CV du
consultant

Connaissances fonctionnelles

forensic Formateur droit MOBILE PCI-DSS Pentest TELECOM WEB Assurance Cloud Coordination CTI DISTRIBUTION EDI Grande Distribution Industrie SIG SSO

Langages

C C++ HTML HTML5 JAVA owasp PHP .NET ASP css JAVASCRIPT ODI PROGRESS R SCRIPT sonar TINA

Méthodes

Conception Management ORGANISATION PILOTAGE PROJET

Réseaux et Middleware

réseaux ssl GSM LAN RNIS SAN

Systèmes

PCI DSS INFRASTRUCTURE WINDOWS

. 1997 - > Bac + 5 - Expert System et Réseaux

. Île-de-France
. Nouvelle-Aquitaine
. Pays de la Loire

Mon expérience en 5 points clefs



¬ Je dispose de plus de 15 années d’expérience en conseil et projets dans les domaines de la protection de l’information, des infrastructures, des Systèmes d’Information et gestion de l’information.

¬ Mes expériences en tant que Directeur Technique (BT/Fluxus) au sein d’un opérateur de réseau international , RSSI et RPCA adjoint au sein d’une grande banque française, dans un cabinet d’audit et de commissariat aux comptes dans la branche IT&Risk (Groupe Y) et Expert Sénior dans une société spécialisée sur la Sécurité de l’Information (Advens) me permettent d’apprécier pleinement divers environnements techniques et organisationnels.

¬ Je dispose d’une expertise de plus de 10 ans dans la sécurité applicative. Je suis le représentant français de l’OWASP et coordinateur du projet ISO27034 vis a vis de l’OWASP, je co-lead les projets OWASP-SonarQube, OWASP-CSRFGuard.

¬ J’interviens régulièrement dans des conférences françaises et internationales.

• http://fr.slideshare.net/SebastienGioria

• http://fr.slideshare.net/eagle42

¬ Je suis expert judiciaire informatique près la cour d’appel de Poitiers.

¬ Je suis formateur au sein de divers organismes depuis plus de 6 ans sur les sujets de la sécurité Web, sécurité Mobile, sécurité du Cloud et sécurité du Développement

• LearningTree International

• CEGOS

• Mile2





DOMAINES DE COMPETENCES

Domaines d’expertise

Sécurité des Applications Web, Mobiles et embarqués

Développement Sécurisé ; politiques de développement, audit de code, coaching d’équipes, mise en place de programme de sécurité des développements, SDL Microsoft, …

Management des risques en sécurité de l’information (certifié ISO 27005)

Audits et diagnostic de sécurité suivant les référentiels ISO 27000.

Contrôle des niveaux de sécurité : audits, tests d’intrusion, audit de code

Politiques de sécurité & tableaux de bord

Sensibilisation et culture sécurité

Audit de Systèmes d’Informations ; conformité, processus.

Réseaux et Télécoms ; Hébergement, routage opérateur, GSM, …

Forensics de systèmes suite a des intrusions





Activités et compétences



COBIT (4 et 5), ISO 27002, ISO27034, BSIMM, OpenSAMM, OWASP, PCI-DSS.

Langage Java, PHP.

Définition d’architectures applicatives

Pilotage de projet, assistant à maîtrise d’ouvrage, conseil en opérations

Pilotage et coordination de fournisseurs et clients internes/externes

Analyses de risques, business cases, études d’opportunité et de faisabilité

Formation ; conception et enseignement.

Présentations publiques dans des conférences.











Expériences :

Jan 2015 - Present

Expert Judiciaire Informatique , Cour d'appel de Poitiers

Jul 2013 – Mars 2016

Senior cyberSecurity Consultant - Innovation & Technology , Advens

Jan 2012 - Jul 2013

Senior Security Consultant / Specialized in Web, Mobile and Applications, Freelance Security Consultant

