vignette made in france
469 Visiteurs connectés

Consultant expert en sécurité des systèmes d'information (freelance)
code LD-06-201003-777 sur freelance.enligne-fr.com en France

freelance.enligne-fr.com : cvs

- Expert normes ISO 27001 et ISO 27002 - Politique de sécurité de l’information - Analyse des risques, Continuité d’activité - Gestion des identités et des habilitations IAM (méthode RBAC) - Conformité IT-SOX sécurité informatique

MR Da... L...
...
SOPHIA ANTIPOLIS CEDEX
06901 Fr

Dans les secteurs d'activités suivants:
Banque, assurance, institution de retraite, hôtellerie et loisirs, industrie pétrolière, industrie chimique, transport, industrie militaire, nucléaire

Domaines de compétences:
Sécurité des systèmes d'information, Analyse des risques et continuité d'activité, IAM

Directions concernées par les interventions:
Direction Securite Informatique Direction informatique

Types d'interventions:
Assistance RSSI, consulting, expertise, audits, direction de projets, missions en régie ou au forfait

Formations suivies:

Etudes:
Ingénieur Sup Télécom


Présentation

Compétences
* Conduite de projets de sécurité, assistance à maîtrise d’ouvrage, accompagnement ou assistance au RSSI.
* Expertise ISO 27001 et ISO 27002 (ex-ISO 17799) ; mise en œuvre de ces normes, préparation à la certification, formation.
* Audits en sécurité de l’information (ISO 27001, MEHARI, EBIOS ou référentiels sectoriels).
* Analyse des risques (ISO 13335 - MEHARI, ISO 27005), classification des informations et des actifs.
* Elaboration du système de gestion de la sécurité de l’information (ISMS) : politiques de sécurité, guides d’exploitation, procédures, chartes, schémas directeurs, plans d’action, tableaux de bord, plans d’assurance sécurité (PAS), conventions ou contrats de service (SLA), etc.
* Stratégie de continuité d’activité - norme BS 25999, gestion des incidents, PCA (Plans de continuité de l’activité) et PRA (Plans de reprise de l’activité).
* Gestion des identités et des accès (IAM), modélisation des rôles (RBAC étendu), séparation des tâches (SOD), rédaction des procédures de gestion des rôles, des comptes et des habilitations.
* Mise en conformité avec la législation Sarbanes-Oxley Act (SOX) sur le périmètre IT.
* Animation de sessions de formation, de séminaires et de groupes de travail, actions de sensibilisation.

Expériences
Industrie (2007 - 2008 – 2009 - 2010) - Paris
* Direction du projet de gestion des identités et des accès (IAM) en assistance à maîtrise d’ouvrage auprès de la Direction de la sécurité des systèmes d’information : étude de faisabilité, cadrage, élaboration des processus, rédaction des procédures et des workflows (gestion des comptes, gestion des rôles et des profils, revues, etc.), assistance à la définition des rôles et à la modélisation (RBAC étendu), gestion de la séparation des tâches et des pouvoirs (SOD), sensibilisation des acteurs, renforcement des mots de passe et SSO, aide à la réconciliation, etc.
* Rédaction du volet « gestion des accès logiques » de la politique de sécurité de l’information.

GIE informatique dans le domaine de la retraite complémentaire (2010) – La Défense
* Gestion des accès logiques et modélisation rôles-profils selon la méthode RBAC : rédaction des procédures de gestion des comptes informatiques et des rôles (création et attribution), modélisation des rôles sur l’ensemble du périmètre (processus métiers et supports) en approche top-down ou bottom-up selon le niveau de description des processus.
* Elaboration du PAS (Plan d’assurance sécurité), inséré dans la méthode de suivi et de développement des projets (questionnaire de pré-évaluation en phase d’étude d’opportunité, analyse des risques du système cible et classification en phase de rédaction du cahier des charges).

Institution de prévoyance (2009) - Lyon
* Stratégie de continuité d’activité : BIA, choix des processus critiques, analyse des risques sur les trois sites de l’entreprise, recensement des besoins pour le fonctionnement des processus critiques, étude des solutions, analyse du PRAI (Plan de reprise de l’activité informatique) existant, élaboration de la stratégie de continuité d’activité.
* Elaboration du PCA (Plan de continuité d’activité) « pandémie grippale » : constitution d’une cellule de veille et d’une cellule de crise, mise en œuvre des communications internes et externes, études des activités vitales, rédaction des procédures de fonctionnement en mode dégradé.
* Modélisation des rôles (méthode RBAC étendu) sur un domaine d’activité pilote en approche top-down, réalisation des matrices de séparation des tâches (SOD), évaluation des données critiques.
* Rédaction des procédures de gestion des comptes et des habilitations (rôles).

