recevoir les nouvelles missions par e-mail  |  j'ai perdu mon mot de passe  |  j'ai oublié le numéro de mon (mes) CV 
Le portail des décideurs Le portail des décideurs

Disponible le : 1/10/2017
Intitulé : Consultant expert en sécurité des SI
Localisation : 75   Paris    Mobilité : France entière / étranger pour missions de courte durée
Prix :    820   €/jour  ( Indicatif )


Imprimer ce cv
Récupérer ce CV

Référence de ce CV :
   4090

Ce Profil vous intéresse
          

quelques informations


Consultant expert en sécurité de l’information et en gestion des risques


25 ans d’expérience dans la direction de projets SI et l’assistance à maîtrise d’ouvrage dont 15 ans en sécurité des systèmes d’information et en gestion des risques

Compétences
- Direction de projets SI et SSI, AMOA (Assistance à maîtrise d’ouvrage).
- Accompagnement RSSI.
- Normes ISO 27001 et ISO 27002 : préparation à la certification, élaboration du système de gestion de la sécurité de l’information (politique de sécurité, déclaration d’applicabilité, directives, chartes, schéma directeur, tableau de bord, conventions de service, procédures, etc.).
- Sécurité dans les projets (Plan d’assurance sécurité), analyse des risques sur le système cible.
- Gestion des identités et des accès (IAM), modélisation des rôles (RBAC), processus d’authentification (authentification forte, SSO), annuaires LDAP.
- Audits en sécurité de l’information (ISO 27001 ou référentiels sectoriels).
- Analyse des risques (COBIT, ISO 27005, MEHARI, EBIOS, MECORISK), classification des informations et des actifs.
- Gestion et analyse des journaux (SIEM - Security Information and Events Management), surveillance du SI et mise en œuvre d’un SOC (Security Operations Center).
- Conformité juridique (Informatique et libertés, LCEN, LSF, SOX-IT), audit des contrats.
- Conformité PCI-DSS.
- Stratégie de continuité d’activité (norme ISO 22301), gestion des incidents, PCA (Plans de continuité de l’activité) et PRA (Plans de reprise de l’activité).
- Gouvernance, méthodes et qualité (COBIT, ITIL).
- Contrôle interne (COSO), mise en conformité avec la législation Sarbanes-Oxley (SOX) sur le périmètre IT (section 404), mise en conformité Bâle II, Solvabilité II (périmètre IT).
- Animation de sessions de formation, de séminaires et de groupes de travail, actions de sensibilisation.

Formation / Langue
- Ingénieur Télécom option informatique (ENST Paris - 1986).
- DUT Informatique (IUT de Nice – 1980).
- Anglais (niveau intermédiaire).

Connaissances techniques
Infrastructure :
- Grands systèmes IBM zSeries (zOS) et iSeries (AS-400).
- Serveurs Linux (Red-Hat, z/Linux), Unix (AIX / LPAR), Windows 2003/2008 Server, IBM WAS.
- Virtualisation pSeries (IBM) et x-86 (VMWare ESX).
- Redondance et équilibrage de charge (clustering, load balancing).
- Sauvegarde et protection des données Oracle (RMAN, Dataguard), Windows (Netbackup).
- Stockage de masse (SAN, NAS).
- Réseaux (routeur, switch, pare-feu, proxy, reverse-proxy, WAF, IDS).
- Annuaires (LDAP, AD, AD LDS, SUN-ODS, RACF, TSS).
- Messageries (Lotus Notes, Exchange).
Logiciels :
- IAM : Microsoft FIM, CA-Identity Manager, SUN Identity management, SUN Role manager, Oracle Role manager, Brainwave Identity GRC.
- SSO : Advencis – SSOX.
- Sensibilisation : Conscio Technologies – Sensiwave.
- Gestion de projets : MS-Project, HP-ALM.
- Bureautique : Word, Excel, PowerPoint, Visio.
- Métier : Selligent, Chameleon, GT-AIA, Reuters, Kondor+, KGL, KTP, Themis, Qualiac, CEGEDIM Teams RH, Ciel compta.
Présentation des missions récentes

Pour des raisons de confidentialité les références ne sont fournies que sur demande.

