recevoir les nouvelles missions par e-mail  |  j'ai perdu mon mot de passe  |  j'ai oublié le numéro de mon (mes) CV 
Le portail des décideurs Le portail des décideurs

Disponible le : 1/10/2017
Intitulé : Consultant expert en securite des SI
Localisation : 69   Lyon / Paris / Nice    Mobilité : Europe
Prix :    940   €/jour  ( Indicatif )


Imprimer ce cv
Récupérer ce CV

Référence de ce CV :
   3812

Ce Profil vous intéresse
          

quelques informations


Consultant expert en sécurité des SI

Compétences :
* Conduite de projets de sécurité, assistance à maîtrise d’ouvrage, accompagnement ou assistance au RSSI.
* Expertise ISO 27001 et ISO 27002 (ex-ISO 17799) ; mise en œuvre de ces normes, préparation à la certification, formation.
* Audits en sécurité de l’information (ISO 27001, MEHARI, EBIOS ou référentiels sectoriels).
* Analyse des risques (ISO 13335 - MEHARI, ISO 27005), classification des informations et des actifs.
* Elaboration du système de gestion de la sécurité de l’information (ISMS) : politiques de sécurité, guides d’exploitation, procédures, chartes, schémas directeurs, plans d’action, tableaux de bord, plans d’assurance sécurité (PAS), conventions ou contrats de service (SLA), etc.
* Stratégie de continuité d’activité - norme BS 25999, gestion des incidents, PCA (Plans de continuité de l’activité) et PRA (Plans de reprise de l’activité).
* Gestion des identités et des accès (IAM), modélisation des rôles (RBAC étendu), séparation des tâches (SOD), rédaction des procédures de gestion des rôles, des comptes et des habilitations.
* Mise en conformité avec la législation Sarbanes-Oxley Act (SOX) sur le périmètre IT.
* Animation de sessions de formation, de séminaires et de groupes de travail, actions de sensibilisation.

Formation :
Ingénieur ENST

Langues :
Français (langue natale).
Anglais (niveau moyen).

Divers :
* Auteur d’un ouvrage sur la norme ISO 17799 et l’élaboration d’une politique de sécurité intitulé « xxx » .
* 2002 : membre du groupe de travail AFNOR sur la norme ISO 17799, en relation avec le comité ISO/IEC JTC 1/SC 27 (Information technology - Security techniques).
* 2002 : auteur de publications sur la norme ISO 17799 et sur son impact dans la stratégie des entreprises.
* 2002 - 2003 : réflexion sur l’harmonisation des référentiels publiés par le CFONB (Comité français d’organisation et de normalisation bancaire) et le Forum des compétences, avec la norme ISO 17799 (en collaboration avec des spécialistes du domaine bancaire).
* 2002 - 2003 : étude des apports de la norme ISO 17799 dans le modèle d’analyse des risques, propre au domaine bancaire et financier, en cohérence avec les travaux du comité Bâle II (en collaboration avec la Banque de France et diverses banques françaises).
* 2005, 2006, 2007 et 2008 : formation des étudiants de l’IRIAF (Université de Poitiers) à la pratique des normes ISO 17799 et ISO 27001 (dernière année d’étude - Master professionnel gestion des risques).
* 2005 : rédaction d’un support pour la mise en œuvre de la norme ISO 17799.
* 2005 : rédaction d’une note de présentation de la version 2005 de la norme ISO 17799 et de la famille 27000.
* 2006 : rédaction d’un support ISO 17799:2005 et ISO 27001:2005.
* 2005, 2006, 2007 et 2008 : animation de plusieurs sessions de formation sur les méthodes de mise en application des normes ISO 27001 et ISO 27002 (ex-ISO 17799), destinées aux RSSI de grands comptes de la région PACA.
* 2006 : rédaction d’une série de trois articles (Sécurité de l'information - les normes de la série ISO 27000 ; Certification du niveau de sécurité des systèmes l'information selon la norme ISO 27001 ; Sécurité de l'information - la norme ISO 27002) publiés dans le classeur « Afnor Certification ».

Expérience professionnelle (détail de quelques missions récentes :

Pour des raisons de confidentialité les références nominatives ne sont fournies que sur demande.