GIE informatique dans le domaine de la retraite complémentaire (2009) – La Défense
Elaboration du PCA (Plan de continuité d’activité) « pandémie grippale » : constitution d’une cellule de veille et d’une cellule de crise, mise en œuvre des communications internes et externes, sélection des processus critiques (BIA), recensement des besoins, notamment en matière de ressources humaines, élaboration des plans de continuité (modification des conditions de travail, polyvalence, travail à distance, mutualisation de moyens avec les partenaires et fournisseurs), rédaction des procédures de fonctionnement en mode dégradé.

Entreprise dans le secteur des assurances (2006 - 2007 - 2008 - 2009) - Lyon
Assistance au RSSI portant notamment sur les sujets suivants :
* Elaboration de la stratégie globale (fonctionnement du poste, objectifs à court, moyen et long termes, environnement et relais internes, moyens nécessaires, organisation des actions et de la communication, etc.).
* Rédaction de la politique de sécurité de l’information.
* Elaboration du plan d’action et du schéma directeur sécurité, sur cinq ans.
* Elaboration du tableau de bord sécurité.
* Rédaction de la charte et du guide d’utilisation du poste de travail.
* Analyse des risques et classification des biens sur les activités d’assurance des personnes, en individuel et en collectif (affiliation, souscription, recouvrement, gestion des prestations, gestion des apporteurs, acceptation médicale, marketing, ventes, etc.).
* Elaboration des supports et animation de sessions de sensibilisation à la sécurité de l’information destinées aux directeurs de service, aux relais MOA et aux utilisateurs.
* Rédaction de la convention de service entre la MOA et la DSI.
* Mise en œuvre de la politique de sécurité dans le cadre des développements informatiques (Plan d’assurance sécurité).
* Conseils en stratégie de développement du plan d’action « sécurité du SI ».

GIE informatique dans le domaine de la protection sociale (2008 - 2009) – La Défense
Réalisation d’un audit de sécurité du système d’information, selon le référentiel ISO 27001 :
* Audit sur la base des 11 thèmes de la norme ISO 27001.
* Rédaction du rapport d’audit et des préconisations.
* Elaboration d’un plan d’action sur cinq ans.
* Présentation des résultats au Comité de Direction.
Assistance au RSSI portant notamment sur les sujets suivants :
* Elaboration de la stratégie globale (fonctionnement du poste, objectifs à court, moyen et long termes, environnement et relais internes, moyens nécessaires, organisation des actions et de la communication, plan d’action, etc.).
* Rédaction de la politique de sécurité de l’information (ISO 27001).
* Réalisation du tableau de bord sécurité.
* Rédaction des conventions de service « sécurité » entre le GIE et ses membres.
* Préparation d’une campagne de sensibilisation à la sécurité de l’information, destinée aux utilisateurs.
* Rédaction et mise au point de diverses procédures.

Groupe hôtelier et salles de jeux - casinos (2007 - 2008 - 2009) – Monaco
2007 - 2008 :
* Assistance au RSSI pour la définition de la stratégie et du plan d’action « sécurité du SI ».
* Aide méthodologique sur divers projets, notamment : analyse des risques liés au SI (phase opérationnelle), gestion des identités et des accès (phase de faisabilité) et tableau de bord.
2009 :
* Etude de l’existant en matière de gestion des accès logiques au système d’information (identifiants, habilitations, contrôle des accès, etc.).
* Etude de faisabilité pour la mise en œuvre d’une solution de gestion des identités et des d’accès (IAM).

Port (2009) - Algérie
* Direction d’une mission d’audit technique (test d’intrusion et audit de vulnérabilité interne).
* Rédaction du PRAI (Plan de reprise de l’activité informatique) et des procédures de sauvegarde.

Secteur nucléaire (2007) - Grenoble
Elaboration du Plan d’assurance sécurité (PAS) pour un projet de développement applicatif et, sur cette base, du guide méthodologique de rédaction des PAS pour l’ensemble des développements. Le PAS décrit une démarche générique, applicable à tous les projets de développement et au maintien en conditions opérationnelles d’un système informatique. Il permet de s’assurer du respect des règles méthodologiques et organisationnelles relatives à la sécurité de l’information, dans les phases de production des systèmes informatiques.