• Société de courtage, de gestion déléguée et d’ingénierie en assurance (en cours depuis janvier 2015)
RSSI (manager de transition) – Objectif : création du poste et certification ISO 27001 en 2015
- Elaboration de la stratégie globale en matière de SSI (fonctionnement du poste, objectifs à court, moyen et long termes, gouvernance).
- Constitution d’un réseau opérationnel et suivi des plans d’action.
- Reporting à la Direction générale.
- Définition et mise en œuvre du SMSI et de la politique de sécurité du système d’information.
- Analyse des risques SSI, en relation avec le Directeur des risques ;
- Réalisation du tableau de bord sécurité.
- Préparation d’une campagne de sensibilisation à la sécurité de l’information.
- Rédaction et mise au point de diverses procédures.
- Rédaction de la charte interne et de la charte destinée aux tiers.
- Préparation de la certification ISO 27001.

• Banque (octobre – décembre 2014)
Etude préalable à la migration sur une solution existante d’IAM, du réseau européen « Private banking » d’une grande banque internationale
- Analyse des écarts entre la solution actuelle et la solution cible.
- Elaboration du plan de traitement des écarts et arbitrage avec les directions concernées.
- Etude des modalités de migration (présentation de plusieurs scénarios soumis à arbitrage).
- Evaluation du plan de charge et du planning prévisionnel.

• Groupe de protection sociale et d’assurance (avril – octobre 2014)
Analyse des risques et expertise ISO 27001:2013 pour préparation de la certification
Mise en œuvre d’un SOC – SIEM
 Le GIPS a obtenu la triple certification ISO 27001, ISO 9001 et ISO 20000 le 12 juin 2014.
- Analyse des risques liés au SI (méthode EBIOS 2010).
- Mise en conformité ISO 27001:2013 et ISO 20000 : prise en charge du plan de remédiation issu de l’audit à blanc : mise en conformité de la politique de sécurité des systèmes d’information (PSSI), élaboration de la déclaration d’applicabilité, rédaction des directives.
- Mise en conformité avec le PDS-RC (Plan directeur de la sécurité - Retraite complémentaire).
- Pilotage de l’étude de mise en œuvre d’un SOC (Security Operations Center) avec une solution de SIEM (Security Information and Events Management).

• Services à l’industrie pharmaceutique (mars - avril 2014)
Rédaction d’une politique de sécurité ISO 27001
- Analyse des risques (EBIOS / ISO 27005).
- Rédaction des documents suivants (en anglais) : Security Policy, Data Privacy Policy, Agreement Third Party.

• Banque (septembre 2013 – mars 2014)
Expertise d’une solution d’IAM
- Expertise d’une solution d’IAM déjà en place (CA Identity Manager), pour audit et optimisation des référentiels, du modèle d’habilitation et des workflows associés.
- Mise en conformité RBAC.

• Organismes de retraite complémentaire (novembre 2013 – janvier 2014)
Elaboration d’une politique de sécurité des systèmes d’information (PSSI)
A la suite d’un rapprochement, élaboration d’une PSSI commune à plusieurs organismes, à partir des politiques individuelles existantes et en tenant compte des nouveaux axes stratégiques définis par les parties prenantes. Cette PSSI est en conformité avec la norme ISO 27001 et le référentiel sectoriel.

• Groupe de protection sociale et d’assurance (janvier 2010 à juillet 2013)
Direction de projet IAM
 Ce projet a obtenu le prix de l’efficacité des trophées 01 Business de la sécurité 2013.

Cadrage :
- Etude critique de l’existant incluant les processus de gestion des comptes et des habilitations, les aspects fonctionnels par macro-processus et par applicatifs, la gestion et la structure des identifiants et l’infrastructure technique (cartographie).
- Recueil des besoins fonctionnels des métiers.
- Recueil des besoins techniques de la DSI.
- Recueil des besoins de la Direction de la sécurité (conformité).
- Etude des solutions, coûts et faisabilité : description des processus cibles, gestion et structure des identifiants, architecture fonctionnelle et applicative, faisabilité technique (architecture technique), étude des solutions du marché, présentation et évaluation des scénarios possibles (description, avantages/inconvénients, stratégie et méthode, conditions de réalisation, impacts utilisateurs, cohérence avec le schéma directeur système d’information et sécurité de l’information, risques et points critiques, gains, budget ventilé outil – infrastructure – MOE et MOA en J/H – intégrateur - assistance, planning).
- Présentation de l’étude au Comité de direction pour arbitrage et prise de décision.
- Rédaction du cahier des charges, dépouillement des offres et aide au choix d’un éditeur et d’un intégrateur (réalisation d’un POC), en vue de l’acquisition de la solution cible.