- Institution de prévoyance (2009)
* Stratégie de continuité d’activité : BIA, choix des processus critiques, analyse des risques sur les trois sites de l’entreprise, recensement des besoins pour le fonctionnement des processus critiques, étude des solutions, analyse du PRAI (Plan de reprise de l’activité informatique) existant, élaboration de la stratégie de continuité d’activité.
* Elaboration du PCA (Plan de continuité d’activité) « pandémie grippale » : constitution d’une cellule de veille et d’une cellule de crise, mise en œuvre des communications internes et externes, études des activités vitales, rédaction des procédures de fonctionnement en mode dégradé.
* Modélisation des rôles (méthode RBAC étendu) sur un domaine d’activité pilote en approche top-down, réalisation des matrices de séparation des tâches (SOD), évaluation des données critiques.
* Rédaction des procédures de gestion des comptes et des habilitations (rôles).

- GIE informatique dans le domaine de la retraite complémentaire (2009)
Elaboration du PCA (Plan de continuité d’activité) « pandémie grippale » : constitution d’une cellule de veille et d’une cellule de crise, mise en œuvre des communications internes et externes, sélection des processus critiques (BIA), recensement des besoins, notamment en matière de ressources humaines, élaboration des plans de continuité (modification des conditions de travail, polyvalence, travail à distance, mutualisation de moyens avec les partenaires et fournisseurs), rédaction des procédures de fonctionnement en mode dégradé.

- Entreprise dans le secteur des assurances (2006 - 2007 - 2008 - 2009)
Assistance au RSSI portant notamment sur les sujets suivants :
* Elaboration de la stratégie globale (fonctionnement du poste, objectifs à court, moyen et long termes, environnement et relais internes, moyens nécessaires, organisation des actions et de la communication, etc.).
* Rédaction de la politique de sécurité de l’information.
* Elaboration du plan d’action et du schéma directeur sécurité, sur cinq ans.
* Elaboration du tableau de bord sécurité.
* Rédaction de la charte et du guide d’utilisation du poste de travail.
* Analyse des risques et classification des biens sur les activités d’assurance des personnes, en individuel et en collectif (affiliation, souscription, recouvrement, gestion des prestations, gestion des apporteurs, acceptation médicale, marketing, ventes, etc.).
* Elaboration des supports et animation de sessions de sensibilisation à la sécurité de l’information destinées aux directeurs de service, aux relais MOA et aux utilisateurs.
* Rédaction de la convention de service entre la MOA et la DSI.
* Mise en œuvre de la politique de sécurité dans le cadre des développements informatiques (Plan d’assurance sécurité).
* Conseils en stratégie de développement du plan d’action « sécurité du SI ».

- GIE informatique dans le domaine de la protection sociale (2008 - 2009)
Réalisation d’un audit de sécurité du système d’information, selon le référentiel ISO 27001 :
* Audit sur la base des 11 thèmes de la norme ISO 27001.
* Rédaction du rapport d’audit et des préconisations.
* Elaboration d’un plan d’action sur cinq ans.
* Présentation des résultats au Comité de Direction.
Assistance au RSSI portant notamment sur les sujets suivants :
* Elaboration de la stratégie globale (fonctionnement du poste, objectifs à court, moyen et long termes, environnement et relais internes, moyens nécessaires, organisation des actions et de la communication, plan d’action, etc.).
* Rédaction de la politique de sécurité de l’information (ISO 27001).
* Réalisation du tableau de bord sécurité.
* Rédaction des conventions de service « sécurité » entre le GIE et ses membres.
* Préparation d’une campagne de sensibilisation à la sécurité de l’information, destinée aux utilisateurs.
* Rédaction et mise au point de diverses procédures.

- Groupe hôtelier et salles de jeux - casinos (2007 - 2008 - 2009)
2007 - 2008 :
* Assistance au RSSI pour la définition de la stratégie et du plan d’action « sécurité du SI ».
* Aide méthodologique sur divers projets, notamment : analyse des risques liés au SI (phase opérationnelle), gestion des identités et des accès (phase de faisabilité) et tableau de bord.
2009 :
* Etude de l’existant en matière de gestion des accès logiques au système d’information (identifiants, habilitations, contrôle des accès, etc.).
* Etude de faisabilité pour la mise en œuvre d’une solution de gestion des identités et des d’accès (IAM).

- Port (2009)
* Direction d’une mission d’audit technique (test d’intrusion et audit de vulnérabilité interne).
* Rédaction du PRAI (Plan de reprise de l’activité informatique) et des procédures de sauvegarde.