Société industrielle - secteur : chimie (2007) – Grasse
* Expertise des procédures de sauvegarde suite à un incident ayant entraîné la perte d’informations critiques.
* Elaboration de la charte d’utilisation des ressources informatiques et du guide d’utilisation du poste de travail.
* Elaboration des engagements de niveau de service (SLA) entre la DSI et les utilisateurs.

Société internationale de transport routier (2006 - 2007) - Lyon
* Elaboration de la charte d’utilisation des ressources informatiques et de télécommunication, en cohérence avec la politique de sécurité de l’information du groupe.
* Rédaction du guide d’utilisation du poste de travail.

Industrie pharmaceutique (2006 - 2007) – La Défense
* Sur les bases méthodologiques du guide BS 25999, élaboration d’une stratégie de continuité d’activité de premier niveau. Le document livré a valeur de pré-étude, dont l’objectif est de poser les bases d’une démarche plus profonde en décrivant les principales mesures structurantes à mettre en œuvre et les dispositions spécifiques et tâches particulières à programmer.
* Rédaction des conventions de service internes (SLA).
* Création d’un comité de pilotage de la politique de sécurité.
* Rédaction d’un guide méthodologique visant à l’harmonisation des référentiels SOX IT, suite à plusieurs opérations de croissance externe.

Groupe pétrolier international (2006) – La Défense
Mise en conformité avec la législation Sarbanes-Oxley Act (SOX) sur le périmètre IT :
* Au niveau général du groupe : évaluation de la qualité du cadre de contrôle interne.
* Au niveau des processus :
- description des processus (narratif et schéma de flux) ;
- identification des risques sur le périmètre SOX-IT ;
- rédaction, documentation et évaluation des contrôles relatifs aux processus liés à l’information financière ;
- collecte des éléments de preuve ;
- rédaction des procédures manquantes ;
- préparation des tests ;
- organisation et animation des réunions de suivie de chantier (MOA et MOE) ;
- mise à jour et suivi des plans d’action et de mise à niveau pour le service informatique et pour la maîtrise d’ouvrage ;
- expertise sur le périmètre SOX-IT.

Aéroport international (2006) - Marseille
* Audit de sécurité (conformité ISO 17799).
* Préconisations pour mise en conformité.

Entreprise dans le secteur des assurances, de la prévoyance et de la retraite (2005) - Lyon
Réalisation d’un audit à deux niveaux :
* Sur un périmètre réduit à certaines données, sélectionnées en raison de leur criticité :
- Recensement et analyse de l’existant en matière de système d’information et de sécurité, pour les données sélectionnées.
- Réalisation de la cartographie physique et logique des moyens d’accès aux données concernées par l’audit.
- Elaboration de la matrice des droits d’administration et d’utilisation des ressources recensées.
- Description des processus « métier », dans le périmètre de la mission.
* Sur la globalité du système d’information, selon le référentiel ISO 17799 et les référentiels sectoriels :
- Etude des documents existants.
- Prise en compte des aspects stratégiques (objectifs de sécurité, réglementations, etc.) et culturels (environnement social).
- Rédaction du rapport d’audit incluant une analyse critique (niveau de conformité ISO 27001) et des préconisations pour améliorer le niveau de sécurité.
- Présentation des résultats au Comité de Direction, au cours d’une réunion de travail se déroulant après remise des rapports d’audit.

Entreprise dans le domaine de la protection sociale collective et individuelle (2004 - 2005) - Marseille
Assistance à maîtrise d’ouvrage pour la mise en œuvre complète de la sécurité des systèmes d’information, des biens et des personnes, en conformité avec la norme ISO 17799. Assistance au RSSI pour définir l’organisation de sa fonction et les grands axes stratégiques, notamment vis-à-vis de la DSI.
Principales étapes :
* Audit de sécurité (ISO 17799).
* Test d’intrusion.
* Elaboration de la politique de sécurité et validation avec la Direction générale.
* Elaboration de la grille d’analyse des risques.
* Rédaction du plan d’action.

