CV/Mission Risques freelance

Résumé d'expériences d'Aminatou,
freelance RISQUES habitant les Yvelines (78)

- Pilote d𠆚udit : Suivi sécurité des applications web
GENERALI
octobre 2016 - décembre 2018
Comutitres
Contexte
LCL [Octo
- Assistante RSSI : Audit sécurité du SI des
prestataires
La direction SSI-DP de Comutitres a décidé de créer un service ISP dédié à l�ompagnement sécurité de
tous les projets de l𠆞ntreprise. L’objectif de ce service étant de s𠆚ssurer de la prise en compte de la sécurité de
la phase de conception des projets à la phase de mise en production.
Responsabilités
- Accompagnement sécurité projet de bout en bout (de la conception à la phase de RUN)
- Identification des besoins sécurité des projets
- Analyse RGPD
- Rédaction des PIA analyse d'impact sur la protection des données
- Analyse des risques des projets
- Prise en compte de l’utilisation de l’IA dans l𠆚nalyse de risques
- Identification des menaces et scénarios de risques
- Evaluation des risques et recommandation des mesures de sécurité
- Animation des ateliers d𠆚nalyse de risques avec les chefs de projet
- Communication des risques aux chefs de projet et métiers
- Suivi des plans d�tion de mise en place des mesures
- Contrôle/validation de la mise en place des mesures avant la mise en production
- En relation avec les services audit et SOC dans le cadre de l�ompagnement ISP
- Construction des plans d𠆚ssurance sécurité dans le cadre des projets d𠆞xternalisation (marché public)
- Analyse des plans d𠆚ssurance sécurité et évaluation du niveau de sécurité du prestataire
- Construction du process de validation des plans d𠆚ssurance sécurité
Livrables
– Dossier sécurité
– PIA projet
– Plan d𠆚ssurance sécurité
– Process d’élaboration et validation des annexes sécurité (Plan d𠆚ssurance sécurité et annexe RGPD)
dans les contrats d𠆞xternalisation

COVEA Assurance
aujourd'hui
Contexte
Dans le cadre de l𠆚mélioration du niveau de sécurité de son SI suite à la cyberattaque de 2020 et sa mise
en conformité OSE, Covéa a mis en place une équipe audit en charge de l𠆚udit de toutes les applications et
infrastructures du groupe et le suivi des remédiations.
Responsabilités
– Piloter les tests d’intrusion, audit de code et de configuration des applications MMA, MAAF et GMF
– Piloter les audits des applications classées OSE
– Contextualisation des vulnérabilité et validation des rapports d𠆚udit
– Suivi de la remédiation des vulnérabilités et accompagnement des chefs de projet
– Evaluation de la criticité des tiers et analyse des PAS
– Piloter les audits de PAS
– En relation avec les prestataires d𠆚udit, les chefs de projet, les éditeurs et le métier
Livrables
– Cadrage, lettre de mission et fiche d𠆚utorisation de test d’intrusion
– Protocole tripartite d𠆚udit de PAS
– Préparation des plans d�tion d𠆚udit
– Questionnaire d’évaluation de la criticité des tiers
– Rapport security score card
– Dossier d𠆚vis sécurité sur les tiers

Bolloré Transports et logistics
aujourd'hui
Contexte
L’équipe sécurité de Bolloré a mis en place une démarche ISP (Intégration de la sécurité dans les projets) afin
de prendre en compte la sécurité en amont des projets et réduire les surfaces d𠆚ttaques.
Responsabilités
- Validation des architectures
- Analyse de risques des projets sous Egerie
- Rédaction de la procedure des gestion des fournisseurs
- Evaluation sécurité des prestataires
- Suivi des plans d�tion de mise en place des mesures
- Animation des ateliers d𠆚nalyse de risques avec les chefs de projet
- Communication des risques aux métiers
- Réévaluation des risques suite à une évolution des solutions
- Mise en place d’indicateurs de suivi des projets analysés
Livrables
– Dossier d𠆚nalyse de risques des solutions sous Egerie
– Slides des comités de validation d𠆚rchitecture sécurisée
– Exemples des sujets traités : Application QHSE Avanteam, SICARBU achat d’un dépôt pétrolier,
Andsoft solution TMS de gestion du transport routier, OnBase MDM gestion des workflows , PLS
(prédict late shipment) outil de gestion des prévisions de retard de transport, etc.

