Freelance Sarbanes-Oxley : Trouvez les savoir-faire que vous recherchez

Exemple des missions de Sébastien,
freelance SARBANES-OXLEY habitant les Yvelines (78)

Expérience professionnelle

Depuis 2022: KLESIA
Directeur adjoint de la Cybersécurité et de la Protection des données
 Equipe de 15 internes. 4 m€ de budget de financement. Mise en place de 7 Offres de services :
Protection des données, Résilience IT, Détection / Surveillance / Réponse aux incidents, Accès/
Habilitation / Authentification, Sécurité des applications, Sécurité des infrastructures, Gouvernance SSI
 Pilotage de 2 programmes : un sur la cybersécurité, un sur la mise en conformité RGPD
 Gestion de l’activité, Animation des points d’équipe, gestion du budget et des recrutements
 Exemple de réalisation :
► Définition de la stratégie 2025-2028 avec un système de maturité basé sur l’ISO27002 et 27701
► Définition et mise en œuvre des politiques et des procédures (3à procédures, environ 100 contrôles)
► Mise en œuvre du dispositif d’intégration de cybersécurité et de la protection des données dans les
projets. Mise en place d’une communauté de « Champion de la sécurité » dans les différents
départements de la Direction informatique. Elargissement du dispositif à de nouveaux enjeux
réglementaires comme l’IA Act, DORA ou la Qualité des données
► Refonte du dispositif de risques et de contrôles IT et Cybersécurité
► Mise en œuvre d’une stratégie de protection des données incluant l’identification, la classification, la
protection, l’anonymisation et l’effacement des données
► Remplacement de l’outil IAG pour mettre en place des connecteurs, des profils standards plus
adaptés et la SoD
► Définition et allocation des attributs de sécurité aux 200 applications de Klesia. Alignement avec les
BIA. Définition en cours d’une stratégie de Cyber-résilience, en lien avec les exigences DORA

2019-2022: BNP Paribas
En charge du programme de refonte des dispositifs Risques IT et de cybersécurité, IT Risk
Management Group (ITRMG)
 Définition de la stratégie à 5 ans. Equipe de 20 personnes réparties en Europe et en Inde
 En charge de la mise en place ou adaptation de la méthodologie, de l’uniformisation des processus et de
leur automatisation (via Service Now IRM & Secops) des aspects
o Gestion des risques IT, basé sur EBIOS (Mode projet et Patrimoine, Risque Shadow-Light IT,
o Risque Cloud, gestion des risques tiers IT, Indicateurs de risque),
o Sécurité des SI (évaluation NIST, Security and privacy by design, gestion du cycle de vie des
vulnérabilités, Investigation et réponse aux incidents SSI, processus de dérogation aux
exigences SSI, …)
o Gestion de la continuité IT (Résilience IT, classification des actifs)
o Gestion du contrôle permanent IT (LOD1/LOD2/règlementaire)
 Mise en cohérence du dispositive avec les autres directions régaliennes : Sécurité opérationnelle,
Risques opérationnels, Protection des données, Continuité d’activité, …
 Alignement avec le programme de gestion des services IT (terminologie et processus de gestion des
incidents, problèmes, changements) utilisant une CMDB commune dans la même instance Service Now
 Prise en compte des recommandations de la BCE

2013- 2018: EY
Associate Partner, Centre de compétence Cyber et GRC pour l’Europe, le Moyen orient, l’Inde &
l’Afrique
 Support des bureaux locaux pour le développement des activités Cyber et GRC
 Responsable des offres Gouvernance, Risque et Conformité pour la France
 En charge de l’alliance stratégique avec RSA pour EMEIA
Exemples de mission
► Groupe BPCE : Automatisation des processus de sécurité et risques IT (CMDB consolidé, Gestion des
vulnérabilités, gestion des incidents majeurs IT à reporter à la BCE, Politiques et procédures, …)
► BPCE Infrastructure & Technologie : Programme d’alignement des référentiels et processus,
automatisation des risques opérationnels (risques et contrôle, BIA), de la gouvernance de la sécurité
► Natixis : Alignement et automatisation des plans de continuité, de gestion de crise. Amélioration des
processus de Politiques et procédures IT, risques IT, Contrôle permanents LOD1 IT
► Markit : Mise en conformité Sarbanes-Oxley dans le cadre d’un IPO
► Qatar State Audit Bureau : Mise en œuvre d’une démarche d’audit et de gestion de risques pour le
gouvernement Qatari (Ministère et 200 plus grosses entreprises du pays)
► RTL Luxembourg : Design et déploiement d’ISO 27005
► Savola (Arabie Saoudite): Mise en œuvre et automatisation de la gestion des risques

2006-2013: Logica Business Consulting
Associé en charge de l’offre « Gestion des risques »
 Création d’une équipe qui était de 45 consultants en 2013
 Gouvernance des risques (Alignement des 3 lignes de défense), définition de trajectoire, de sa mise en
œuvre et de son automatisation
Exemples de mission :
► BNP Paribas : RCSA et contrôle permanents (Mercator, LOD2)
► BNP Paribas : Automatisation du fonctionnement de l’Inspection Générale
► Société Générale Corporate & Investment Banking : Alignement et automatisation des processus de
risques et contrôle permanents IT
► Attijariwafa Bank : Alignement et automatisation des processus de risques et contrôle permanents
► La Banque Postale : Revue de leur dispositif de contrôle permanents LOD2
► Covea : Alignement et automatisation des processus de risques, contrôles permanents et d’audit
► Humanis : Alignement et automatisation des processus de risques, contrôle permanents, d’audit et de
qualité
► ONP : Définition et automatisation des contrôles Paie et IT
► TOTAL : Mise en conformité à Sarbanes-Oxley sur l’IT, Négociation et validation du cadre de contrôle
avec les CAC, revue des principaux contrats de sous-traitant de services IT sur les aspects ISAE 3402
► Altice, Renault, TOTAL Raffinage & Marketing, TOTAL Pétrochimie, L’Oréal, Areva, Veolia, Thomson, …:
déploiement des processus de gestion des accès sous SAP GRC Access Control
► Sanofi : Mise en conformité à Sarbanes-Oxley sur l’IT pour le centre de compétences SAP et les
applications corporate

2001 – 2005 ACCOR
Auditeur sénior
Exemples de mission
► Accor Services Brésil, Turquie, Chine, Suède : revue des processus Carte restaurant
► Audit des Fonctions IT pour les activités hôtelières, Agence de voyage, casino, Ticket Restaurant
► Audit de projets IT

1999 - 2001 ARTHUR ANDERSEN
Risk Consulting, Consultant
Exemples de mission : Revue des applications dans le cadre de mandat CAC, Audit IT dans le cadre de
Fusions/Acquisitions, Cadrage à la mise en place d’ERP