Réalisation du projet – budget : 2,5 M€ :
- Rédaction des spécifications fonctionnelles générales et détaillées (gestion des identités, gestion des habilitations et des ressources, authentification, provisioning, worklows d’approbation, revues, etc.).
- Coordination et suivi des travaux, gouvernance, gestion des plannings et des budgets, tableau de bord, encadrement de l’équipe AMOA.
- Préparation du reporting pour les instances de pilotage et la DG.
- Animation des groupes de travail et encadrement des contributeurs.
- Encadrement des équipes fonctionnelles.
- Supervision du travail de l’intégrateur et de la DSI (équipes d’intégration et de production) pour la mise en œuvre des solutions suivantes :
- FIM 2010 (Forefront Identity Manager - IAM) de la société Microsoft.
- Active Directory.
- Identity GRC (revue des comptes et conformité des habilitations) de la société Brainwave.
- SSOX (SSO et authentification forte) de la société Avencis.
- Modélisation de l’ensemble des processus (RBAC) et transfert de compétences au futur administrateur fonctionnel de la solution (collaborateur du groupe, référent applicatif).
- Rédaction des cahiers de recette et pilotage de la recette, y compris pour le volet organisationnel (mobilisation des postes et des ressources).
- Assistance au déploiement.
- Formation des utilisateurs et accompagnement au changement.


• GIE informatique dans le domaine de la retraite complémentaire (2008 à 2012)
AMOA SSI – Stratégie et pilotage SSI, sécurité dans les projets, PSSI ISO 27001, sensibilisation à la SSI, analyse des risques
- Elaboration de la stratégie globale en matière de SSI (fonctionnement du poste, objectifs à court, moyen et long termes, gouvernance).
- Constitution d’un réseau opérationnel (environnement et relais internes, moyens nécessaires, relations avec les structures externes, organisation des actions et de la communication, plan d’action, etc.).
- Préparation des communications institutionnelles et de direction.
- Préparation des réunions stratégiques.
- Définition des orientations et préparation des budgets et plans d’actions.
- Mesures de conformité avec les attentes des instances de tutelle (AGIRC-ARCO) : RMS, PDS-RC, MECORISK-RC (EBIOS 2010).
- Définition des orientations conjoncturelles dans le cadre de diverses fusions.
- Aide méthodologique sur divers sujets de sécurité.
- Rédaction de la politique de sécurité de l’information (ISO 27001) et préparation de la certification ISO 27001.
- Réalisation du tableau de bord sécurité.
- Rédaction des conventions de service « sécurité » entre le GIE et ses membres.
- Préparation d’une campagne de sensibilisation à la sécurité de l’information.
- Rédaction et mise au point de diverses procédures.
- Rédaction de la charte interne et de la charte destinée aux tiers.
- Prise en compte de la sécurité dans les projets : élaboration du PAS (Plan d’assurance sécurité), inséré dans la méthode de suivi et de développement des projets (questionnaire de pré-évaluation en phase d’étude d’opportunité, analyse des risques du système cible et classification en phase de rédaction du cahier des charges).
- Mise au point de la méthode d’analyse des risques (en collaboration avec le contrôle interne).
- Elaboration du référentiel de traitement des risques portant sur les processus de gouvernance du SI (ITIL), dans le cadre de la préparation de la certification ISO 20000. Présentation sous la forme d’un plan de contrôle interne (COSO) ; pour chaque processus, description des points suivants :
- L’objectif global du processus.
- Les objectifs spécifiques du processus (niveau sous-processus ou activité).
- Les risques associés aux objectifs généraux ou spécifiques.
- Les conséquences des risques et les causes possibles (origine et faits générateurs).
- La mesure du risque et les dispositifs de couverture du risque.
- Les contrôles à mettre en œuvre :
- élémentaires (intrinsèques aux processus) ;
- de supervision (revues).
- Le plan d’action associé, en cas de non-conformité.
- Pour chaque contrôle, description des points suivants :
- Mode opératoire.
- Eléments de matérialisation (liste des preuves).
- Responsable du contrôle et fréquence de réalisation.
- Type (manuel, automatique ou semi-automatique) et nature (prévention ou détection).

