Arnaud COHEN (copy)
DSSI | RSSI | DPO | Expert Cybersécurité
+33.6.83.14.78.01
Paris, Ile de France
COMPETENCES
DSSI / RSSI

Gouvernance :

  • Définition des objectifs et des besoins de sécurité.
  • Définition de l’organisation et de la politique de sécurité.
  • Définition et mise en place des procédures.

Analyse de risques (prescription) :

  • Évaluation des risques, des menaces et des conséquences.
  • Remontée de l’ensemble des éléments qui permettent de prendre les décisions.
  • Étude des moyens assurant la sécurité et la mise en place de dispositifs de maitrise du risque.
  • Établissement du plan de prévention.

Sensibilisation et formation aux enjeux de la sécurité :

  • Sensibilisation de la direction générale.
  • Formation des directions opérationnelles et métiers.
  • Participation à la réalisation de la charte de sécurité.
  • Animation des réunions de sensibilisation à la sécurité.
  • Conseil et assistance auprès des équipes.
  • Assure la promotion de tous les utilisateurs.

Étude des moyens et préconisations :

  • Validation technique des outils de sécurité.
  • Définition des normes et des standards de sécurité.
  • Participation à l’élaboration des règles de sécurité au niveau global de l’entreprise ou du groupe.

Audit et contrôle :

  • Assurance que les plans de sécurité ont été faits suivant les plans préétablis.
  • Garantie que les équipes ont pris toutes les mesures permettant de gérer la sécurité.
  • Mise en oeuvre de dispositifs permettant l’évaluation et la remédiation des vulnérabilités de l’entreprise.

Veille technologique et prospective :

  • Suivi des évolutions réglementaires et des technologies de l’information.
  • Veille sur les évolutions nécessaires pour garantir la sécurité logique et physique du SI dans son ensemble.

Réglementation, normes et méthodes
  • Politique Sécurité des Systèmes d’Information (PSSI)
  • Schéma directeur SI / SSI, SMSI
  • ISO/IEC 27001:2013
  • ISO/IEC 27005:2018 EBIOS,MEHARI
  • PMP, PRINCE 2, CISM
  • ITIL, COBIT 5
  • RGPD, LPM
  • NIS, NIST,, IEC 62443
  • DSP2, MiFID2, PCI DSS, SWIFT-KYC
  • Instances de contrôle et autorités de tutelle : ACPR et Banque de France
  • P&L, Gestion budgétaire, ROI/ROSI
Environnements techniques

SYSTEMES

  • Linux: distributions CentOS, Debian, RHEL, Ubuntu, KALI
  • Automatisation des configurations et des déploiements: Ansible, Puppet
  • Contenaires : Doker et Kubernetes
  • Virtualisation: VMware, Citrix, XEN/XCP-ng, Hyper-V, Nutanix, KVM, VirtualBox
  • Haute-disponibilité: haproxy
  • Web: Apache HTTP + php, tomcat, nginx, varnish, CMS WordPress
  • MTA: postfix avec filtrage par mailscanner et antivirus clamav, spamassassin
  • Monitoring: supervision des OS avec zabbix, du réseau avec observium
  • Graphs: cacti
  • SOC/SIEM et journaux centralisés: rsyslog, SPLUNK
  • Scripting: bash, perl, python, GO
  • Base de données: MySQL/Mariadb, postgresql, MS SQL server, ORACLE
  • Management serveurs DELL, HP et LENOVO
  • Stokage NAS/SAN

RESEAUX

  • LAN :: switches Cisco, HP, DELL, gestion des VLANs
  • Proxy web: Squid, filtrage d’URL squidguard, Zscaler, Sophos, Fortigate, PAN
  • Filtrage mail, solutions antispam, MailinBlack, Microsoft 365, Zscaler, Sophos
  • Firewall: Netfilter iptables, , PaloAlto, Cisco, Sophos XGS, Fortigate, CheckPoint, technologies WAF, IPS/IDS
  • WAN : Liens FTTh / FTTo / MPLS, protocoles IP, RIP, BGP
  • SDWAN, SASE, ZTNA, VPN S2S/P2S

POSTES DE TRAVAIL

  • Protection avancée des équipements utilisateurs fixes et mobiles ( Endpoint protection + EDR + XDR )
  • Outils de gestion et supervision des postes de travail

CLOUD

  • Infrastructures / Data Center / Cloud / IaaS, PaaS & SaaS
  • AZURE
  • AWS
  • GCP
  • Qualys
  • YesWeHack
  • Zscaler
  • CASB

Avec plus de 20 années d’expérience dans le domaine de la cybersécurité en tant que RSSI ou consultant SSI pour des éditeurs de sécurité, des institutions financières, des PME/TPE et des startups, j’accompagne les sociétés pour bâtir un Système de Management de la Sécurité du SI et améliorer leur posture de sécurité. Je suis capable d’intervenir sur des sujets techniques ainsi que sur des aspects fonctionnels et règlementaires avec un pilotage des sujets de sécurité par les risques.

EXPERIENCE
Président
VNODE2017 – Aujourd'hui

SFPMEI | RSSI – Octobre 2017 à juin 2022

  • Rattachement au RCSI, participation au COMEX, RSSI en charge de la conformité de la sécurité liée aux activités des agents dans le cadre des moyens de paiement
  • Supervision et suivi des sujets règlementaires liés à la sécurité SI avec les agents de SFPMEI (LYDIA, SPENDESK, BLANK, KARD, LIMONETIK, UNILEND, CASHSENTINEL) tels que RGPD, PCI-DSS, et DSP2 avec pilotage de correspondants de sécurité chez les agents (14 personnes).
  • Création de la politique de sécurité (PSSI)
  • Elaboration et mise en œuvre d’un Plan d’Urgence et de Poursuite d’Activité (PUPA) et tests périodiques associés
  • Mise en place de campagnes d’audits de sécurité (pentests) et lancement de programmes de Bug Bounty (YesWeHack) auprès des agents
  • Sensibilisation du personnel
  • Création et gestion opérationnelle complète de l’infrastructure (Télécoms, réseaux, Systèmes et Applications métiers) en cloud hybride.