Groupe international dans le domaine agro-alimentaire (2004 - 2005) - Toulon
Assistance à maîtrise d’ouvrage visant à élaborer la cartographie des données à archiver, issues de plusieurs logiciels de gestion. Le choix des informations à traiter devait tenir compte des contraintes techniques (la « source »), organisationnelles (les besoins « métier ») et juridiques (les contraintes réglementaires et juridiques, notamment en matière de traçabilité). Cette étude a abouti sur la production d’un rapport présentant différents scénarios pour faciliter le choix d’une solution par les utilisateurs.

Port (2004 - 2005) - Algérie
Mission d’assistance à maîtrise d’ouvrage pour la mise en œuvre du système de gestion de la sécurité de l’information, en conformité avec la norme ISO 27001 :
* Audit de sécurité.
* Elaboration de la politique de sécurité et validation avec la Direction générale.
* Rédaction des guides et procédures traduisant concrètement la politique de sécurité.
* Rédaction de la charte d’utilisation des ressources informatiques et d’une charte « sécurité » destinée aux prestataires et aux fournisseurs.
* Elaboration du plan d’action détaillé sur 5 ans et du tableau de bord.
* Rédaction du schéma directeur pour la sécurisation du réseau : modalités, notamment matérielles, de mise en œuvre de la solution sélectionnée.
* Elaboration du cahier des charges pour la consultation des intégrateurs et du plan d’assurance qualité.
* Aide au choix des solutions.
* Aide à la recette : valider la conformité des fournitures et leur adéquation avec le cahier des charges.
* Assistance au démarrage : soutien pédagogique et organisationnel, suivi du plan d’assurance qualité.

Groupe financier français (2003 - 2004) - Paris
Mission d’audit réalisée pour le compte de la Direction de la sécurité des systèmes d’information « groupe ».
* Audit de la politique de sécurité des systèmes d’information (directives et règles), de manière à identifier les divergences pouvant exister avec les recommandations de la norme ISO 17799.
* Audit des questionnaires d’autoévaluation du niveau de sécurité ; élaboration de nouveaux questionnaires prenant en compte les critères de la norme ISO 17799 et le référentiel audité lors de l’étape précédente.

Conseil Général (2003 - 2004) - Grenoble
Mission d’assistance à maîtrise d’ouvrage :
* Audit du système actuel débouchant sur des préconisations permettant de faire évoluer le niveau global de sécurité (audit conforme aux recommandations ISO 27001).
* Elaboration des documents introduisant la mise en place d’un schéma directeur sécurité et de la politique de sécurité de l’information selon la norme ISO 17799.
* Rédaction d’un plan d’action présentant différentes solutions pour la mise en œuvre des opérations listées ci-dessus dans un environnement sécurisé, accompagné des éléments fonctionnels, organisationnels, techniques, juridiques et financiers destinés à faciliter le choix des solutions, selon le référentiel ISO 27001.
* Aide à la concrétisation des appels d’offres en vue d’acquérir les équipements correspondant aux solutions retenues.
Cette mission fut menée de manière à couvrir deux volets complémentaires :
* Le volet opérationnel correspondant à la maîtrise d’œuvre des solutions préconisées, particulièrement pour les aspects techniques.
* Le volet stratégique, permettant de fournir des outils destinés au comité de gestion de la sécurité de l’information et à la Direction générale pour décider de la stratégie à adopter dans le domaine de la sécurité des informations en général, et vis-à-vis de la norme ISO 17799 en particulier.

Centre de traitement informatique de la sécurité sociale (2003) – Sophia Antipolis
Direction d’une mission d’audit de vulnérabilité interne.

Groupe anglo-français de casinos et de loisirs (2002 - 2003) - Lyon
Assistance à maîtrise d’ouvrage pour la mise en œuvre du système de gestion de la sécurité de l’information, en conformité avec la norme ISO 17799 (ISO 27001).

Société industrielle aromatique (2002)
Audit de sécurité selon le référentiel ISO 17799 (ISO 27001).

Société d’autoroute (2001 - 2002)
Direction de mission pour la mise en œuvre complète de la sécurité des systèmes d’information, en conformité avec la norme ISO 17799 (ISO 27001).

Divers

Formations animées:
Formation ISO 27001 - 27002

Outils informatiques maîtrisés:


Langues:

Quelques références:

pdfCliquez ici pour récupérer ce CV au format PDF
(Anonyme)
Confiez GRATUITEMENT une mission à cet expert.

Confiez GRATUITEMENT une mission à cet expert.
(Remplissez le formulaire, nous nous chargeons de l'alerter)