Devoteam pour GDF SUEZ
- Consultant, IS/IT Risk Analyst
2010 - 2012Depuis : 7 Mois
Contexte :
La DSI-Group de GDF SUEZ souhaite mettre en place une démarche systématique d’appréciation du risque IS et IT en contexte projet afin d’optimiser les coûts sécurité et de prévenir certains risques majeurs (ou à portée groupe) avant la mise en production.
Objectif de la mission :
L’objectif est d’évaluer et d’améliorer la méthodologie d’analyse de risque actuelle en s’insérant parfaitement dans le contexte projet existant et à venir (méthodologie et politique Projet). Il est également nécessaire de se coordonner avec l’ensemble des RSSI du groupe pour s’assurer que la méthodologie proposée répond aux besoins des métiers qu’ils représentent. Une collaboration étroite avec le RSSI des infrastructures et l’expertise sécurité est nécessaire pour garantir l’évaluation des vulnérabilités et l’identification des mesures de sécurité techniques.
Principales phases :
• Etude et proposition d’amélioration de la méthode existante d’analyse de risque, basée sur EBIOS (mise à l’état de l’art) ;
• Identification du contexte projet existant et proposition d’un processus adéquat de sécurisation des projets. Publication et valorisation du processus auprès des équipes sécurité et projet ;
• Réalisation d’analyses de risques pour les projets en cours, en assurant le lien avec : le métier, l’équipe projet, les experts techniques, l’équipe RSSI ;
• Pilotage des besoins d’expertise sécurité au cours des analyses de risque ou pour les besoins ponctuels d’un métier ;
• Tâches supplémentaires d’assistance à RSSI (sensibilisation, gestion de crise, communauté RSSI…).
Devoteam pour la CARAC
- Appréciation globale des risques
2010 - 2011Durée : 3 Mois
Objectif de la mission :
L’objectif est de réaliser une appréciation globale des risques pesant sur l’organisation puis d’assister la CARAC dans l’élaboration de son plan de traitement des risques mais également pour la sensibilisation et la formation des acteurs importants.
Principales phases :
• Identification du risque et des scénarii associés ;
• Estimation du risque ;
• Cartographie du risque ;
• Identification des mesures à mettre en œuvre ;
• Rédaction de la politique générale de sécurité ;
• Sensibilisation et formation des acteurs
Devoteam pour Société Générale
- Refonte du référentiel des contrôles pour la Surveillance Permanente
2010 - 2010Durée : 2 Mois
Objectif de la mission :
La Société Générale souhaite identifier les pratiques et contrôles existants au sein des différentes entités du groupe afin de proposer un ensemble consensuel de contrôles obligatoires. Pour garantir le bon recouvrement des risques majeurs du groupe par le référentiel cible, la mission doit permettre de définir la couverture globale et unitaire de chaque contrôle (en se basant sur une cible optimale constituée des référentiels CobiT et ISO27002).
Principales phases :
• Recueil des pratiques et contrôles existants ;
• Proposition et validation d’un référentiel commun de contrôles (objectifs, indicateurs, responsabilité…) obligatoires basé sur l’existant ;
• Elaboration d’un modèle permettant de connaitre la participation des référentiels CobiT et ISO à la couverture des risques majeurs ;
• Définition de la participation des contrôles retenus aux objectifs de contrôle CobiT et ISO ;
• Proposition de contrôles supplémentaires permettant d’obtenir un référentiel enrichi assurant une couverture efficace de CobiT et ISO ;
• Synthèse de la couverture globale du référentiel de contrôles vis-à-vis des risques majeurs.
Devoteam pour Accelya
- Système de Management de la Sécurité de l’Information
2010 - 2010Durée : 1 Mois
Objectif de la mission :
Accelya souhaite évaluer la maturité de sa gestion de la sécurité au vu de la norme ISO 27001 afin d’identifier une cible cohérente avec ses enjeux et ses capacités et donnant suffisamment de gages à ses clients.
Principales phases :
• Définition des enjeux et de la maturité cible ;
• Analyse de l’existant ;
• Evaluation du niveau de maturité actuel (27001 et 27002) ;
• Rationalisation sur les efforts à fournir, proposition d’un plan d’action permettant d’atteindre la cible (avec priorisation des chantiers).
Devoteam pour RSS
- Assistance pour la rédaction du dossier d'agrément pour l'hébergement de données de santé
2010 - 2010Durée : 2 Mois
Objectif de la mission :
Le Réseau Santé Social (RSS) souhaite déposer rapidement un dossier de demande d’agrément pour « l’hébergement de données de santé », auprès de l’autorité de tutelle (ASIP). Pour ce faire, le RSS souhaite se faire accompagner dans la rédaction des 4 formulaires principaux :
• P3 : description des clauses d'un modèle de contrat (+ modèle de contrat)
• P4 : présentation du service d'hébergement
• P5 : présentation des résultats de l'analyse des risques
• P6 : description des dispositions de sécurité (SMSI)
Principales phases :
• Rédaction/Validation de l’architecture technique et fonctionnelle du service et rédaction du formulaire P4 associé ;
• Rédaction d’un modèle de contrat type ainsi que du formulaire P3 ;
• Analyse de risque et rédaction du formulaire P5 ;
• Identification des procédures et documents SMSI manquants et rédactions de ces derniers. Complétion du formulaire P6 associé.
Devoteam
- Consultant
Levallois-Perret2010 - 2012
Devoteam pour SFR
- Révision de la politique de sécurité SFR Groupe
Levallois-Perret2010 - 2010Durée : 2 Mois
Objectif de la mission :
L’objectif principal recherché est de rendre pratique, accessible et conforme à la norme ISO 27001 le corpus documentaire sécurité Groupe. Un référentiel cible pertinent est fourni afin de présenter de manière exhaustive l’ensemble des documents nécessaires.
Principales phases :
• Cartographier les documents de sécurité existants ;
• Evaluer la pertinence des documents avec le périmètre métier SFR (MNO) ;
• Etablir la conformité des documents avec l’ISO 27001 ;
• Définir le corpus documentaire cible et aligner les documents et la PGSSI avec ce dernier.