CV du
consultant

Connaissances fonctionnelles

audit gestion des risques AUTHENTIFICATION Formateur ISO 27001 MEHARI Pentest RSSI PCA ANGLAIS ARIS bale CTI Fonction OSS PROCESSUS recrutement REPORTING SSO Téléphonie Visio WEB XEN

Langages

owasp ASP C OPEN SOURCE R

Méthodes

Certified Ethical Hacker EBIOS EXIGENCES ISO 27005 Management gestion de projet MOA ORGANISATION PILOTAGE PROJET Qualité REST

Réseaux et Middleware

FIREWALL LAN réseaux switch WIFI ACTIVE DIRECTORY CISCO WINDOWS SERVER CITRIX routeur SAN

Systèmes

VIRTUALISATION WINDOWS INFRASTRUCTURE iOS LINUX UNIX

. 2010 - Bac + 5 - Master Reseaux, Systemes et Sécurité - ESGI

. Île-de-France

Consultant Sécurité Senior

Présentation

Actuellement Responsable des pôles GRC, Audit et Réponse à Incident chez NTT Ltd., j’ai eu l’occasion de prendre en charge de nombreuses missions de sécurité depuis 2010. Que ces missions soient de types organisa- tionnelles ou techniques, j’ai pu les mener avec professionnalisme et détermination. Mes précédentes expériences en tant qu’ingénieur puis en tant que consultant sécurité aux seins de grands groupes m’ont permis d’acquérir de nombreuses connaissances, aussi bien techniques qu’organisationnelles, que j’ai mise à profit lors de mes missions. Je cultive par ailleurs ma curiosité en participant et organisant de nombreuses conférences en sécurité de l’information que ce soit en France ou dans le monde.



Depuis 2015

Sécurité des Systèmes d’Informations

Managing Security Gouvernance, Audit & Incident Response, NTT Ltd., Paris, France.

+ Mise en place de l’équipe Gouvernance Risque et Conformité

- Définition du catalogue de service

- Relation commerciale et rédaction des propositions financières - Recrutements de consultants sécurité

+ Accompagnements clients

- Audits organisationnels et d’architectures

- Analyses des risques

- Mise en place de l’offre d’audit des sous-traitants

Managing Auditor / Senior Pentester, NTT Security, Paris, France.

+ Mise en place de l’équipe Audit Sécurité et Tests d’Intrusion

- Définition des besoins organisationnels et techniques de l’équipe audit et intrusion - Relation commerciale et rédaction des propositions financières

- Recrutements d’auditeurs et de consultants sécurité

- Mise en place d’un laboratoire de Sécurité et Tests d’Intrusion

+ Réalisation d’audits et tests d’intrusion

- Tests d’intrusion internes et externes

- Restitution des résultats sur site (managériale ou opérationnel)

+ Mise en place de l’équipe Réponse aux Incidents de Sécurité Informatique

- Définition des plans de réponses à incidents

- Création d’un numéro d’urgence et mise en place d’une équipe d’intervention sur site - Alignement globale de la réponse aux incidents avec les autres entités du groupe NTT

+ Correspondant local 27001

- Alignement avec les exigences du groupe NTT

- Création et mise en place des processus exigés par la norme - Obtention de la certification ISO 27001



2010 à 2015

Auditeur Sécurité, Devoteam, Levallois-Perret, France.

+ Audits organisationnels

- Audits organisationnels (référentiels internes et/ou standards internationaux)

+ Tests d’intrusion

- Réalisation de tests d’intrusion sur des applications Web interne et externe (Méthodologie OWASP)

- Réalisation de revues des vulnérabilités portant sur des applications métier

+ Audits d’Infrastructures

- Réalisation d’audits d’infrastructure Cisco (Routeur, Switch, Borne Wifi,. . . )

- Réalisation d’audits d’infrastructure de téléphonie sur IP (Cisco, Alcatel et Asterisk) - Réalisation d’audits d’architecture (Citrix, Windows Serveur 2003/2008, Unix/Linux)

+ Analyses inforensiques

- Analyse après blanchiment d’un disque dur hybride - Analyses inforensiques après intrusion

+ Audits de configurations

- Réalisation d’audits de configurations d’architecture serveur (Unix/Linux, Windows Server)

+ Projets

- Participation au « Cyber exercice européen de sécurité » (Cyber Europe 2014 ENISA) - Rédaction d’un guide de sécurisation de téléphonie sur IP (Cisco, Asterisk et Alcatel) - Refonte des modèles de documents « Tests d’intrusion Web » (OWASP)

- Responsable de projet et de suivi d’audit technique

2008 à 2010

Assistant RSSI, Allianz, Paris, France.