• Groupe de protection sociale et d’assurance (2009)
- Stratégie de continuité d’activité : BIA, analyse des risques sur les trois sites de l’entreprise, recensement des besoins pour le fonctionnement des processus critiques, étude des solutions, analyse du PRAI (Plan de reprise de l’activité informatique) existant, élaboration de la stratégie de continuité d’activité.
- Elaboration du PCA (Plan de continuité d’activité) « pandémie grippale » : constitution d’une cellule de veille et d’une cellule de crise, mise en œuvre des communications internes et externes, études des activités vitales, rédaction des procédures de fonctionnement en mode dégradé.

• GIE informatique dans le domaine de la retraite complémentaire (2009)
Elaboration du PCA (Plan de continuité d’activité) « pandémie grippale » : constitution d’une cellule de veille et d’une cellule de crise, mise en œuvre des communications internes et externes, sélection des processus critiques (BIA), recensement des besoins, notamment en matière de ressources humaines, élaboration des plans de continuité (modification des conditions de travail, polyvalence, travail à distance, mutualisation de moyens avec les partenaires et fournisseurs), rédaction des procédures de fonctionnement en mode dégradé.

• Groupe industriel dans le domaine militaire (2007 à 2009)
AMOA IAM
Assistance à maîtrise d’ouvrage auprès de la Direction de la sécurité des systèmes d’information sur le projet de gestion des identités et des accès (IAM) :
- étude de faisabilité, cadrage, recueil des besoins, aide au choix de la solution ;
- élaboration des processus, rédaction des procédures et des workflows (gestion des comptes, gestion des rôles et des profils, revues, etc.) ;
- modélisation des habilitations (RBAC), gestion de la séparation des tâches (SOD) ;
- interface entre la MOA et la MOE (équipes de la DSI, AMOE, intégrateur, éditeur) ;
- préparation du reporting pour le comité de pilotage (tableau de bord du projet) ;
- animation des comités opérationnels ;
- formation des utilisateurs.
Solution mise en œuvre : Sun Identity Manager.

• Groupe de protection sociale et d’assurance (2006 à 2008)
Coaching du RSSI (Stratégie et pilotage SSI)
- Elaboration de la stratégie globale (fonctionnement du poste, objectifs à court, moyen et long termes, relais internes et externes).
- Préparation des communications institutionnelles et de direction.
- Préparation des réunions stratégiques.
- Définition des orientations et préparation des budgets et plans d’actions.

Assistance au RSSI (PSSI ISO 27001, analyse des risques, classification, sécurité dans les projets)
- Rédaction de la politique de sécurité de l’information, en conformité avec la norme ISO 27001.
- Elaboration du plan d’action et du schéma directeur sécurité, sur cinq ans.
- Rédaction de la charte et du guide d’utilisation du poste de travail (dont volet juridique).
- Analyse des risques et classification des biens sur les activités d’assurance des personnes, en individuel et en collectif (affiliation, souscription, recouvrement, gestion des prestations, gestion des apporteurs, acceptation médicale, marketing, ventes, etc.).
- Elaboration des supports et animation de sessions de sensibilisation à la sécurité de l’information destinées aux directeurs de service, aux relais MOA et aux utilisateurs.
- Rédaction de la convention de service entre la MOA et la DSI.
- Mise en œuvre de la politique de sécurité dans le cadre des développements informatiques (Plan d’assurance sécurité).
- Conseils en stratégie de développement du plan d’action « sécurité du SI ».


• Groupe hôtelier et casinos (2007 et 2008)
Assistance au RSSI
- Assistance au RSSI pour la définition de la stratégie et du plan d’action « sécurité du SI ».
- Aide méthodologique sur divers projets, notamment : analyse des risques liés au SI (phase opérationnelle), gestion des identités et des accès (phase de faisabilité) et tableau de bord.
AMOA IAM (Gestion des identités et des d’accès)
- Etude de l’existant en matière de gestion des accès logiques au système d’information (identifiants, habilitations, contrôle des accès, annuaires, etc.).
- Recueil des besoins auprès des métiers, de la DSI et du RSSI.
- Etude de faisabilité pour la mise en œuvre d’une solution d’IAM.

• Port (2009)
Audit SSI et continuité d’activité
- Direction d’une mission d’audit.
- Rédaction du PRAI (Plan de reprise de l’activité informatique) et des procédures de sauvegarde.

• GIE dans le domaine de la retraite complémentaire (2008)
Audit de sécurité du SI (ISO 27001) et plan d’action
- Audit de conformité ISO 27001 et de conformité juridique, rédaction du rapport d’audit et des préconisations.
- Elaboration d’un plan d’action sur cinq ans.
- Présentation des résultats au Comité de Direction.
- Rédaction et mise au point de diverses procédures.


