Freelance Qualys : Distinguez les savoir-faire qui vous manquent

Résumé des missions de Karim,
freelance QUALYS résidant dans Paris (75)

Rôle : Expert Technique Senior / Adjoint / Expert Qualys - Direction Sécurité des Systèmes
BPCE IT
5/2023 -
DSS systèmes intervient sur l’ensemble des éléments de l’infrastructure afin de contrôler et organiser les remédiations des vulnérabilités et durcissement des configurations des équipements.

Enjeux : Dans le cadre de la fusion des SI entre BPCE-IT et Natixis, nous devions mettre en conformité les nouveaux assets intégrés.

Actions réalisées :
 Identification des assets (50k srv / 90k wks)
 Intégrations des assets dans la CMDB
 Identification des responsables
 Déploiement de la solution QUALYS sur le nouveau périmètre(Agent, Appliance, proxy,sensor,..)
 Résolution des problèmes de déploiements (réseaux, accès, déploiements)
 Automatisation des vagues de scannes QUALYS ( interne/externe)
 Collecte et consolidation des vulnérabilités et niveaux de hardening par entité, responsable
 Intégration dans les outils de patche management.
 Contrôle des masters et des outils de provisonning
 Gestion des vulnérabilités transverses
 Accompagnement des équipes systèmes/applicatives/métiers
 Création Dashboard spécifiques hardening et vulnérabilités
 Mise en place de « Task force »
 Suivi de la réductions du nombre de vulnérabilités
Management :
 Revue des process interne
 Définition du RACI
 MEP de meeting de Suivi/coordination
 Gestion de crises
 Réponses aux audits.
 Veille règlementaires (DORA,NIST,..)
 Intégration de la sécurité dans les projets
 Programme de formation des équipes

Facteurs de réussites :
 Organisation
 Planification
 Communication
Environnement technique : ensemble de l’infrastructure.
Outils et Méthodologie projets : QUALYS, Splunk , Suite O365,. ServiceNow, confluence

Rôle : Expert Technique - Direction Sécurité des Systèmes
NATIXIS CIB AMERICA – NEW YORK
11/2022 - 4/2023
Enjeux : Mise en conformité des process et des systèmes suite à un audit.
Actions réalisées :
 Revue et corrections des inventaires des assets
 Revue et corrections des scannes de vulnérabilités
 Revue des process interne
 Formation des collaborateurs
 Création Dashboard spécifiques
 Création du plan d’action et définition du RACI
 Mise en place de meeting de coordination
 Gestion de crises
 Réductions du nombre de vulnérabilités
 Réponse aux audits.
Management :
 Organisation ,Coordination et formation des équipes AMER aux process NATIXIS
 SPOC
 Suivi avec les Directions FR et US
Facteurs de réussites :
 Gestion du stress
 Communication
Environnement technique : ensemble de l’infrastructure.
Outils et Méthodologie projets : QUALYS, Splunk, Suite O365, ServiceNow,..

Rôle : Expert Technique Hardening - Direction Sécurité des Systèmes
NATIXIS – 94
3/2020 - 10/2022
DSS systèmes intervient sur l’ensemble des éléments de l’infrastructure afin de contrôler et organiser les remédiations des vulnérabilités et durcissement des configurations des équipements de NATIXIS .
Enjeux : Mettre en place un programme de « Hardening » et « Baselining ».
Actions réalisées :
 Définition de Process Hardening
 Déploiement et configuration du module PC de la solution Qualys pour la collecte.
 Inventaire et consolidations des niveaux de Hardening des assets (SRV,WKS,DB,DC…)
 Analyses des contrôles (Eligibilité dans le contexte NATIXIS)
 Coordination avec les équipes Systèmes
 Présentation du plan d’action à la direction
 Planification et coordination des actions de hardening et redressement
 Historisation des données et fournitures de KPI
 Création de dashboard pour équipes responsable pour le Baselining.
 Animation du comité mensuel
 Mise en place de la revue annuelle (Amélioration continue)
 Fournir de Masters conforme aux standards
 Création et revue de la politique de Hardening
 Création de workflows Hardening ServiceNow
 Mise en place de l’envoi des niveaux de durcissement dans la CMDB
 Réponse aux audits.
Vulnérabilité :
 Veille ( OCD, CERT..)
 Suivi des vulnérabilités, reporting et gestion des actions de remédiations
 Suivi du Patch management
 Coordination des actions de corrections avec les équipes responsables
 Planification et coordination des actions correctives.
Management :
 Intégration, Suivi et formation des nouveaux collaborateurs
 MEP et maintien des procédures (RUN)
 Automatisation des taches
 Organisation et Coordination de l’équipe
 Définition et suivi de la roadmap
 Fourniture des indicateurs
 Réponses aux audits interne/externe
 Référent interne et externe
Facteurs de réussites :
 Capacité à consolider les informations collectées
 Connaissances techniques
 Visibilité sur le Projet.
 Respect des délais et des budgets
Environnement technique : Windows, Linux, SGBD, Cloud Privé/Public/Azure, Service Web,
Outils et Méthodologie projets : QUALYS, Splunk, Suite O365, ServiceNow…

