Gouvernance :
- Définition des objectifs et des besoins de sécurité.
- Définition de l’organisation et de la politique de sécurité.
- Définition et mise en place des procédures.
Analyse de risques (prescription) :
- Évaluation des risques, des menaces et des conséquences.
- Remontée de l’ensemble des éléments qui permettent de prendre les décisions.
- Étude des moyens assurant la sécurité et la mise en place de dispositifs de maitrise du risque.
- Établissement du plan de prévention.
Sensibilisation et formation aux enjeux de la sécurité :
- Sensibilisation de la direction générale.
- Formation des directions opérationnelles et métiers.
- Participation à la réalisation de la charte de sécurité.
- Animation des réunions de sensibilisation à la sécurité.
- Conseil et assistance auprès des équipes.
- Assure la promotion de tous les utilisateurs.
Étude des moyens et préconisations :
- Validation technique des outils de sécurité.
- Définition des normes et des standards de sécurité.
- Participation à l’élaboration des règles de sécurité au niveau global de l’entreprise ou du groupe.
Audit et contrôle :
- Assurance que les plans de sécurité ont été faits suivant les plans préétablis.
- Garantie que les équipes ont pris toutes les mesures permettant de gérer la sécurité.
- Mise en oeuvre de dispositifs permettant l’évaluation et la remédiation des vulnérabilités de l’entreprise.
Veille technologique et prospective :
- Suivi des évolutions réglementaires et des technologies de l’information.
- Veille sur les évolutions nécessaires pour garantir la sécurité logique et physique du SI dans son ensemble.
- Politique Sécurité des Systèmes d’Information (PSSI)
- Schéma directeur SI / SSI, SMSI
- ISO/IEC 27001:2013
- ISO/IEC 27005:2018 EBIOS,MEHARI
- PMP, PRINCE 2, CISM
- ITIL, COBIT 5
- RGPD, LPM
- NIS, NIST,, IEC 62443
- DSP2, MiFID2, PCI DSS, SWIFT-KYC
- Instances de contrôle et autorités de tutelle : ACPR et Banque de France
- P&L, Gestion budgétaire, ROI/ROSI
SYSTEMES
- Linux: distributions CentOS, Debian, RHEL, Ubuntu, KALI
- Automatisation des configurations et des déploiements: Ansible, Puppet
- Contenaires : Doker et Kubernetes
- Virtualisation: VMware, Citrix, XEN/XCP-ng, Hyper-V, Nutanix, KVM, VirtualBox
- Haute-disponibilité: haproxy
- Web: Apache HTTP + php, tomcat, nginx, varnish, CMS WordPress
- MTA: postfix avec filtrage par mailscanner et antivirus clamav, spamassassin
- Monitoring: supervision des OS avec zabbix, du réseau avec observium
- Graphs: cacti
- SOC/SIEM et journaux centralisés: rsyslog, SPLUNK
- Scripting: bash, perl, python, GO
- Base de données: MySQL/Mariadb, postgresql, MS SQL server, ORACLE
- Management serveurs DELL, HP et LENOVO
- Stokage NAS/SAN
RESEAUX
- LAN :: switches Cisco, HP, DELL, gestion des VLANs
- Proxy web: Squid, filtrage d’URL squidguard, Zscaler, Sophos, Fortigate, PAN
- Filtrage mail, solutions antispam, MailinBlack, Microsoft 365, Zscaler, Sophos
- Firewall: Netfilter iptables, , PaloAlto, Cisco, Sophos XGS, Fortigate, CheckPoint, technologies WAF, IPS/IDS
- WAN : Liens FTTh / FTTo / MPLS, protocoles IP, RIP, BGP
- SDWAN, SASE, ZTNA, VPN S2S/P2S
POSTES DE TRAVAIL
- Protection avancée des équipements utilisateurs fixes et mobiles ( Endpoint protection + EDR + XDR )
- Outils de gestion et supervision des postes de travail
CLOUD
- Infrastructures / Data Center / Cloud / IaaS, PaaS & SaaS
- AZURE
- AWS
- GCP
- Qualys
- YesWeHack
- Zscaler
- CASB
20+ years of experience in security field as CSO of Financial institutions, worked for major security vendors accross Europe & US, managed IT & Security for Fintechs. Context adaptative in fast pacing environment, able to provide ROI and overall productivity.
SFPMEI | CSO – October 2017 à June 2022
- Rattachement au RCSI, participation au COMEX, RSSI en charge de la conformité de la sécurité liée aux activités des agents dans le cadre des moyens de paiement
- Supervision et suivi des sujets règlementaires liés à la sécurité SI avec les agents de SFPMEI (LYDIA, SPENDESK, BLANK, KARD, LIMONETIK, UNILEND, CASHSENTINEL) tels que RGPD, PCI-DSS, et DSP2 avec pilotage de correspondants de sécurité chez les agents (14 personnes).
