Dans le cadre de l'accompagnement des projets sécurité du Groupe Crédit Agricole transverse, l'entité Cyberdéfense management Projet de sécurité a décidé de renforcer son équipe de chef de projet sécurité afin de répondre à un accroissement d'expressions de besoins de la part de ces partenaires et clients.
Le rôle et le périmètre de cette entité est de prendre en charge certains sujets liés à la sécurité des SI et de mener à bien les projets qui s'y rattachent.
A cet effet, le chef de projet intervient dans la définition de l'expression de besoin, ou en phase de Build et de run en fonction de la typologie des sujets.
Technico fonctionnel & organisationnel :
Méthode Cagip
Déterminer les différents périmètres des besoins exprimés.
Qualifier les expressions de besoins et leurs impacts budgétaires et techniques.
Proposer et préconiser des solutions macros.
Aider les équipes à développer les concepts de sécurisations des architectures existantes et à venir.
Consulter les différents périmètres techniques et en faire une synthése.
Organisation de réunions et Comités transverses.
Mener les projets selon la méthodologie ITIL, Agile avec un outil de gestion : Triskell
Gouvernance
Prise en compte de la réglementation LPM et pour les 2SR
Evaluation des risques et menaces de l'état de l'art
Suivi des trajectoires projets et leurs mises en applications
Revues et contrôles récurrents des différents périmètres aux regard de la PGSSI et de la LPM
Préconisations et conseils
Technico-fonctionnel
Préconiser et corriger les différentes orientations documentaires aux regards des bonnes pratiques de sécurité.
Apporter des solutions conceptuelles concernant la sécurisation des connexions.
Analyser l’architecture cibles des besoins exprimés avec les IT et métiers.
Présenter, définir les contours des futurs développements
Anticiper les points bloquants et les expliquer en fonction de l’existant.
Dans le cadre de la création d'une entité SRE (Sites Reliability Engineering) le département de la Direction de l'exploitation de la poste Numérique a renforcé son équipe pour mettre en place ce service qui a pour périmètre la Sécurité des systèmes d'information SOC, NOC, DOC. Le rôle de ce service est transverse et s'attache à optimiser l'ensemble des besoins en matière de sécurité. A cet effet, le chef de projet doit intervenir sur demande ou sollicitation en phase de Thinks et de Build.
Projets : Dans le cadre de la mise en conformité GDPR des applications CNP Assurances, prise en charge des questionnaires de sécurité et des dossiers de sécurité auprès des différents métiers. Un accompagnement également au projet pour l ’ensemble des nouveaux projets, orientés sécurité des SI
Questionnaires de sécurités GDPR.
Consolidation d’un fichier inventaire d’applications éligibles GDPR avec les référentiels existants ou par croisement
Entretien et interview des chefs de projet et responsables métiers pour la complétude du questionnaire préétabli.
Rapport hebdomadaire du statut d’avancement du nombre de questionnaires complétés
Livraison à l’équipe GDPR
Comparaison et analyse d’écarts entre les dossiers de sécurités existants et les questionnaires élaborés (DICP).
Dossiers de sécurités.
Etudes de faisabilité technique avec le métier et le projet.
Design de la solution retenue et son architecture technique et validation pour la partie sécurité.
Analyse de risque lié aux PGSSI et aux règles de sécurités CNP Assurances.
Transmission au RSSI pour validation en CSSI.
Projets :
Dans le cadre des améliorations et de la mise en conformité de la sécurité du SI Sephora, Prise en charge de 2 projets Phares : Gestion des comptes à privilèges et bastion via la solution Cyberark ; Chiffrement des postes de travail de la DSI monde, via MBAM BITLOCKER. Une participation également à l’élaboration d’une procédure PCA pour Sephora et sa mise en application.
CYBERARK : Dans le cadre de la gestion des comptes à privilèges (bastion admin et traçabilité).
Cadrage de l’expression de besoin initial avec Sephora et choix du partenaire (ATOS).
Etudes de faisabilité technique avec le partenaire et l’éditeur :
Design de la solution retenue et son architecture technique.
Suivi des comités de validations techniques et budgétaires.
Build et Pre-run : Coordination de la phase avec Sephora et le partenaire (tous comités)
.
MBAM-BITLOCKER : Mise en place d’un chiffrement des postes de travail existant ou à venir.
Etude comparative entre Kaspersky et BitLocker : tests de solutions et comparaison.