Oct 2007 - Jan 2013

Head of Information Technology Security and Audit , Groupe Y

Jan 2005 - Jul 2009

Independant Education Consultant , Cegos

Jan 2005 - April 2008

Owner/CEO/Founder , DoIngSoft

Sept 2006 - March 2008

Senior Security Engineer , MAAF Assurances

June 2003 - Nov 2007

CTO/Founder/Owner & Technical Manager , Niv2.COM

Feb 2002 - Oct 2005

IT Security Project Manager , Credit Agricole SA

July 1998 - Feb 2002

CTO , British Telecom

1998 – 2002

CTO , Francenet

1997 - July 1998

Security consultant, Dune Concept



Formation reçue :

1994 – 1997

EPITA BAC + 5, Systems/Security and Network,

1994 - 1997

École pour I‘Informatique et les Techniques Avancées Master of Science (MS), Network and Security,

1992 - 1994

IUT du Montet Bac +2, Génie Électrique et Informatique Industrielle



Formations données :

Depuis 2012

Learning Tree Intl - France Course 2781, Mobile Application and Device Security

Depuis 2010

Learning Tree Intl - France Instructor,

• 940 - Securing Web Applications, Services and Servers: Hands-On

• Secure Coding for Java

• Secure Coding For C++



2007

CISSP Class from auditware





Certifications :

2008

ISO 27005: Risk Manager by LSTI, Certificate 704 , http://www.lsti-certification.fr

2010

CISA

Expected 2015/16

CSSLP + CISSP ; in progress



Associations :

2007 - Present

CLUSIF Member , (Club de la sécurité des systèmes d'information français)

2006 – Present

French Chapter Leader , OWASP

2010 - 2013

Global Education Committee , OWASP

1999 - 2009

Documentation Project Leader , \"The FreeBSD Project\"



Publications :

06/2016

Menaces informatiques et pratiques de sécurité en France - Edition 2014

Volet applications

07/2014

Gestion des vulnérabilités informatiques : vers une meilleure gestion des risques opérationnel CLUSIF

06/2014

Menaces informatiques et pratiques de sécurité en France - Edition 2014

Volet applications

04/2014

CLUSIF - PCI DSS v3.0 : Un standard mature ?

04/2013

HTML5 and Security - where we are ? OWASP France

02/2013

OWASP Top10 for JavaScript OWASP, Confoo

02/2012

HTML5 and security Global Mag Security

11/2011

Web Application, the security approach is inevitable - Global Mag Security

02/2011

Security Development Lifecycle, where to start Global Mag Security

11/2011

Web Application Security in depth CLUSIF

11/2011

Security Code Review or Pentesting ? CLUSIF

11/2011

Web Application Security CLUSIF

11/2010

OWASP Top Ten 2010 in French - The Ten Most Critical Web Application Security Risks Open Web Application Project

02/2008

OWASP Top Ten 2007 in French - The Ten Most Critical Web Application Security Vulnerabilities Open Web Application Security Project



OWASP Top 10 Mobile - Windows Phone Attacks & Solutions









EXTRAITS DE MISSIONS

(de part la nature sensible de ces missions, elle ne sont pas détaillées, néanmoins certains clients ont acceptés d’en parler directement, et pourront potentiellement être mis en relation directe)



Services

Mise en place de PSSI pour un GIE de développement.

Evaluation des risques suivant l’ISO 27005



Banque

Pilotage des projets, étude et missions d’expertise technique

Accompagnement à la définition des Plan de Continuité informatiques











Industrie alimentaires

Conseils en sécurisation des réseaux IP

Accompagnement à la mise en place de la démarche de sécurisation des développements



Audit post-intrusions





Assurance

Tests d’intrusions



Audit de Projets

Revues de code sur des sites internet publics

Audit de conformité du S.I Santé



OIV







Conseils en Sécurité Applicative

Tests d’intrusions applicatifs

Etude d’une solution de Single Sign On Web.





Opérateur Mobile

Tests d’intrusions applicatifs

Formations au développement sécurisé

Recherches post-intrusion de preuves légales.



Services

Accompagnement à la mise en place de la démarche de sécurisation des développements



Mutuelle Santé



Audit du système d’informations sur le périmètre de la gestion de la preuve comptable.



Ministère



Audit de code source de diverses applications Internet et Intranet

Tests d’intrusions de différents portails



Grande distribution



Accompagnement à un programme de mise en place de sécurité du développement

Rédactions de documents a destination des fournisseurs S.I, développeurs internes.