Freelance SÉCURITÉ : Distinguez les compétences qui vous manquent

Résumé des missions de Pascal,
freelance SÉCURITÉ résidant dans les Yvelines (78)

• RSSI Projet pour le compte d’Arval
  Jan 2020 - aujourd'hui

  Accompagnement du portefeuille projet groupe Arval : Expression de besoin de sécurité métier, valorisation sécurité et continuité des assets IT, conformité et sélection des exigences applicables, suivi sécurité des portefeuilles projet ; Pilotage de la conformité et suivi des remédiations.
  Accompagnement de diverses startups

• Jan 2019 - Jan 2020

  À la suite de l’entrée en vigueur du RGPD, des startups se voient confrontées à des problématiques de gestion de leur sécurité. Particulièrement en contexte B2B, elles sont amenées à s’impliquer dans des plans d’assurance sécurité exigés par leur client, à se rendre auditable, à monter en compétence dans la gestion du risque cyber. Depuis l’été 2019, j’ai développé une offre allant dans ce sens. L’objectif est de rapidement leur permettre d’évoluer dans la gestion de leur sécurité afin de répondre aux besoins de leurs clients tout en restant compatible avec leurs contraintes opérationnelles et leur culture.

• Directeur Sécurité des Systèmes d’Information Groupe

  IPSEN Pharma
  Jan 2018 - Jan 2019

  Contexte stratégique :
  Ipsen est un groupe biopharmaceutique particulièrement innovant dans les domaines de l’oncologie, des neurosciences et des maladies rares. Le groupe est coté à l’Euronext depuis 2005. Actif dans 100 pays, il emploie plus de 5000 personnes et réalise un chiffre d’affaire de l’ordre de 2 milliards d’euros.
  Ipsen est actuellement amené à restructurer ses activités liées à l’I.T. Par le passé, la fonction SSI était portée par différents directeurs de la DSI. Au départ de la précédente CIO à la fin du 1er semestre 2018, un poste de CISO a été créé afin de remettre à plat la sécurité de l’information de l’entreprise. Je tiens ce poste le temps que le recrutement soit effectué avec pour mission de définir la gouvernance sécurité de l’entreprise tout en construisant les schémas directeur sécurité à 3 ans (I.T traditionnel et informatique industriel) ainsi que la mise en place du dispositif humain adapté (équipe sécurité, réseau de correspondants, gestion opérationnelle du portefeuille de projet sécurité).
  Mission :
  A la tête d’une équipe de 5 personnes, prise en charge de la sécurité de l’ensemble des entités appartenant au groupe.
  Reporting fonctionnel en délégation de la VP en charge du Risk Management auprès de 3 membres du COMEX (Directions des Opérations, Audit Interne, Ethique et Compliance)
  Reporting managérial au CIO
  Périmètre comprenant plus de 40 sites répartis à travers le monde dont 6 sites de production industrielle, et 10 sites de R&D jusque-là autonome dans la gestion de leur I.T, environs 200 applications digitales et plus de 300 applications métier.
  Pilotage RH de l’équipe : recrutement, gestion de la charge et montée en compétences des collaborateurs
  Définition et initialisation d’un référentiel de gouvernance sécurité permettant le pilotage
  Evaluation initiale des entités désignées comme prioritaires pour l’entreprise
  Construction des schémas directeur (2,5m€ de CAPEX sur 3 ans)
  Prise en charge immédiate de la sécurité opérationnelle
  Définition et mise en œuvre du portefeuille de projet sécurité, suivi des budgets associés
  Sélection des partenaires nécessaires à la réalisation de la feuille de route sécurité
  Quelques réalisations :
  Refonte des politiques de sécurité
  Tableaux de bord et référentiel de control sécurité
  Pilotage de l’audit des 6 sites de production (FR – UK – US)
  Pilotage de l’audit de l’infrastructure digitale (200 applications)
  Initialisation de la gouvernance sécurité et exécution des premières itérations
  Mise en œuvre du processus de gestion des vulnérabilités.
  Expression de besoin et recette sécurité des projets d’infrastructures
  Plan de sensibilisation 2018 – 2019
  Prise en charge du volet sécurité de l’appel d’offre pour le changement global de l’infogérant Ipsen
  Pilotage des quick wins sécurité (durcissements et outils de sécurité, revue de procédure, accompagnement des activité I.T)

