Cybersécurité et conformité des SI

Dans le contexte actuel de cybercriminalité, la sécurité des systèmes d’information devient un enjeu majeur pour les banques. La fonction de RSSI doit s’appréhender comme une fonction de management des risques, à même de dialoguer avec les métiers et reporter au comité de direction. Les risques doivent être identifiés, et pour chacun, un dispositif de remédiation doit être mise en place, arbitré en termes de budget et ressources.


Exemples de livrables : Politique de sécurité, cartographie des risques sécurité, dispositif de gouvernance de la sécurité, fiche de poste RSSI, tableaux de bord de la sécurité. RSSI de transition

Quelques missions réalisées

EURONEXT (2024-)

Pour le COO d'Euronext, pilotage du programme de renforcement de la Cybersécurité des plateformes de trading, en prévision d'un audit des régulateurs

Rôles sur la mission (en cours)

  • Coordination globale des 5 streams du programme
  • Pilotage d’une équipe de 5 responsables de stream, et de multiples équipes opérationnelles à Paris, Porto, Milan, Lisbonne principalement
  • Mise en place et déploiement d'une stratégie de test "End to End", de la Cyber attaque ciblée à la cyber attaque de grande ampleur
  • Reporting bi mensuelle au COO d'Euronext, ainsi qu'au Supervisory board

AXA Group Operation (2022-2023)

Pour le département Cyberdéfense AXA, pilotage du programme ATLAS (move to the cloud) de migration de l’ensemble des produits Cyberdéfense d’AXA (15 produits, +1000 serveurs), budget d’environ 1.8M€

Rôles sur la mission (12 mois)

  • Définition et suivi de la stratégie de migration et des plans d’actions pour l’ensemble des produits Cyberdéfense
  • Pilotage d’une équipe de 6 Chefs de projets, 15 Product Owner, et ~40 experts produits et architectes autour des mêmes objectifs de migration avant fin 2023
  • Reporting à la direction générale du programme ATLAS et au management de Cyberdéfense

AXA Group Operation (2019/2021)

Directeur de projet/programme Cyber Sécurité, Pilotage global de 3 projets, coordination de 7 chefs de projets dans l'ensemble des régions d'AXA

Rôles sur la mission (2 ans)

  • Mise en place d'un Tableau de bord de la conformité CIS des assets du groupe
  • Coordination de la mise en conformité CIS des assets par l'ensemble des entités du groupe
  • Diagnostic et cadrage de la refonte de l'IT asset management
  • Déploiement de la solution de compliance QUALYS sur l'ensemble des serveurs AXA dans le monde

Solocal group (Pages Jaunes) (2017/2018)

RSSI de transition

Rôles sur la mission (12 mois)

  • Cartographie des risques de sécurité des SI pour toutes les entités Solocal & Pages Jaunes
  • Mise en place de la gouvernance, de l'organisation et du budget SSI de Solocal Group
  • Définition et mise en place de la procédure de gestion des incidents/gestion de crise
  • Définition et mise en place des politiques de sécurité SI Group
  • Construction et suivi des plans de mise en conformité, et des plans de contrôle
  • Accompagnement du programme de transition Move2Cloud
  • Mise en conformité GDPR des traitements de Données à Caractère Personnel
  • Mise en place d’une Cyber assurance
  • Recrutement et accompagnement du futur RSSI Group

NATIXIS GLOBAL ASSET MANAGEMENT (2014)

Définition et mise en place des indicateurs de contrôle permanent dans les domaines de la Sécurité des SI et la continuité d’activité pour l’ensemble des filiales NGAM

Rôles sur la mission (2 mois)

  • Construction et déploiement du modèle auprès des filiales NGAM pilotes, formation

Bpifrance (2008-2015)

Accompagnement de la DSI et du RSSI sur différents sujets :

6 missions réalisées au total entre 2008 et 2015

  • Accompagnement à la création de la fonction RSSI, définition de la fiche de poste et de la gouvernance ainsi que mise en place des politiques de sécurité
  • Mise en place de la démarche et réalisation de la cartographie des risques opérationnels SI et des risques SSI pour les 3 métiers d’OSEO
  • Accompagnement au suivi des plans de contrôle permanents et des recommandations de l’Inspection Générale
  • Mise en place et coordination du plan de secours informatique
  • La mise en place du tableau de bord de la sécurité
  • Actualisation de l’ensemble du plan de secours informatique de Bpifrance, notamment en y intégrant les nouvelles activités d’investissement

NATIXIS (2014)

Reporting des risques sécurité du SI de NATIXIS pour le groupe BPCE.

Rôles sur la mission (3 mois)

  • Interview des 4 directions métiers de NATIXIS et Construction du reporting
  • Accompagnement du RSSI de NATIXIS

AXA (2013-2014)

RSSI de transition au sein de la holding AXA GIE

Rôles sur la mission (5 mois)

  • Lancement du programme de transformation IT Security.
  • Management de l’équipe SSI (3 personnes)

IT - CE (2013)

Définition des plans de contrôle SSI et suivi des plans d’actions

Rôles sur la mission (5 mois)

  • Mission au forfait, Pilotage de la mission en liaison avec le RSSI.
  • Redéfinition de l’ensemble des contrôles permanents SSI au sein de IT-CE
  • Animation de la filière de contrôle

SOCIETE GENERALE SGCIB (2009 / 2011)

2 missions majeures réalisées entre 2009 et 2011, dans le cadre du programme de remédiation « Fighting Back » qui a suivi la découverte de la fraude Kerviel en 2008.

Rôles sur les missions

  • 18 mois, responsable du programme de mise en place des contrôles de monitoring des accès aux 60 applications métiers les plus critiques. Ce chantier a été déployé dans les 4 principales implantations mondiales de SGCIB : Hong Kong, New York, Londres, Paris. Il a impliqué une équipe de 3 informaticiens et 3 chargés de MOA, et a fortement mobilisé environ 40 responsables de contrôles pour les différentes régions et départements de SGCIB
  • 12 mois, responsable du déploiement de la solution progicielle de gestion de l’ensemble des risques et plans de contrôle permanents IT de SGCIB. Après une étude d’opportunité dans un environnement complexe, nous avons conclu à l’intérêt d’un tel déploiement. Une phase de sélection du progiciel (RFP, maquette, POC) et de choix de l’intégrateur a débouché sur le lancement du projet en janvier 2011 et son déploiement progressif dans les filiales.