• Secteur nucléaire (2007)
Elaboration de la méthode de prise en compte de la sécurité dans les projets
Elaboration du Plan d’assurance sécurité (PAS) pour un projet de développement applicatif critique et, sur cette base, du guide méthodologique de rédaction des PAS pour l’ensemble des développements. Le PAS décrit une démarche générique, applicable à tous les projets de développement et au MCO d’un système informatique. Il permet de s’assurer du respect des règles relatives à la sécurité de l’information dans les phases de production des systèmes informatiques.


• Société industrielle - secteur : chimie (2007)
Expertise SSI à la suite d’un incident
- Expertise des procédures de sauvegarde suite à un incident ayant entraîné la perte d’informations critiques.
- Elaboration de la charte d’utilisation des ressources informatiques, du guide d’utilisation du poste de travail et des engagements de niveau de service (SLA) entre la DSI et les utilisateurs.

• Société internationale de transport routier (2006 - 2007)
Expertise SSI liée aux ressources humaines
- Elaboration de la charte d’utilisation des ressources informatiques et de télécommunication, en cohérence avec la politique de sécurité du groupe.
- Rédaction du guide d’utilisation du poste de travail.

• Groupe international dans l’industrie pharmaceutique (2006 - 2007)
AMOA continuité d’activité et conformité SOX IT
- Sur les bases méthodologiques de la norme BS 25999 (ISO 22301), élaboration de la stratégie de continuité d’activité.
- Rédaction des conventions de service internes (SLA).
- Création d’un comité de pilotage de la politique de sécurité.
- Analyse des déficiences du référentiel de contrôle interne système d’information sur le périmètre SOX (section 404) et élaboration et mise en place des plans d’action.
- A la suite de plusieurs opérations de croissance externe, rédaction d’un guide méthodologique d’harmonisation des référentiels SOX IT des filiales de l’entité française, dans le respect des directives du groupe.


• Banque (2006)
AMOA conformité SOX-IT, SSI et contrôle interne (COSO)
Mise en conformité avec la législation Sarbanes-Oxley (SOX) sur le périmètre IT (section 404) :
- Au niveau général du groupe : évaluation du cadre de contrôle interne informatique (COSO).
- Au niveau des processus Trésorerie, Cash-Flow, Chase Insight et Swift (applications Reuters, Kondor+, KGL, KTP, Themis) :
- Analyse des processus et identification des risques sur le périmètre SOX-IT.
- Rédaction, documentation et évaluation des contrôles relatifs aux processus liés à l’information financière ; pour chaque processus, description des points suivants :
- L’objectif global du processus et les objectifs spécifiques (niveau sous-processus).
- Les risques associés aux objectifs généraux ou spécifiques.
- Les conséquences et la mesure des risques.
- Les causes possibles (origine et faits générateurs) et les dispositifs de couverture.
- Les contrôles à mettre en œuvre (élémentaires (intrinsèques ou de supervision).
- Le plan d’action associé, en cas de non-conformité.
- Pour chaque contrôle, description des points suivants : mode opératoire, éléments de matérialisation (liste des preuves), responsable, fréquence, type et nature du contrôle.
- Collecte des éléments de preuve.
- Rédaction des procédures manquantes.
- Préparation des tests.
- Organisation et animation des réunions de suivi de chantier (MOA et MOE) ;
- Mise à jour et suivi des plans d’action et de mise à niveau.


• Aéroport international (2006)
Audit de conformité ISO 27001 et plan d’action
- Audit de sécurité (conformité ISO 27001 et conformité juridique).
- Préconisations pour mise en conformité.

• Groupe de protection sociale et d’assurance (2005)
Audit de sécurité du SI, selon le référentiel ISO 27001
Réalisation d’un audit à deux niveaux :
- Sur un périmètre réduit à certaines données, sélectionnées en raison de leur criticité :
- Recensement et analyse de l’existant en matière de système d’information et de sécurité.
- Réalisation de la cartographie physique et logique des moyens d’accès aux données.
- Elaboration de la matrice des droits d’administration et d’utilisation des ressources.
- Sur la globalité du système d’information (référentiels : ISO 27001 et sectoriels, cadre juridique) :
- Etude des documents existants et audit de terrain, expertise des contrats, conformité juridique.
- Rédaction du rapport d’audit incluant une analyse critique (niveau de conformité ISO 27001) et des préconisations pour améliorer le niveau de sécurité.
- Présentation des résultats au Comité de Direction.