• Lagardère Active : RSSI détaché au DPO
  Jan 2018 - Jan 2018

  Contexte stratégique :
  Lagardère Active est la filiale du groupe Lagardère spécialisée dans les activités média et digitale. Elle produit une part importante de ses revenus sur les activités publicitaires (vente d’emplacements publicitaires multicanaux, marketing programmatique et marketing ciblé) mais également d’une série de startup dans des secteurs variés telles que Doctissimo, Mon docteur, ********… L’entrée en vigueur du GDPR impactent fortement Lagardère Active de par la nature de ses activités et son système d’information particulièrement décentralisé. L’entreprise manipule une multitude des données dont certaines sont particulièrement sensibles (données personnelles, données de santé…). Fin 2017, Lagardère Active a fait évoluer un de ses directeurs financiers qui est devenu son DPO. L’objectif de la mission est de renforcé ce DPO et de doter son équipe d’un RSSI qui devra construire et mettre en musique les aspects sécurité des S.I imposés par le GDPR. Deux secteurs sont désignés comme prioritaires : les activités de santé et celles de marketing digital.
  Mission :
  Evaluation du besoin de sécurité des différentes entités du périmètre
  Mise en œuvre d’un référentiel de gouvernance sécurité permettant la mise sous pilotage
  Evaluation initiale des entités désignées comme prioritaires pour l’entreprise
  Construction en appui de la direction juridique des clauses sécurité à inclure dans les contrats
  Evaluation des fournisseurs critiques de l’entreprise
  Définition des processus de support nécessaires à l’activité DPO et interactions avec le reste de l’entreprise. En particulier : gestion des incidents de sécurité et gestion de crise autour des données personnelles, accompagnement des projets (BIA, PIA, méthodologie d’analyse de risque), suivi sécurité des entités.
  Rédaction d’une série de standards techniques et du plan de sensibilisation relatifs aux pratiques de sécurité dans le cadre du GDPR.
  Quelques réalisations :
  Tableaux de bord et référentiel de control sécurité
  Rapports d’évaluations
  Plans d’assurance sécurité (en tant que client mais également en tant que fournisseur)
  Processus et procédures nécessaires à la conformité aux aspects sécurité du GDPR.

• Responsable gouvernance internationale

  Carrefour Groupe : RSSI de transition
  Jan 2017 - Jan 2017

  Contexte stratégique :
  La Direction Sécurité des Systèmes d’Information Groupe porte les problématiques de sécurité auprès de l’ensemble des entités juridiques de Carrefour (Retail, Banque…). Rattaché au Directeur SSI monde, la gouvernance internationale est responsable du développement des méthodologies et politiques déployées auprès des différentes entités du groupe. Elle définit avec les différentes B.U leurs objectifs de sécurité et les roadmaps permettant de les atteindre, puis coordonne l’exécution en rapportant, par l’intermédiaire du Directeur, au COMEX Groupe sur leur progression et les risques associés.
  Mission :
  Responsabilité d’une équipe de 2 personnes
  Pilotage de 18 RSSI à l’international, chacun en charges de la sécurité d’une des entités « Hors France » du groupe
  Négociation avec chacun des RSSI et suivi des roadmaps sécurité
  Maintien et évolution du cadre de gouvernance sécurité groupe (méthodologies d’analyse de risques, indicateurs de sécurité, politiques et standards, outillage).
  Pilotage du programme d’évaluations / audit sécurité menés par le groupe auprès des différentes entités
  Consolidation des différents évènements SSI et production des indicateurs du comité sécurité groupe + réunion semestrielle effectuée par le directeur SSI au PDG de l’entreprise
  Mise à jour des référentiels de gouvernance et définition des objectifs de sécurité de chaque entité « hors France » pour l’année 2018
  Construction avec chacun des 18 RSSI pays de leurs roadmaps pour les années 2018 et 2019
  Production du rapport annuel de sécurité remonté par le directeur sécurité groupe au conseil d’administration et à chacun des patrons de pays
  Quelques réalisations :
  Production des roadmaps 2018 – 2019 pour l’ensemble des entités pays du groupe.
  Production du rapport sécurité annuel 2017 présenté par le directeur sécurité groupe au conseil d’administration
  Evolution de la méthodologie de cartographie des risques et d’évaluation de la sécurité sur chacune des entités
  Mise en place des outils méthodologique assurant la mise en conformité avec le GDPR sur les entités européennes

• Eni gas & power : RSSI France
  Jan 2015 - Jan 2017

  Suite au rachat d’Altergaz par le groupe eni, la société devenue eni gas & power passe de l’organisation d’une PME à celle d’un grand groupe coté en bourse (entre autres Sarbanes-Oxley). De ce fait, le Directeur Général et le DSI ont été amenés à créer la fonction RSSI jusque-là absente dans l’entreprise.
  Mission :
  Reprise des directives sécurité émanant du groupe eni et des différents audits (Coorporate, commissaires aux comptes…)
  Définition des politiques de sécurité.
  Mise en œuvre d’un SMSI et de la gouvernance sécurité
  Réalisation d’un état des lieux sécurité sur le périmètre de l’entreprise.
  Construction des schémas directeurs organisationnels et techniques à 3 ans.
  Construction du planning d’audit.
  Prise en charge de la sécurité opérationnelle.
  Pilotage et suivi du portefeuille projet et des budgets portés par le domaine sécurité.
  Implication de la sécurité dans les différents processus de la DSI (gestion d’incident, de crise, des changements, des contrats…).
  Membre du comité DSI, Reporting trimestrielle au Directeur Général de l’entreprise, Intervention en Comité de Direction.
  Quelques réalisations :
  Fonction RSSI eni gas & power.
  Mesure de la sécurité.
  Définition des politiques sécurités, des RACIs quant à leur application et des standards techniques de sécurité.
  Pilotage de...