- Création de la politique de sécurité (PSSI)
- Elaboration et mise en œuvre d’un Plan d’Urgence et de Poursuite d’Activité (PUPA) et tests périodiques associés
- Mise en place de campagnes d’audits de sécurité (pentests) et lancement de programmes de Bug Bounty (YesWeHack) auprès des agents
- Sensibilisation du personnel
- Création et gestion opérationnelle complète de l’infrastructure (Télécoms, réseaux, Systèmes et Applications métiers) en cloud hybride.
SwissLife Banque Privée | RSSI – Février 2017 à juillet 2019
- Responsable de la Sécurité des Systèmes d’Information de la Banque rattaché au Directeur de la conformité, participation au COMEX
- Représentation de la Banque à l’OCBF et participation aux groupes de travail sur les sujets réglementaires
- Mise en place d’un Système de Management de la Sécurité du SI (SMSSI)avec la création d’un Comité de Sécurité (CSSI) – Pilotage équipe de 5 personnes
- Gestion des relations avec le groupe, auditeurs externes CAC et autorités de tutelle ACPR, Banque de France et OCBF
- Pilotage des projets règlementaires MiFid II, RGPD et DSP2
- Encadrement et gestion des demandes des autorités de tutelles ACPR et Banque de France (Questionnaire d’évaluation de la CyberSécurité en 2018)
- Gestion des réponses au questionnaire SWIFT KYC-SA pour la mise en conformité des infrastructures et participation aux groupes de travail sur les moyens de paiements
- Encadrement des audits annuels CAC
- Mise en œuvre de solutions opérationnelles de sécurité afin d’améliorer la posture de sécurité de la banque (gestion des vulnérabilités, audits de sécurité, ségrégation et isolation des environnements pour le “Zero Trust”, télétravail sécurisé, …)
YouTransactor (JABIL) | RSO – Août 2019 à septembre 2022
- Responsable Sécurité Opérationnelle
- Réalisation d’un étude complète de refonte sécurisée du SI
- Mise en œuvre opérationnelle et gestion de l’infrastructure sécurisée WAN, LAN et WLAN réseau firewall NexGen, VPN
- Migration et virtualisation des serveurs physiques vers VMware ESXi/vSphere
- Gestion des sauvegardes
En charge de projets de sécurisation de la navigation et de filtrage web pour de grandes entreprises pour l’ europe du sud.
Verticaux: Finance, Industrie, Retail,Secteur Public.
Gestion vente et projets de virtualisation du poste de travail et applicatons pour de grands comptes.
Accompagnement de projets sur les thèmes de travail en situation de mobilité ou télétravail.
Management des partenaires sur des projets (> 1M€)
Produits : XenDesktop, XenApp, XenMobile, Xen Server, NetScaler et CloudStack.
Projets de gestion des vulnérabilités du SI
Audit et rapports de conformité PCI
Banque Privée 1818 (Natixis Wealth Management) – RSSI
- Rattachement au RCSI, membre du COMEX
- Mise en place d’un Système de Management de la Sécurité du SI (SMSSI)avec la création d’un Comité de Sécurité (CSSI)
- Gestion des relations avec le groupe, auditeurs externes CAC et autorités de tutelle ACPR, Banque de France.
- Projet de gestion de vulnérabilité du SI
Gestitres (Natixis Eurotitres) – RSSI
- Rattachement Directeur des Opérations, membre du COMEX
- Management d’une équipe de sécurité de 5 personnes
- Mise en place d’un Système de Management de la Sécurité du SI (SMSSI)avec la création d’un Comité de Sécurité (CSSI)
- Gestion des relations avec le groupe, auditeurs externes CAC et autorités de tutelle ACPR, Banque de France.
- Projet de gestion des identités (GHOST)
- Projet d’accès distants sécurisés via VPN
- Projet de refonte et de sécurisation opérationnelle du SI
- Sensibilisation du personnel
- Mise en place d’un Intranet Sécurité
Crédit Agricole CPR Online – RSSI
Société Générale – Anti-Money laundering IT Project Manager
SG Corporate Investment Banking – IT Change Manager
Bouygues Telecom : Security Change Manager
Le label ExpertCyber a été développé par Cybermalveillance.gouv.fr, en partenariat avec les principaux syndicats professionnels du secteur (Fédération EBEN, Cinov Numérique, Syntec Numérique), la Fédération Française de l’Assurance (FFA) et le soutien de l’AFNOR. Il vise à reconnaître l’expertise des experts en cybersécurité assurant des prestations d’installation, de maintenance et d’assistance en cas d’incident.
Le label couvre les domaines suivants :
- systèmes d’informations professionnels (informatique, logiciels bureautiques, messageries, serveurs…) ;
- téléphonie (serveurs téléphoniques professionnels) ;
- sites Internet (administration et protection).
Certification ITIL® Foundation pour la gestion des services des Technologies de l’Information
Certification en tant que professionnel de la sécurité des systèmes d’information
Diplôme de Master de Sciences et de Management des Systèmes d’Information – Promotion 2001
Diplôme d’ingénieur avec spécialisation en Systèmes, Réseaux et Sécurité – Promotion 2001