Cadrage du projet pour la solution BITLOCKER retenue.
Elaboration des lots projets.
Planning projet détaillé.
Suivi et coordination des phases du projet.
PCA : Etude simplifiée du statut et préconisations de mise en œuvre.
Organisation du test PCA sur un site de repli
Recettes et points d’améliorations techniques
Projets :
Dans le cadre d’une réorientation technologique du cabinet COMITEM, prise en charge des sujets et projets orientés sécurités (LPM). Une participation également aux projets internes de certifications PASSI et ISO 27001 de la Holding Alan Allman Associates.
ISO 27001 dans le cadre de la certification Orange : mise en conformité du SI
Reprise de planning de la certification ISO 27001 en phase de prérequis.
Etudes de conformités des exigences de certifications au regard de l’existant.
Planification des phases et tâches restant à faire pour initier la phase d’audit des certifications.
Préconisation technique dans le cadre de la certification pour l’AD, la téléphonie, la sécurisation des flux internes et externes, la sauvegarde des données, la gestion des identités.
Rédaction des livrables attendus : planning, reste à faire, architecture logique, procédure technique de configuration de l’active directory, Radius pour WIFI.
Certification PASSI : reprise du planning de la certification en phase de prérequis.
Etudes de conformités des exigences de certifications au regard de l’existant.
Planification des phases et tâches restant à faire pour initier la phase d’audit des certifications.
Gouvernance (LPM)
Présentation de l’expertise COMITEM auprès des Grands comptes et clients de la société sous l’angle fonctionnel et technique.
Préparation de la présentation des enjeux de la sécurité pour le cabinet Comitem : La sécurisation des flux et leurs enjeux.
Synthèses des appels d’offres, cadrages des besoins exprimés par les prospects ou clients lors d’appels d’offres ou d’expressions de besoins diverses, pour les différents cabinets.
Projet : Dans le cadre de la gestion de l’obsolescence applicative des applications métiers CARDIF, la BNP à exprimer un besoin de mise en production des applications suivantes / MAESTRO, SURF, CALYPSO, PRE-INT.
Audit de l’existant et trajectoires préconisées.
Audit, Cadrage et cotations des différentes phases du projet de migration.
Analyses techniques des différents scénarios demandés par le client et les départements métiers de la BNP / plan d’amélioration.
Préconisation de la sécurisation des flux applicatifs dans le cadre du respect du DNS (Décret National de Sécurité).
Rapport avec des indicateurs hebdomadaires et mensuels au regard des résultats attendus.
Coordination des réunions de suivi de cadrage avec CARDIF, BNPP.
Élaboration d'un devis chiffré en conformité avec l'architecture cible et le planning client sur 5 ans et d’un planning projet prévisionnel en jours/hommes
Phase de Build / Réalisation.
Coordination des différents jalons et tâches techniques prévues.
Suivis et coordination hebdomadaire de la réalisation des tâches techniques, et fonctionnelles.
Rapports et suivi des livrables hebdomadaires.
Préparation des MEP de bascule ou de mises à jour avec les équipes techniques.
Pilotages des installations sur les serveurs physiques ou « VM » de destinations.
Organisation, planification des MEP, en délais, jours et durées.
Rapports des actions menées, restitutions des actions effectuées auprès de la direction CARDIF.
Phase de Pre-Run / transfert au Run.
Coordination de l’installation des différents jalons et tâches techniques prévus.
Organisation des réunions de préparations de bascules, suivi des livrables attendus.
Participation au MEP en tant que coordinateur/rapp...
Technico fonctionnel & organisationnel de la sécurisation des SI :
Méthode EBios
Déterminer les différents périmètres des besoins exprimés.
Qualifier les expressions de besoins et leurs impacts budgétaires et techniques.
Proposer et préconiser des solutions macros.
Aider les équipes à développer les concepts de sécurisations des architectures existantes et à venir.
Consulter les différents périmètres techniques.
Organisation de Comité transverses.
Gouvernance
Préconiser et corriger les différents documents aux regards des bonnes pratiques de sécurité.
Apporter des solutions techniques conceptuelles concernant la sécurisation des connexions.
Analyser l’architecture cibles des besoins exprimés avec les équipes techniques.
Présenter, définir les contours des futurs développements : au niveau réseaux et systèmes.
Anticiper les points bloquants et les expliquer en fonction de l’existant.