BforBank
aujourd'hui
Contexte
Afin d𠆚méliorer la sécurité des systèmes cloud, l’équipe CISO/RPCA de la direction conformité et contrôle
permanent à mis en place une équipe de consultant en charge de réaliser toutes les analyses de risques des
projets cloud et le suivi des plans d�tion de remédiations des vulnérabilités.
Responsabilités
- Validation des questionnaires sécurité cloud complétés par les prestataires
- Presentation des solutions cloud pour validation aux comités cloud niveau groupe Crédit Agricole et en
interne chez BforBank
- Analyse de risques des solutions cloud
- Identification des menaces et scénarios de risques dans le cloud
- Evaluation des risques et recommandation des mesures de sécurité
- Suivi des plans d�tion de mise en place des mesures
- Animation des ateliers d𠆚nalyse de risques avec les chefs de projet
- Communication des risques résiduels aux métiers propriétaires du projet
- Réévaluation des risques suite à une évolution des solutions
Livrables
– Dossier d𠆚nalyse de risques des solutions Saas
– Slides des comités de validation cloud CRC et CVC
– Exemples des sujets traités : Outil RH Skillup, Gestion des consentements RGPD Didomi, Gestion
de la délégation de l𠆞nvoi de mail client à un tiers, Gestion des CTA « Call to action » sur le site
vitrine ********, etc

Société Générale
aujourd'hui
Contexte
Dans le cadre de la sécurisation de son parc applicatif, la Société Générale a mis en place un pôle audit
qui a pour mission l𠆚udit et le suivi de la remédiation des vulnérabilités des application de tous les
métiers transverses de la banque (Finance, Ressources humaines, Risques, Communication, Achat,
etc.).
Responsabilités
– Piloter les tests d’intrusion et audit de code des applications du groupe
– Suivi de la remédiation des vulnérabilités et accompagnement des chefs de projet
– Analyser des vulnérabilités et communiquer sur le niveau de sécurité des applications aux
responsables des centres de service informatique et les métiers
– En relation avec les prestataires d𠆚udit, les chefs de projet, les éditeurs et le métier
– Améliorer les outils de pilotage et élaborer le reporting des comités sécurité du groupe.
Livrables
– Tableau de bord de suivi des vulnérabilités (document Excel)
– Préparation des plans d�tion d𠆚udit (document Excel)
– Reporting mensuel sur le statut des vulnérabilités (document ppt

CA - GIP
aujourd'hui
Contexte
Dans sa stratégie d’intégration de la sécurité en amont des projets informatiques, CA-GIP a mis en
place un service risques dédié à l𠆚nalyse de risques des nouveaux projets avant toute mise en
production et la mise à jour des analyses de risques à chaque évolution des solutions.
Responsabilités
- Analyse de risques des environnements techniques de la production informatique du groupe
- Identification des menaces et scénarios de risques
- Evaluation des risques et recommandation des mesures de sécurité
- Suivi des plans d�tion de mise en place des mesures
- Animation des ateliers d𠆚nalyse de risques avec les chefs de projet
- Communication des risques aux métiers propriétaires du projet
- Réévaluation des risques suite à une évolution des solutions
Livrables
– Analyses de risques sur les nouvelles solutions et projets émergeants, mise à jour d𠆚nciennes
analyses et élaboration des nouvelles analyses dans le cadre de la LPM
– Exemples des sujets traités : Système d𠆞xploitation Unix/Linux, Authentification forte Ilex, Triskell
gestion de portefeuilles projet en mode Saas, API SECTIGO, CISCO Webex, etc.

LCL
aujourd'hui
contexte
Dans le cadre de la sécurisation de son SI, LCL a mis en place des scans de vulnérabilités applicatives et un
processus d𠆚udit test d’intrusion et audit des prestataires, afin d𠆚ssurer le suivi sécurité des applications web.
Responsabilités
- Réaliser les scans hebdomadaires de tous les sites web
- Piloter les tests d’intrusion et analyser les impacts des vulnérabilités
- En relation avec le métier et les hébergeurs
- Communiquer sur les vulnérabilités
- Suivre les plans de correction
- Alimenter les outils de pilotage de la sécurité du LCL
- Elaborer un tableau de bord de suivi sécurité des serveurs internes
Livrables
- Les tableaux de bord de suivi sécurité des sites web à jour pour fin 2017 et l𠆚nnée 2018 (document XLS)
- Correction des vulnérabilités critiques 4 et 5
- Tableau de bord réalisé (XLS)
- Réduction des vulnérabilités critiques sur les serveurs internes
- Elaborer les feuilles de route du PSI 2018 et réaliser les tests

GENERALI
aujourd'hui
contexte
Afin d𠆚méliorer la sécurité de son SI, Generali a décidé de mettre en place une stratégie d’évaluation de la
sécurité du SI de ses prestataires.
Responsabilités
- Elaboration de la stratégie d𠆚udit
- Création des indicateurs de suivi des audits
- Analyse de risques EBIOS des prestations
- Rédaction d’un document qui résume la méthode analyse de risques EBIOS
- Elaborer les tableaux de bord de suivi de la sécurité du SI et des réplications des données à caractère
personnel
- Réaliser les scans de vulnérabilités des applications web avec Webinspect
- En relation avec les responsables tech...