Rôle : Chef de projet - infrastructures systèmes et Sécurité (S&D French Market)
AXA GROUPE OPERATION FRANCE - PARIS
2/2018 - 2/2020
La division « French Market » est l’interlocuteur unique des entités du groupe AXA pour la région SUD EUROPE. Mon rôle est de répondre aux besoins en infrastructure et sécurité des OPCOS ( Entités du groupe).
Enjeux : Prise de charge des demandes de l’identification à la période de garantie.
Qualification du(des) besoin(s), chiffrage, définition du plan pour l’intégration dans l’infrastructure groupe en respectant les process et les standards de sécurité, des Budgets et des délais.

Projets réalisés :
Infrastructure :
 Reprise du déploiement d’une solution Groupe de gestion des factures (17 Pays)
 Upgrade de solutions Métiers ITESOFT, CODA, POPPULO..
 Séparation d’une entité AXA LE vers ARCHITAS
 Création d’une nouvelle entité AXA NEXT
 Migration de solutions vers le Cloud Privé/Azure
 Déploiement de serveurs (Core-IT,Cloud Privé ou Public, Saas, PaaS, IaaS)
 Décommissionnement d’infrastructures (CITRIX, EXCHANGE)
 Déménagement de Site (collines de l’arche vers Java-Pont Cardinet)
Sécurité :
 MTSB - Durcissement des configurations pour 5 Entités GIE, ALM, ALE, AGRE et AGS
Actions menées sur les OS, Domain Controller, IIS, APACHE, SQL, Oracle…
 Renforcement de la Password Policy
 Patch Management : Corrections des sévérités 4 et 5
 Revue des Assets afin de confirmer le périmètre du GIE
 Participation ISMS
 Participation ISO 27001 (référent Infra)
 Déploiement de la classification des données (AIP, AIP scanner,)
 Renforcement des Politiques PROXY (On Prem, CLOUD)
 Correction des failles détectées lors des Pentests
 Participation à l’amélioration des process et des outils QUALYS, CAS..
 Revue des Gestion des accés (IAM ,PAM) CyberArK , ArcSight

Facteurs de réussites :
 Capacité à consolider les informations collectées
 Connaissances techniques
 Visibilité sur le Projet.
 Respect des délais et des budgets
Environnement technique : Windows, Linux, Oracle, SQL, Cloud Privé/Public/Azure, AXWAY, , CyberArk, AzureAD,

Outils et Méthodologie projets : Power BI, Excel, MS Project, SharePoint, ITIL. ServiceNow, Fireflow, Perform, Confluence

Rôle : Responsable du pôle Infrastructure et Solutions
ILYEUM (PARIS)
10/2016 - 1/2018
Enjeux : Création d’une BU Infrastructure pour répondre aux besoins de ses clients

Mission :
 Création du pôle « infrastructure et Solutions »
 Recrutement des collaborateurs
 Gestion de la relation avec les partenaires et les clients
 Développement des partenariats éditeurs
 Réponses aux appels d’offres
 Définition des architectures Cibles
 Gestion de projet
 Validation technique d’architecture
Projets réalisés :
 Etude , cadrage et déploiement d’une solution de Service Management en mode MSP
 Mise en place d’un portail SIRH
 Migration d’une infrastructure sur AZURE et O365
Facteurs de réussite :
 Plan d’action clair
 Formation
 Support
Environnement technique : AS400, Unix, Windows, MSSQL, PostGres, Azure, AD,
Outils et Méthodologie projets : SDP, Excel, MS Project, ITIL

Rôle : Responsable de la Sécurité des systèmes
SWISSLIFE BANQUE PRIVEE
4/2014 - 9/2016
Enjeux : Au sein de l’équipe infrastructure, dans le cadre de la mise en place d’une nouvelle solution de Core-Banking, SLBP a dû refondre toutes les briques du SI et apporter des réponses sur les sujets d’infrastructure, production et sécurité dans le cadre de la migration.

Mission :
 Fusion du SI de SLGP/SLBP
 Audit des évènements de sécurité
 Centralisation des logs de sécurité
 Délégation des droits d’administration
 Revue des profils métiers
 Audit des vulnérabilités
 Patch Management
 Revue des Process (Service Management)
 Monitoring systèmes et applicatif
 Réorganisation du pôle exploitation et support
Facteurs de réussite :
 Proximité
 Disponibilité
 Efficience des solutions
 Capacité à industrialiser
Environnement technique : AIX, Windows, Oracle, SWIFT, $U, Axway, SQL
Outils et Méthodologie projets : Excel, MS Project, ITIL

Rôle : Chef de projet infrastructures systèmes et Sécurité
EULER HERMES – EH TECH (LA DEFENSE)
4/2012 - 3/2014
Enjeux : Assurer la disponibilité du parc serveurs Windows (1800 serveurs), évaluer, définir et mettre en œuvre les solutions.

Mission :
...