• Entreprise dans le domaine de la protection sociale (2004 - 2005)
Audit de sécurité et AMOA pour la mise en œuvre du SMSI (ISO 27001)
Assistance à maîtrise d’ouvrage pour la mise en œuvre complète de la sécurité des systèmes d’information, des biens et des personnes, en conformité avec la norme ISO 27001 et la loi Informatique et libertés. Assistance au RSSI pour définir l’organisation de sa fonction et les grands axes stratégiques.
Principales étapes :
- Audit de sécurité (ISO 27001 et loi Informatique et libertés).
- Test d’intrusion.
- Elaboration de la politique de sécurité et validation avec la Direction générale.
- Elaboration de la grille d’analyse des risques.
- Rédaction du plan d’action.

• Groupe international dans le domaine agro-alimentaire (2004 - 2005)
AMOA pour l’archivage sécurisé des données critiques
Elaboration de la cartographie des données à archiver, issues de plusieurs logiciels de gestion. Le choix des informations à traiter devait tenir compte des contraintes techniques (la « source »), organisationnelles (les besoins « métier ») et juridiques (les contraintes réglementaires et juridiques, notamment en matière de traçabilité). Cette étude a abouti sur la production d’un rapport présentant différents scénarios pour faciliter le choix d’une solution par la DG.

• Port (2004 - 2005)
Audit de sécurité et AMOA pour la mise en œuvre du SMSI (ISO 27001)
Mission d’assistance à maîtrise d’ouvrage pour la mise en œuvre du système de gestion de la sécurité de l’information, en conformité avec la norme ISO 27001 :
- Audit de sécurité.
- Elaboration de la politique de sécurité et validation avec la Direction générale.
- Rédaction des guides et procédures traduisant concrètement la politique de sécurité.
- Rédaction de la charte d’utilisation des ressources informatiques et d’une charte « sécurité » destinée aux prestataires et aux fournisseurs.
- Elaboration du plan d’action détaillé sur cinq ans et du tableau de bord.
- Rédaction du schéma directeur pour la sécurisation du réseau : modalités, notamment matérielles, de mise en œuvre de la solution sélectionnée.
- Elaboration du cahier des charges pour la consultation des intégrateurs et du plan d’assurance qualité (PAQ), aide au choix des solutions.
- Aide à la recette : conformité des fournitures et adéquation avec le cahier des charges.
- Assistance au démarrage : soutien pédagogique et organisationnel, suivi du PAQ.

• Opérateur Télécom (2004) - Paris
Audit de conformité PCI-DSS et volet juridique SSI
Audit de conformité technique et juridique d’un avant-projet de paiement par téléphone portable.
- Analyse des documents contractuels pour mise en conformité avec les lois en vigueur, notamment Informatique et libertés.
- Analyse de conformité avec les attendus techniques du GIE Carte bleue (caractéristiques reprises dans la norme PCI-DSS) et rédaction du plan de remédiation.

• Groupe financier (2003 - 2004)
Audit de conformité ISO 27001
Mission d’audit réalisée pour le compte de la Direction de la sécurité des SI du groupe.
- Audit de la politique de sécurité des systèmes d’information (directives et règles), de manière à identifier les divergences pouvant exister avec les recommandations de la norme ISO 27001.
- Audit des questionnaires d’autoévaluation ; élaboration de nouveaux questionnaires prenant en compte les critères de la norme ISO 27001 et le référentiel audité lors de l’étape précédente.

• Conseil Général (2003 - 2004)
Audit de sécurité et AMOA pour la mise en œuvre du SMSI (ISO 27001)
Mission d’assistance à maîtrise d’ouvrage :
- Audit du SI, débouchant sur des préconisations permettant de faire évoluer le niveau global de sécurité (audit conforme aux recommandations ISO 27001).
- Elaboration des documents introduisant la mise en place d’un schéma directeur sécurité et de la politique de sécurité de l’information selon la norme ISO 27001.
- Rédaction d’un plan d’action présentant différentes solutions pour la mise en œuvre des opérations listées ci-dessus dans un environnement sécurisé, accompagné des éléments fonctionnels, organisationnels, techniques, juridiques et financiers destinés à faciliter le choix des solutions, selon le référentiel ISO 27001.
- Aide à la concrétisation des appels d’offres en vue d’acquérir les équipements correspondant aux solutions retenues.

