï§ Définition du plan projet / validation de la démarche
ï§ Formalisation du corpus documentaire & déclinaison de la politique de sécurité
ï§ Études d’opportunités, réalisation du Cahier des Charges, dépouillement des RFP, sélection du partenaire
ï§ Communication, et mise en place d’outils de suivi / reporting à destination du top management - CODIR
Auditeur sécurité et expertise SI (extrait de missions réalisées) ï§ BANQUE DE FRANCE
Provadys Cabinet d’Audit et de sécurité des SI
2006 - 2008
Méthodologie Enterprise Risk Management (ERM)
ï§ Accompagnement de la MOA sur les projets pilotes à la mise en oeuvre de la méthodologie ERM
ï§ Production d’un guide méthodologique à destination des chefs de projet (appropriation de la méthode)
ï§ Traduction des exigences et mesures de sécurité (>800) issues de la BCE en conformité ISO 17799 Banque de France
ï§ Re-ventilation de l’échelle de criticité de la méthodologie ERM sur 5 niveaux
ï§ CHAMBRE DES NOTAIRES
Audit du Système d’Information
ï§ Campagne de revue des processus et des activités
ï§ Identification des vulnérabilités techniques et des déficiences organisationnelles
ï§ Préconisation et schéma directeur sécurité SI
ï§ Sécurisation de Système d’Information
ï§ Monoprix, AFP, Alma CG, Axa, Chambre des notaires de Paris, Crédit Municipal de Paris, Creanet, Financière Pinault, France Télévision, GIE Carte Bancaire, Kartz - Wargny, Orange, Symantec, Xiring.
Consultant Sécurité IT (extrait de missions réalisées)
INTRINsec Conseil en sécurité informatique
2002 - 2005
ï§ Sécurisation des SI d’environnements métiers grands comptes et administrations. Missions auprès des clients suivants : RFF, Ineum consulting, Medef, GTCP, Longchamps, Mauer, Veolia, Chambre de commerce et de l’industrie, OCP (Gehis), CIO sans frontières, Mairie de Versailles, Flammarion, Andra, IRSN, ANRU, I2F, Qualipac, OPS, Sagi, Hopital Saint Joseph, Ubifrance, MNRA, CG50, HRO, GFK, Sogeprom,, Texa, Skills, Upgrade, Etd, Brainsoft, Codilog, Helpline
ï§ Habilitation Confidentiel Défense dans le cadre d’une mission au Commissariat à l’Energie Atomique (CEA)
Associé fondateur « AE Partners » (extrait de missions réalisées)
âªCONFIDENTIEL - SECTEUR BANCAIRE
aujourd'hui
Gestion des risques et mise en conformité à la Loi de Programmation Militaire du SI de Sûreté
Habilitation Confidentiel Défense délivrée par la Direction Générale des Armées (DGA)
⪠Evaluation des risques IT des systèmes de sûreté
⪠Identification des exigences de sécurité applicables
⪠Mise en place des mesures de sécurité sur les SIIV du SI de Sûreté
⪠Accompagnement à l’homologation LPM et projets sécurité afférents (Cartographie, Indicateurs & TdB, Stratégie de
protection antivirale, stockage des données sensibles, maintien en condition de sécurité, durcissement des systèmes…)
Audit de conformité PCI DSS (cible PSAN/AMF)
âªBYKEP
aujourd'hui
⪠Analyse du niveau de conformité existant - Réalisation d’entretiens métiers et étude du référentiel documentaire
⪠Evaluation des écarts à la règlementation v3.2.1, formalisation du « Gap Analysis » sur les 12 thématique.
⪠Définition du plan de remédiation (priorisation, « victoires faciles », charges, coûts, délais)
Mise en conformité PCI DSS
âªCREDIT MUTEL - ARKEA / ARMONEY
aujourd'hui
Définition du cadre d’applicabilité et réduction du périmètre
⪠Etude référentiel sécurité en place / Entretiens métiers et identification des opportunités d’évolutions sécurité
⪠Matrice des niveaux de couverture (exigences règlementaires) / Propositions d’évolutions -par itération-
⪠Restitution de l’étude / planning de mise en conformité
⪠Accompagnement au déploiement de la règlementation / Maintien en Condition Opérationnelle
Expertise SSO et Fédération des Identités
aujourd'hui
ï§ Refonte architecture sécurité FSSO de la Direction des Infrastructures Service Financier et de l’Enseigne
ï§ Appel d’Offre européen visant à la sélection d’un produit pour le Groupe La Poste
ï§ Mise en oeuvre de la Fédération cible et migration des partenaires
Architecture Socle Technique de Contrôle d’Accès (STCA)
aujourd'hui
ï§ Sécurité de la chaine de liaison et du portail d’authentification des différents STCA métier
ï§ Conception sécurité des automates bancaires « Nabanco » en bureau de poste
ï§ Accompagnement sécurité des projets métier d’intégration au sein des STCA
ï§ Etude d’évolution d’architecture : authentification décentralisée, rationalisation des STCA
ï§ Contribution analyse de risque des projets
COMPETENCES
Gouvernance des risques liés à l’information
Indicateurs
Méthode et évaluation
Analyse / revue / cartographie
Plan de traitement des risques
Management de la sécurité
Organisation de la fonction sécurité
Schéma directeur
Gestion de la continuité d’activité / service
Implémentation SMSI / Evaluation de la maturité
Tableaux de bords, reporting
Optimisation coûts SSI