- Secteur militaire (2007 - 2008 - 2009)
* Direction du projet de gestion des identités et des accès (IAM) en assistance à maîtrise d’ouvrage auprès de la Direction de la sécurité des systèmes d’information : étude de faisabilité, cadrage, élaboration des processus, rédaction des procédures et des workflows (gestion des comptes, gestion des rôles et des profils, revues, etc.), assistance à la définition des rôles et à la modélisation (RBAC étendu), gestion de la séparation des tâches et des pouvoirs (SOD), sensibilisation des acteurs, renforcement des mots de passe et SSO, aide à la réconciliation, etc.
* Rédaction du volet « gestion des accès logiques » de la politique de sécurité de l’information.

- Secteur nucléaire (2007)
Elaboration du Plan d’assurance sécurité (PAS) pour un projet de développement applicatif et, sur cette base, du guide méthodologique de rédaction des PAS pour l’ensemble des développements. Le PAS décrit une démarche générique, applicable à tous les projets de développement et au maintien en conditions opérationnelles d’un système informatique. Il permet de s’assurer du respect des règles méthodologiques et organisationnelles relatives à la sécurité de l’information, dans les phases de production des systèmes informatiques.

- Société industrielle - secteur : chimie (2007)
* Expertise des procédures de sauvegarde suite à un incident ayant entraîné la perte d’informations critiques.
* Elaboration de la charte d’utilisation des ressources informatiques et du guide d’utilisation du poste de travail.
* Elaboration des engagements de niveau de service (SLA) entre la DSI et les utilisateurs.

- Société internationale de transport routier (2006 - 2007)
* Elaboration de la charte d’utilisation des ressources informatiques et de télécommunication, en cohérence avec la politique de sécurité de l’information du groupe.
* Rédaction du guide d’utilisation du poste de travail.

- Industrie pharmaceutique (2006 - 2007)
* Sur les bases méthodologiques du guide BS 25999, élaboration d’une stratégie de continuité d’activité de premier niveau. Le document livré a valeur de pré-étude, dont l’objectif est de poser les bases d’une démarche plus profonde en décrivant les principales mesures structurantes à mettre en œuvre et les dispositions spécifiques et tâches particulières à programmer.
* Rédaction des conventions de service internes (SLA).
* Création d’un comité de pilotage de la politique de sécurité.
* Rédaction d’un guide méthodologique visant à l’harmonisation des référentiels SOX IT, suite à plusieurs opérations de croissance externe.

- Groupe pétrolier international (2006)
Mise en conformité avec la législation Sarbanes-Oxley Act (SOX) sur le périmètre IT :
* Au niveau général du groupe : évaluation de la qualité du cadre de contrôle interne.
* Au niveau des processus :
- description des processus (narratif et schéma de flux) ;
- identification des risques sur le périmètre SOX-IT ;
- rédaction, documentation et évaluation des contrôles relatifs aux processus liés à l’information financière ;
- collecte des éléments de preuve ;
- rédaction des procédures manquantes ;
- préparation des tests ;
- organisation et animation des réunions de suivie de chantier (MOA et MOE) ;
- mise à jour et suivi des plans d’action et de mise à niveau pour le service informatique et pour la maîtrise d’ouvrage ;
- expertise sur le périmètre SOX-IT.

- Aéroport international (2006)
* Audit de sécurité (conformité ISO 17799).
* Préconisations pour mise en conformité.

- Entreprise dans le secteur des assurances, de la prévoyance et de la retraite (2005)
Réalisation d’un audit à deux niveaux :
* Sur un périmètre réduit à certaines données, sélectionnées en raison de leur criticité :
- Recensement et analyse de l’existant en matière de système d’information et de sécurité, pour les données sélectionnées.
- Réalisation de la cartographie physique et logique des moyens d’accès aux données concernées par l’audit.
- Elaboration de la matrice des droits d’administration et d’utilisation des ressources recensées.
- Description des processus « métier », dans le périmètre de la mission.
* Sur la globalité du système d’information, selon le référentiel ISO 17799 et les référentiels sectoriels :
- Etude des documents existants.
- Prise en compte des aspects stratégiques (objectifs de sécurité, réglementations, etc.) et culturels (environnement social).
- Rédaction du rapport d’audit incluant une analyse critique (niveau de conformité ISO 27001) et des préconisations pour améliorer le niveau de sécurité.
- Présentation des résultats au Comité de Direction, au cours d’une réunion de travail se déroulant après remise des rapports d’audit.