• Centre de traitement informatique de la sécurité sociale (2003)
Direction d’une mission d’audit de vulnérabilité interne.

• Groupe de casinos et de loisirs (2002 - 2003)
AMOA pour la mise en œuvre du SMSI, en conformité avec la norme ISO 27001.

• Société industrielle aromatique (2002)
Audit de conformité ISO 27001 et de conformité juridique (Informatique et libertés).

• Société d’autoroute (2001 - 2002)
Direction de mission pour la mise en œuvre complète de la sécurité des systèmes d’information, en conformité avec la norme ISO 27001.

• Secteur agroalimentaire (2002)
Direction d’une mission d’audit de sécurité comprenant un volet technique (tests d’intrusion) et un volet fonctionnel et organisationnel.


Annexe
---
Détail des réalisations et des publications

• Auteur d’un ouvrage sur la norme ISO 17799 (ISO 27001) et l’élaboration d’une politique de sécurité intitulé « Sécurité de l’information – Elaboration et gestion de la politique de l’entreprise suivant l’ISO 17799 » (éditeur : AFNOR – septembre 2003).
• 2002 : membre du groupe de travail AFNOR sur la norme ISO 17799 (ISO 27001), en relation avec le comité ISO/IEC JTC 1/SC 27 (Information technology - Security techniques).
• 2002 : auteur de publications sur la norme ISO 27001 et sur son impact dans la stratégie des entreprises.
• 2002 - 2003 : réflexion sur l’harmonisation des référentiels publiés par le CFONB (Comité français d’organisation et de normalisation bancaire) et le Forum des compétences, avec la norme ISO 27001 (en collaboration avec des spécialistes du domaine bancaire).
• 2002 - 2003 : étude des apports de la norme ISO 27001 dans le modèle d’analyse des risques, propre au domaine bancaire et financier, en cohérence avec les travaux du comité Bâle II (en collaboration avec la Banque de France et diverses banques françaises).
• 2005, à 2008 : formation des étudiants de l’IRIAF (Université de Poitiers) à la pratique des normes ISO 27001 et ISO 27002 (dernière année d’étude - Master professionnel gestion des risques).
• 2005 à 2008 : animation de plusieurs sessions de formation sur les méthodes de mise en application des normes ISO 27001 et ISO 27002, destinées aux RSSI de grands comptes de la région PACA.
• 2007 à 2011 : rédaction d’une série d’articles (Sécurité de l'information - les normes de la série ISO 27000 ; Certification du niveau de sécurité des systèmes l'information selon la norme ISO 27001 ; Sécurité de l'information - la norme ISO 27002 ; etc.) publiés dans le classeur « AFNOR Certification ».
• 2012 : rédaction d’une série d’article sur l’IAM (Gestion des accès au système d’information : mise en conformité avec l’ISO 27001) pour l’AFNOR.

Animation de conférences et séminaires sur les normes ISO 27001 et 27002, notamment :
• ISO 27001 - De la technique au juridique (salon de la sécurité - 2001 - Paris).
• La norme ISO 27001 et les collectivités locales (assises nationales des NTIC dans les collectivités locales - 2002 - Nice).
• Les apports de la norme ISO 27001 dans une démarche de sécurité (forum des compétences - 2002 - Paris).
• Sécurité des systèmes d’information et norme ISO 27001 (tour de France de la sécurité - 2002 - Paris, Toulouse, Lyon, Aix-en-Provence).
• La norme ISO 27001 dans une démarche « qualité » (2002 - Bruxelles).
• Les enjeux de la sécurité de l’information et les apports de la norme ISO 27001 (salon des NTIC - 2001 et 2003).
• La norme ISO 27001 (salon des télécommunications organisé avec le concours de la France - 2003 - Alger).
• Présentation de la norme ISO 27001 aux RSSI de nombreuses banques (Banque fédérale des banques populaires, Crédit Agricole SA, Banque de France, Caisse d’Epargne, Caisse des dépôts et consignations, etc.), collectivités et grands comptes.
• Formation des RSSI du Crédit Agricole et de la Caisse des dépôts et consignations ainsi que diverses actions de formation interentreprises.
• Retour d’expérience IAM (CRIP – mars 2013).



 
Ce Profil vous intéresse