Freelance EBIOS : Distinguez les savoir-faire qui vous manquent

Exemple des emplois d'Alain,
freelance EBIOS résidant dans le Val-de-Marne (94)

• Direction Risques IT Rôle : Fonction CISO / Head of Cloud Cybersecurity Risks Governance (Mission Freelance)

  CAGIP –Crédit Agricole – Guyancourt
  Jan 2024 - aujourd'hui

  Sécurisation Plateforme Cloud d'infrastructure du Groupe Crédit Agricole - Mngt d’équipe transverse
  
  Program Manager :
  - Animer le Comité de Sécurité Opérationnel (Comité Risks IT, Sécurité PCA, …)
  - Analyser les besoins métiers / Mesurer les impacts du passage à une architecture Cloud (ISO27017)
  - Piloter les projets de transformation (définition, construction solutions Cloud et infrastructure choisies …)
  - Contribuer à l’optimisation des processus liés à la gouvernance des risques et des contrôles IT, Cloud
  - Contribuer à la mise en œuvre du cadre règlementaire (interne/externe, politiques de sécurité, normes, standards)
  - Garantir la bonne mise en œuvre opérationnelle de la sécurité dans les projets France, International (DICT)
  - Mise en œuvre de campagne de sensibilisation des collaborateurs à la sécurité (klaxon)
  - Produire, suivre les progrès via des KPI prédéfinis et mettre à jour un tableau de bord hebdomadaire.
  
  Gouvernance :
  - Référent Cloud (organiser/animer les Comité Cloud CAGIP, assurer la conformité, juridique, les achats…)
  - Contribuer à la règlementation DORA cible LoD1 (déploiement résilience opérationnelle, renforcer la responsabilité
  des risques liés aux TIC, optimisation des processus liés et des risques et des contrôles TIC …)
  - Contribuer à la règlementation NIS2 (traitement des incidents, gestion des risques, sécurité de la chaîne
  d’approvisionnement, chiffrement divulgation des vulnérabilités …)
  - Contribuer au choix du nouveau framework d’analyse de risque (MESARI v2)
  - Accompagner les différentes Directions du Groupe (Socles, Clusters Métiers, et Fonctions Transverses)
  - Instruire les risques liés aux projets auprès des Cloud Providers Publics (Azure, AWS, GCP, OVH …)
  - Accompagner les prescripteurs dans la rédaction des (Annexes Sécurité, PAS associés aux contrats d’achats
  d’offres Iaas/PaaS ou SaaS) / Note d'instruction / Note de cadrage /Spécifications fonctionnelles et techniques
  
  Analyse de Risques / Audit / Conformité :
  - Faire respecter les Patterns de sécurité Cloud Groupe / Contribuer à la sécurisation Secure By Design
  - Piloter les analyses de risques, les audits SSI MESARI (EBios RM+Mehari), Réf ANSSI - ISO27005 /1
  - Veiller aux recommandations règlementaires : ANSSI, RGPD, LPM, PCI-DSS, ISO 27001, DORA, NIS2…
  - Veiller aux risques de sécurité des solutions Cloud (Sécurité de la donnée, des risques liées à la géographie du
  stockage, aux lois et règlements nationaux ou internationaux, problématique réservibilité, chifrrement données …)
  - Accompagner les architectes sur les aspects sécurité (authentification,chiffrement, sécurité des flux, etc.)

  Environnement technique : Cloud (Azure, GCP et AWS), SOC, DLP, RGPD Compliance, Data Classification, IAM , Vault, BYOD…

• Rôle : IT Senior Risk Information & Security (Mission Freelance)

  RATP Group – Noisy-Le-Grand Régie Autonome des Transports Parisiens (DSI)
  Jan 2022 - Jan 2023

  Programme de sécurisation, sûreté, et conformité IT Cloud & CCTV (LPM, RGPD, LOM) - Mngt d’équipe (20 p)
  
  Program Manager :
  - Animer les phases conception technique, fonctionnelle / Suivre les phases de déploiement et mise en production
  - Gérer la documentation projet / Piloter les différentes parties prenantes du projet
  - Piloter les Implémentations, optimisation des procédures (CCTV vidéosurveillance, contrôle d’accès, SSI…)
  - Assistance à l’homologation du SI sensibles (expertise d’intégration des normes de sécurité Groupe)
  - Évaluation des politiques, procédures de sécurité / Réalisation de revues documentaires, collecte de preuves
  
  Gouvernance :
  - Évaluer les politiques de sécurité ISO27001/27construits chez les providers Cloud (AWS, Azure et GCP)
  - Accompagner les prescripteurs dans la rédaction (Annexes Sécurité, PAS) / Vérifier la conformité et registre RGPD
  
  Audit / Remédiation:
  - Conseiller l’utilisation des briques de sécurité existantes / Appliquer les consignes RGPD en lien avec le SI
  - Définir les critères de sécurisation d’architecture SI / Suivi des remédiations, dérogations et vulnérabilités
  
  Conformité / Analyse de Risques :
  - Faire respecter les patterns de sécurité IT, Cloud / Contribuer à la sécurisation Secure By Design
  - Réaliser les analyse de risques, d’impact CCTV (EBios RM), Réf ANSSI, LOM, LPM - ISO27005, ISO27017)
  - Piloter les audits SSI (Pentests, sécurité organisationnels, techniques, architecture informatique ...)
  - Piloter le déploiement (Liaison filaire, réseau fédérateur, caméras, contrôles d’accès, swtichs)

