Contribution aux projets en cours, contrôle des livrables projets (IAM, SIEM)
Elaboration de questionnaires, collecte et présentation de l'état du marché
Animation et rédaction des livrables Stratégie IAM
o Document d'Exigences Sécurité Groupe
o Présentation au management
o Note d'aide à la décision
o Matrice de cas d'usages des nouvelles directives
Conduite d'entretiens, Directives de sécurité, Expertise IAM.
IDRES - Gestion des traces et supervision des évènements de sécurité
o Pilotage du projet pilote supervision sécurité (MOA)
o Participation à la rédaction de la politique générale des traces
o Suivi des prestations sous-traitées
o Formalisation de la méthodologie d'expression des besoins métiers
Animation et rédaction des expressions de besoins métiers au regard des risques recensés
Convergence des 2 outils de gestion des identités et des habilitations existants
o Pilotage de l'avant-projet de refonte IAM
o Suivi et validation des documents MOA
Conduite de projet, expertise IAM, directives de sécurité, supervision sécurité, management d’équipe (10 personnes).
AG2R La Mondiale (Paris, 75) Août 2010 à juin 2011
Chef de projet MOA auprès du RSSI : Mercury – IAM Gestion des identités et des habilitations, annuaire Pages Blanches :
Chantier 1
o Conduite de projet, planning du projet (suivi), planning des activités MOA, suivi des interactions
o Synthèse des rôles et responsabilités
o Tableau de suivi des risques, suivi hebdomadaire des points clés du projet
o Animation et comptes rendus (comité projet et comité de pilotage)
Chantier 2
o Maîtrise d’ouvrage déléguée
o Spécifications fonctionnelles (ajout, mises à jour, rédaction, validation)
o Animation et comptes rendus des workshops fonctionnels
o Suivi du budget 2010, plan projet détaillé 2011, plan projet estimatif 2012
o Suivi des études fonctionnelles
o Dossier d’aide à la décision
Chantier 3
o Cahier de recette, jeux de données de tests et livraison
o Planning des recettes fonctionnelles, suivi de l’intégration et recette fonctionnelle
Mise à jour des indicateurs de suivi, synthèse des recettes
Chantier 4
o Conduite du changement
o Plan de communication, plan de formation
o Impacts sur l'organisation
Formations Internes à la démarche IAM selon la méthodologie d'ATHEOS
Présentation des solutions du marché (CyberArk, SailPoint, ITIM, etc.)
Avant-vente, réponses à appel d'offres
Workshops sur la Gouvernance des Identités par le risque- Conduite de projet
Pilote du Plan de Maîtrise Socle Sécurité S.I. auprès du RSSI :
Audit de sécurité des 27 applications du domaine Régime Obligatoire (ISO 27001/27002)
Elaboration de la procédure de revue des comptes d’accès au Système d’Information
Mise en place d'un référentiel des accès (Applications, profils et rôles métiers)
Formalisation du dispositif de gestion et de contrôle des accès au Système d’Information
Extraction, formalisation et accompagnement à la validation d’une première revue des comptes d’accès applicatifs (14000 comptes)
Elaboration de la procédure cadre de sécurité physique
Restitution des indicateurs et des moyens de maîtrise relatifs à la sécurité du S.I.
Pilotage d’un projet de développement d’un entrepôt de données dédié aux indicateurs PMS métiers
Elaboration d’une matrice des risques S.I. (ISO 27005) selon les processus Cobit v4.1
Mise en place de la gestion des identités et des habilitations SI :
Définition des niveaux de confidentialité de classification des informations
Mise en place d’un référentiel unique des Ressources Humaines
Formalisation de la procédure de gestion des identités
Modélisation de l’organisation Métiers
Formalisation de la procédure de gestion des habilitations
Définition de l’outillage supportant l’organisation retenue (cahier des charges et maquettage)
Garant de la sécurité et de la confidentialité des informations
Représentation d’UBS France au sein UBS WMI Risk Management & Control (Zurich)
Evaluation de la conformité Sarbanes-Oxley
Définition et mise en place de processus (ITIL, ISO14001)
Définition et évaluation des risques (projets, Change the Bank, Run the Bank - ISO2700x)
Définition et réalisation/validation de contrôles périodiques
Mise en place et suivi des actions de corrections opérationnelles
Gestion d’un projet de gestion des accès corrélés aux mouvements de personnels
Sensibilisation à la sécurité (entretien avec les nouveaux employés, campagnes de communication)
Coordination et enquête sur incidents de sécurité
BCP manager :
Mise en place contractuelle avec les tiers
Mise en place organisationnelle et technique d’une solution de continuité d’activité (site de secours, site de repli)
Pilotage des procédures métiers
Refonte de la cellule de crise
Coordination des tests techniques et métiers
Evaluation de la mise en conformité opérée en 2005 pour la branche (description des contrôles et tests d’efficacité)
Redéfinition de la matrice risque/contrôle ITGC (RCM modèle COSO) – Chantier Groupe
Fourniture d’un modèle de description de processus (modèle groupe pour Sarbanes-Oxley)
Identification des contrôles clés/non clés
Participation au chantier ELC (Entity Level Controls)
Revue des descriptions de contrôles mis en place (SOX phase I)
Réalisation des tests d’efficacité (SOX phase II)
Accompagnement des auditeurs externes (2 commissariats aux comptes)
Qualification des déficiences et roll-forward
Mise en place et suivi des actions de remédiations opérationnelles (équipes centrales DSI et raffineries France et Allemagne) pour les processus ITGC (Access to Program and Data, Program Changes, Program Development, Computer Operations)
Cadrage méthodologique 2007 (plan de communication, normalisation des contrôles et tests d’efficacité, industrialisation, planification prévisionnelle)
Préparation des audits externes de sécurité et Sarbanes Oxley / SAS70
Revue et mise en place des process (transition et delivery)
Responsable projet (avant-vente et mise en œuvre)
Suivi contractuel
Prise en charge de la définition du besoin à l’exploitation des différents SI intégrés : infrastructure physique, réseau, sécurité, système, base de données, application, supervision, exploitabilité, servitudes de sauvegarde, reporting
Mise en place de services transverses tels que sauvegarde mutualisée inter-sites