- Entreprise dans le domaine de la protection sociale collective et individuelle (2004 - 2005)
Assistance à maîtrise d’ouvrage pour la mise en œuvre complète de la sécurité des systèmes d’information, des biens et des personnes, en conformité avec la norme ISO 17799. Assistance au RSSI pour définir l’organisation de sa fonction et les grands axes stratégiques, notamment vis-à-vis de la DSI.
Principales étapes :
* Audit de sécurité (ISO 17799).
* Test d’intrusion.
* Elaboration de la politique de sécurité et validation avec la Direction générale.
* Elaboration de la grille d’analyse des risques.
* Rédaction du plan d’action.

- Groupe international dans le domaine agro-alimentaire (2004 - 2005)
Assistance à maîtrise d’ouvrage visant à élaborer la cartographie des données à archiver, issues de plusieurs logiciels de gestion. Le choix des informations à traiter devait tenir compte des contraintes techniques (la « source »), organisationnelles (les besoins « métier ») et juridiques (les contraintes réglementaires et juridiques, notamment en matière de traçabilité). Cette étude a abouti sur la production d’un rapport présentant différents scénarios pour faciliter le choix d’une solution par les utilisateurs.

- Port (2004 - 2005)
Mission d’assistance à maîtrise d’ouvrage pour la mise en œuvre du système de gestion de la sécurité de l’information, en conformité avec la norme ISO 27001 :
* Audit de sécurité.
* Elaboration de la politique de sécurité et validation avec la Direction générale.
* Rédaction des guides et procédures traduisant concrètement la politique de sécurité.
* Rédaction de la charte d’utilisation des ressources informatiques et d’une charte « sécurité » destinée aux prestataires et aux fournisseurs.
* Elaboration du plan d’action détaillé sur 5 ans et du tableau de bord.
* Rédaction du schéma directeur pour la sécurisation du réseau : modalités, notamment matérielles, de mise en œuvre de la solution sélectionnée.
* Elaboration du cahier des charges pour la consultation des intégrateurs et du plan d’assurance qualité.
* Aide au choix des solutions.
* Aide à la recette : valider la conformité des fournitures et leur adéquation avec le cahier des charges.
* Assistance au démarrage : soutien pédagogique et organisationnel, suivi du plan d’assurance qualité.

- Groupe financier français (2003 - 2004)
Mission d’audit réalisée pour le compte de la Direction de la sécurité des systèmes d’information « groupe ».
* Audit de la politique de sécurité des systèmes d’information (directives et règles), de manière à identifier les divergences pouvant exister avec les recommandations de la norme ISO 17799.
* Audit des questionnaires d’autoévaluation du niveau de sécurité ; élaboration de nouveaux questionnaires prenant en compte les critères de la norme ISO 17799 et le référentiel audité lors de l’étape précédente.

- Conseil Général (2003 - 2004)
Mission d’assistance à maîtrise d’ouvrage :
* Audit du système actuel débouchant sur des préconisations permettant de faire évoluer le niveau global de sécurité (audit conforme aux recommandations ISO 27001).
* Elaboration des documents introduisant la mise en place d’un schéma directeur sécurité et de la politique de sécurité de l’information selon la norme ISO 17799.
* Rédaction d’un plan d’action présentant différentes solutions pour la mise en œuvre des opérations listées ci-dessus dans un environnement sécurisé, accompagné des éléments fonctionnels, organisationnels, techniques, juridiques et financiers destinés à faciliter le choix des solutions, selon le référentiel ISO 27001.
* Aide à la concrétisation des appels d’offres en vue d’acquérir les équipements correspondant aux solutions retenues.
Cette mission fut menée de manière à couvrir deux volets complémentaires :
* Le volet opérationnel correspondant à la maîtrise d’œuvre des solutions préconisées, particulièrement pour les aspects techniques.
* Le volet stratégique, permettant de fournir des outils destinés au comité de gestion de la sécurité de l’information et à la Direction générale pour décider de la stratégie à adopter dans le domaine de la sécurité des informations en général, et vis-à-vis de la norme ISO 17799 en particulier.

- Centre de traitement informatique de la sécurité sociale (2003)
Direction d’une mission d’audit de vulnérabilité interne.

- Groupe anglo-français de casinos et de loisirs (2002 - 2003)
Assistance à maîtrise d’ouvrage pour la mise en œuvre du système de gestion de la sécurité de l’information, en conformité avec la norme ISO 17799 (ISO 27001).

- Société industrielle aromatique (2002)
Audit de sécurité selon le référentiel ISO 17799 (ISO 27001).

- Société d’autoroute (2001 - 2002)
Direction de mission pour la mise en œuvre complète de la sécurité des systèmes d’information, en conformité avec la norme ISO 17799 (ISO 27001).



 
Ce Profil vous intéresse