  Environnement technique : Cisco, Cloud, ISO 27001-05, Nessus

• Rôle : Fonction CISO / Senior Operational Risk Manager (Mission Freelance)

  La Poste / Pickup Services – St-Ouen Livraison / e-Commerce - DSI
  Jan 2021 - Jan 2021

  Pilotage – Evaluation sécurité projet et Groupe - Agilité (DevSecOps) - Mngt d’équipe (30 p)
  
  Gouvernance :
  - Analyser les besoins métiers / Mesurer les impacts du passage à une architecture Cloud (ISO27017)
  - Définir le Target Operating Model (établissement de la feuille de route cyber Groupec…)
  - Revue de la maturité, maîtrise des risques sécurité SI (organisation, politiques, processus, PSSI)
  - Piloter, contrôler la mise en œuvre des politiques de sécurité / Suivi dérogations et des non-conformités sécurité
  - S’assurer de la bonne intégration de la sécurité dans le cycle de vie des projets (Security by Design)
  - Animer le processus d’amélioration continue de la sécurité SI en collaboration (Direction SI et Métiers)
  
  Audit / Remédiation / Conformité / Risques :
  - Accompagner la définition et la construction des solutions Cloud choisies (Cloud, IAM, DLP, SOC...)
  - Réaliser Analyse de risques (EBios RM, ANSSI, ISO27001, Security & Risk Assessement, Privacy By Design…)
  - Assister à la mise en conformité au RGPD (état des lieux des traitements, identification et analyse des écarts, plan
  d'actions, assistance à la mise en oeuvre...) / Cyber-résilience SSI et poste de travail
  - Revue de la conformité au RGPD (audit du projet, mise à l'épreuve des procédures, audit de sous-traitants...),
  - Animer les ateliers d’architecture (Azure AD, Office 365, cloud, PDA, Framework Androïd…)
  - Elaborer, pilotage des programmes de sécurisation de l'entreprise (Cloud, IAM, DLP, SOC/ Netwrix...)
  
  Sécurité Opérationnelle :
  - Organiser les audits, tests d'intrusion (applications métiers, web, infrastructures réseau, objets connectés IoT…)
  - Organiser les audits de code, revues de configuration et d'architecture (Sonarcube, Owasp Zap)
  - Participer à l’analyses forensique suite à des soupçons d'intrusion et incidents de sécurité
  - Assister à la gestion des incidents cyber / Réaliser campagnes de sensibilisation phishing et de social engineering.
  
  Migration projet Cloud / POC :
  - Réaliser le cadrage projet (Contexte, ROI/Budget/FinOps/Life Cycle Management, définition gouvernance,
  appréciation des risques, sécuité/vunérabilités, choix prestataires, cadre juridique/PAS/RGPD, Build/Run/Out …)
  - S’assurer des bonnes pratiques (Sizing, décommissionnements, back up, cycle de vie données…)

  Environnement technique : SaaS, VMware, Cisco, Cloud, ISO 27001-05, Netwrix/SIEM, Qualys, Nessus, Sonarcube, Owasp Zap, DevSecOps

• Rôle : Senior Security Risk Analysis (Mission Freelance)

  NAVAL Group – Brest Industrie Navale - DSI SEC
  Jan 2019 - Jan 2021

  Référent Sécurité - Pilotage projet International Systèmes Embarqués - Mngt d’équipe (30 p)
  
  Gouvernance:
  - Assurer l’évaluation permanente des risques / Piloter la gestion des KPI , reporting auprès de la Direction Générale
  - S’assurer de la mise en œuvre des plans de correction des failles détectées lors des tests de sécurité
  - Etablir, tenir à jour une cartographie des risques (Répertorier, classifier les données sensibles opérationnelles …)
  - Conseiller, alerter la Direction Générale desproblématiques sécurité SI (Tableau de bord),
  - S’assurer du respect de la PSSI / Rédiger les FAR de chaque projet (Fiche d'Acceptation des Risques)
  - Assurer la coordination des activités de veille sécuritaire du SI / Cyber-résilience SSI et poste de travail
  
  Conformité / Analyse de Risques :
  - Mesurer la conformité HP ALM (Gestion anomalies, risques résiduels, dérogations, conformité…)
  - Réaliser les analyses de risques (EBios RM, Réf ANSSI, ISO27005/1, RGPD, LPM)
  - Suivi des vulnérabilités, les évolutions réglementaires et techniques dans le domaine de la sécurité informatique,
  - Participer à la mise en œuvre des procédures de remontée des incidents / Gestion des vulnérabilités (Qualys)
  - Identifier les failles logicielles (SAST,DAST, IAST) / Revue de code applicative (Owasp ZAP)
  - Définir les critères d’exigence Security Gates / Cloud (Projet, Dev, Test, UAT, QUA, PROD, Docker deploy …)
  - Contribuer à la sécurisation Secure By Design (DevSecOps (Plan, Code, Build, Test)
  - Assurer l’information, la sensibilisation et la formation des directions à la sécurité des SI
  
  Sécurité Opérationnelle :
  - Piloter la mise en conformité (Fws, IPS, IDS) / Pilotage d’outils SOC (SOAR, sondes…)
  - Contribuer à la revue des comptes, conformité des habilitations, alertes de sécurité

  Environnement technique : VMware, Cisco, Fortinet, Cloud, ISO 27001 & 27005, Owasp

• Rôle : Fonction CISO / IT Continuity Risk Officer (Mission Freelance)

  BNPPARIBAS - Montreuil Banque - IRB (International Retail Banking)
  Jan 2018 - Jan 2019

  Pilotage - PCA/PRA/Cloud 13...