SwissLife Banque Privée | RSSI – Février 2017 à juillet 2019

  • Responsable de la Sécurité des Systèmes d’Information de la Banque rattaché au Directeur de la conformité, participation au COMEX
  • Représentation de la Banque à l’OCBF et participation aux groupes de travail sur les sujets réglementaires
  • Mise en place d’un Système de Management de la Sécurité du SI (SMSSI)avec la création d’un Comité de Sécurité (CSSI) – Pilotage équipe de 5 personnes
  • Gestion des relations avec le groupe, auditeurs externes CAC et autorités de tutelle ACPR, Banque de France et OCBF
  • Pilotage des projets règlementaires MiFid II, RGPD et DSP2
  • Encadrement et gestion des demandes des autorités de tutelles ACPR et Banque de France (Questionnaire d’évaluation de la CyberSécurité en 2018)
  • Gestion des réponses au questionnaire SWIFT KYC-SA pour la mise en conformité des infrastructures et participation aux groupes de travail sur les moyens de paiements
  • Encadrement des audits annuels CAC
  • Mise en œuvre de solutions opérationnelles de sécurité afin d’améliorer la posture de sécurité de la banque (gestion des vulnérabilités, audits de sécurité, ségrégation et isolation des environnements pour le “Zero Trust”, télétravail sécurisé, …)

YouTransactor (JABIL) | RSO – Août 2019 à septembre 2022

  • Responsable Sécurité Opérationnelle
  • Réalisation d’un étude complète de refonte sécurisée du SI
  • Mise en œuvre opérationnelle et gestion de l’infrastructure sécurisée WAN, LAN et WLAN réseau firewall NexGen, VPN
  • Migration et virtualisation des serveurs physiques vers VMware ESXi/vSphere
  • Gestion des sauvegardes
Customer Advocate Manager
ZSCALER2015 – 2017

En charge de projets de sécurisation de la navigation et de filtrage web pour de grandes entreprises pour l’ europe du sud.

Verticaux: Finance, Industrie, Retail,Secteur Public.

Senior presales Manager
CITRIX2010 – 2015

Gestion vente et projets de virtualisation du poste de travail et applicatons pour de grands comptes.

Accompagnement de projets sur les thèmes de travail en situation de mobilité ou télétravail.

Management des partenaires sur des projets (> 1M€)

Produits : XenDesktop, XenApp, XenMobile, Xen Server, NetScaler et CloudStack.

SEMEA Account Manager
QUALYS2009 – 2010

Projets de gestion des vulnérabilités du SI

Audit et rapports de conformité PCI

RSSI
NATIXIS2004 – 2009

Banque Privée 1818 (Natixis Wealth Management) – RSSI

  • Rattachement au RCSI, membre du COMEX
  • Mise en place d’un Système de Management de la Sécurité du SI (SMSSI)avec la création d’un Comité de Sécurité (CSSI)
  • Gestion des relations avec le groupe, auditeurs externes CAC et autorités de tutelle ACPR, Banque de France.
  • Projet de gestion de vulnérabilité du SI

Gestitres (Natixis Eurotitres) – RSSI

  • Rattachement Directeur des Opérations, membre du COMEX
  • Management d’une équipe de sécurité de 5 personnes
  • Mise en place d’un Système de Management de la Sécurité du SI (SMSSI)avec la création d’un Comité de Sécurité (CSSI)
  • Gestion des relations avec le groupe, auditeurs externes CAC et autorités de tutelle ACPR, Banque de France.
  • Projet de gestion des identités (GHOST)
  • Projet d’accès distants sécurisés via VPN
  • Projet de refonte et de sécurisation opérationnelle du SI
  • Sensibilisation du personnel
  • Mise en place d’un Intranet Sécurité
Consultant SSI
ALTRAN – AXIEM2004 – 2009

Crédit Agricole CPR Online – RSSI

Société Générale – Anti-Money laundering IT Project Manager

SG Corporate Investment Banking – IT Change Manager

Bouygues Telecom : Security Change Manager

FORMATIONS et CERTIFICATIONS
Label ExpertCyber
GIP ACYMA | AFNOR2022

Le label ExpertCyber a été développé par Cybermalveillance.gouv.fr, en partenariat avec les principaux syndicats professionnels du secteur (Fédération EBEN, Cinov Numérique, Syntec Numérique), la Fédération Française de l’Assurance (FFA) et le soutien de l’AFNOR. Il vise à reconnaître l’expertise des experts en cybersécurité assurant des prestations d’installation, de maintenance et d’assistance en cas d’incident.

Le label couvre les domaines suivants :

  • systèmes d’informations professionnels (informatique, logiciels bureautiques, messageries, serveurs…) ;
  • téléphonie (serveurs téléphoniques professionnels) ;
  • sites Internet (administration et protection).
ITIL
CEGOS2014

Certification ITIL® Foundation pour la gestion des services des Technologies de l’Information

CISSP
ISC²2005

Certification en tant que professionnel de la sécurité des systèmes d’information

MSIS
STEVENS Institute of Technology – USA (NJ)2000 – 2001

Diplôme de Master de Sciences et de Management des Systèmes d’Information – Promotion 2001

Ingénieur SRS
EPITA – Paris1996 – 2001

Diplôme d’ingénieur avec spécialisation en Systèmes, Réseaux et Sécurité – Promotion 2001