+ Reporting (Réorganisation complète des tableaux de bord de la sécurité)

+ Suivi global des préconisations d’audits externes, des corrections d’audits et des mises à jour

+ Mise en place de fiches indicateurs sécurité

+ Audit de vérification des postes avant mise au rebut

+ Etude sur une solution de protection des ports USB (DLP)

+ Mémoire de fin d’étude sur l’implémentation de la norme ISO 27001

+ Projet de développement d’un serveur d’authentification sécurisé en langage C



Formateur

École Supérieure de Génie Informatique (ESGI), Paris, France.

+ Guide d’hygiène informatique

+ Système de Management de la Sécurité de l’Information

Learning Tree International, Clichy-la-Garenne, France.

+ LT-589 Évaluation des vulnérabilités : Protection de votre entreprise

+ LT-537 Piratage éthique et contre-mesure



Formations et Certifications

ISO 27001, Lead Implementer, Global Knowledge, Paris.

Certified Information Systems Security Professional (CISSP), Global Knowledge, Paris. Administration avancée d’Active Directory, Learning Tree, Paris.

ISO 27005, Risk Manager, PECB, Paris.

Certified Ethical Hacker, V8, Sysdream, Paris.

ISO 27001, Senior Lead Auditor, PECB, Bruxelles.

Master 2, Ingénierie en Systèmes, Réseaux et Sécurité, ESGI, Paris.



Présentations & Publications

2019 CIO Meeting, Sécurité globale de l’IT : de la gestion des risques à la résilience, Paris.

\"Les données peuvent être confiées à des sous-traitant. Et les risques sur les données sont ainsi à étudier chez ce sous-traitant. « Il y a de nombreux cas rapportés dans la presse d’attaques de sous-traitants.\"

2019 MISC Magazine 105, L’Audit de sous-traitants, Paris.

\"Depuis l’entrée en application de certaines règlementations, les audits de sous-traitance explosent. Réal-

isés par obligation ou dans une optique de gestion du risque, la question de la sécurité des données confiées aux partenaires et sous-traitants est l’un des enjeux de ces prochaines années.\"

2017 Information Security World, Hacking Time Management - Gestion du temps en Pentest, Paris. \"Cette présentation tente d’illustrer comment la gestion du temps dans un test d’intrusion peut consid- érablement impacter la qualité des résultats.\"

2016 France 5 - La quotidienne, Réseaux sociaux, comment se protéger ?, France Télévision. \"Quel est le niveau de sécurité des principaux objets connectés aujourd’hui ? Quels choix sont faits par les constructeurs ? Quels sont leurs forces et leurs faiblesses ? Parce que l’on se protège uniquement de ce que l’on connait bien, nous appuierons notre présentation sur une simulation d’attaque qui nous permettra de nous mettre dans la peau d’un hacker et de suivre le cycle de vie d’une attaque\".

2015 Les Assises de la Sécurité, L’objet connecté, nouvelle faille dans la sécurité de l’entreprise ?, Monaco.

\"Vos données personnelles, si elles sont récupérées par des entreprises, peuvent malheureusement égale- ment être récupérées ou piratées par des individus mal intentionnés et parfois remonter jusqu’à votre employeur...alors comment cela est-il possible ? Quelles sont les solutions pour se défendre ?\"

2015 Information Security World, Cible un jour, cible toujours : simulation APT, Paris.

\"Il est nécessaire de comprendre les schémas communément utilisés en pratique lors d’une attaque. C’est ce que nous vous proposons d’aborder au travers de cette simulation d’attaque.\"

Connaissances Fonctionnelles

Gestion de projets, Assistance MOA, Pilotage d’audit, Tableaux de bord et indicateurs, Normes ISO 27001, 27002, 27005, EBIOS, MEHARI, PCA / PRA, Vulnerability and Patch Management, Data Lead Protection (DLP). . .



Techniques

Outils de test d’intrusion (Nmap, Metasploit, OWASP,. . . ), Sécurité des réseaux sans fils, Gestion des vulnérabilités (Tenable, Qualys), LogManagement, Réseaux, Firewall Open Source, Virtualisation, Virtualisation (ESXi, Proxmox, Citrix XenApp), Architectures réseaux CISCO (Routeurs, Switch, Wi-Fi...), Microsoft Windows (Clients et Serveurs). . .



Interets Personnels

Alpinisme, Course à pieds, Ski Freeride & Freerando et Ski de Randonnée, Formation Sécurité Neige et Avalanche ANENA, Handball, Ancien bénévole pour l’association Docteur Souris, Voyage Humanitaire.



Languages

Français Langue Maternelle Anglais Technique et opérationnel