Menu

Daniel LINLAUD

En résumé

Consultant expert en sécurité de linformation, protection des données et gestion des risques

35 ans dexpérience en systèmes dinformation dont 20 ans en sécurité et gestion des risques

Statut : consultant indépendant

Compétences
- RSSI (management de transition), DPO (Data Protection Officer), RPCA (Responsable du plan de continuité dactivité).
- Direction de projets en sécurité de linformation, AMOA (assistance à maîtrise douvrage).
- Normes ISO 27001, ISO 27002 et ISO 27701 : audit, accompagnement vers la certification, élaboration et déploiement du SMSI (Système de management de la sécurité de linformation) - politique de sécurité, déclaration dapplicabilité, directives, chartes, schéma directeur, tableau de bord, conventions de service, procédures, etc.
- Analyse des risques (COBIT, norme ISO 27005, MEHARI, EBIOS, MECORISK), classification des informations et des actifs.
- Sécurité dans les projets (Plan dassurance sécurité), analyse des risques sur le système cible.
- Gestion des identités et des accès (IAM PAM - Identity Analytics Role Mining), modélisation des rôles (RBAC), processus dauthentification (authentification forte, SSO), annuaires LDAP.
- Cyber sécurité : EDR (Endpoint Detection and Response), NDR (Network Detection and Response), SIEM (Security Information and Events Management), serveur bastion, Varonis.
- Sécurisation des données, conformité juridique et réglementaire (GDPR, LCEN, LSF, AERAS, SOX-IT), audit des contrats, gouvernance et contrôle des données, archivage à valeur probante, veille juridique, norme ISO 27701.
- Stratégie de continuité dactivité (norme ISO 22301), gestion des incidents, BIA (Business Impact Analysis), PCA (Plan de continuité de lactivité), PRA (Plan de reprise de lactivité) et PCIT (Plan de continuité informatique et télécom).
- Contrôle interne (COSO), mise en conformité avec la législation Sarbanes-Oxley (SOX) sur le périmètre IT (section 404), mise en conformité Bâle II/III, Solvabilité II (périmètre IT).

Entreprises

  • X - RSSI - Manager de transition

    2015 - maintenant RSSI / DPO / RPCA
    Gouvernance (RSSI) :
    - Elaboration de la stratégie de SSI (création et animation du Comité de pilotage de la SSI, schéma directeur, SMSI, PSSI, tableau de bord, reporting COMEX).
    - Préparation et obtention de la certification ISO 27001.
    - Animation et suivi des plans d’action.
    - Campagnes de sensibilisation à la SSI.
    - Veille technologique.
    - Sécurité dans les projets : accompagnement des métiers pour l’expression des besoins de sécurité.
    - Cartographie des risques SI.
    - Classification des actifs.
    Protection des données, conformité juridique et réglementaire (DPO) :
    - Elaboration de la stratégie de protection des données (animation du Comité de protection des données, élaboration de la politique afférente).
    - Rédaction des BCR (Binding Corporate Rules).
    - Préparation à la conformité RGPD.
    Continuité d’activité (RPCA) :
    - Refonte de la stratégie de continuité d’activité monde (BIA, PCA, PCIT des plans de secours).
    - Participation à la cellule de crise.

  • X - Expert IAM

    2014 - 2014 Etude préalable à la migration sur une solution existante d’IAM, du réseau européen « Private banking » d’une grande banque internationale :
    - Analyse des écarts entre la solution actuelle et la solution cible.
    - Elaboration du plan de traitement des écarts et arbitrage avec les directions concernées.
    - Etude des modalités de migration (présentation de plusieurs scénarios soumis à arbitrage).
    - Evaluation du plan de charge et du planning prévisionnel.

  • X - Expert ISO 27001 pour préparation de la certification

    2014 - 2014 Expertise ISO 27001 pour préparation de la certification
    Le groupe a obtenu la triple certification ISO 27001, ISO 9001 et ISO 20000 en juin 2014.
    - Analyse des risques liés au SI (méthode EBIOS 2010).
    - Mise en conformité ISO 27001:2013 et ISO 20000 : prise en charge du plan de remédiation issu de l’audit à blanc : mise en conformité de la politique de sécurité des systèmes d’information (PSSI), élaboration de la déclaration d’applicabilité, rédaction des directives.

    Mise en œuvre d’un SOC – SIEM
    - Pilotage de l’étude de mise en œuvre d’un SOC (Security Operations Center) avec une solution de SIEM (Security Information and Events Management).

  • X - Rédaction d’une politique de sécurité ISO 27001

    2014 - 2014 - Analyse des risques.
    - Rédaction des documents suivants (en anglais) : Security Policy, Data Privacy Policy, Agreement Third Party.

  • X - Elaboration d’une politique de sécurité des systèmes d’information (PSSI)

    2013 - 2014 A la suite d’un rapprochement, élaboration d’une PSSI commune à plusieurs organismes, à partir des politiques individuelles existantes et en tenant compte des nouveaux axes stratégiques définis par les parties prenantes. Cette PSSI est en conformité avec la norme ISO 27001 et le référentiel sectoriel.

  • X - Expertise d’une solution d’IAM

    2013 - 2014 - Expertise d’une solution d’IAM déjà en place (CA Identity Manager), pour audit et optimisation des référentiels, du modèle d’habilitation et des workflows associés.
    - Mise en conformité RBAC.

  • X - Direction d'un projet d'IAM

    2010 - 2013 Etude préalable (2010)
    1) Première étape : étude critique de l’existant incluant les processus de gestion des comptes et des habilitations, les aspects fonctionnels par macro-processus et par applicatifs, la gestion et la structure des identifiants et l’infrastructure technique (cartographie), et faisant ressortir les points forts et les points faibles.
    2) Deuxième étape : étude des solutions, coûts et faisabilité : description des processus cibles, gestion et structure des identifiants, architecture fonctionnelle et applicative, faisabilité technique (architecture technique), étude des solutions du marché, présentation et évaluation des scénarios possibles (description, avantages/inconvénients, stratégie et méthode, conditions de réalisation, impacts utilisateurs, cohérence avec le schéma directeur système d’information et sécurité de l’information, risques et points critiques, gains, budget ventilé outil – infrastructure – MOE et MOA en J/H – intégrateur - assistance, planning).
    3) Troisième étape : présentation au Comité de direction pour arbitrage et prise de décisions (synthèse de l’étude).
    4) Quatrième étape : rédaction du cahier des charges, assistance pour la consultation, dépouillement des offres et aide au choix d’un éditeur et d’un intégrateur (réalisation d’un POC), en vue de l’acquisition de la solution cible.

    Réalisation (2011 – 2013)
    Ce projet est découpé en quatre chantiers :
    • Processus de gestion des identités (workflow), constitution des référentiels (annuaire LDAP et référentiel des identités, référentiel des ressources).
    • Modélisation des habilitations (RBAC) et processus de gestion du modèle. Revalidation des comptes et des droits existants. Provisioning des ressources.
    • Audit, revue et reporting.
    • Identification et authentification forte, accès aux ressources (SSO).

    J’interviens sur l’ensemble des chantiers pour différentes actions, notamment :
    • Coordination et suivi des travaux, co-gouvernance avec le DDP client, gestion des plannings et des budgets, tableau de bord, encadrement de l’équipe AMOA.
    • Animation des groupes de travail et encadrement des contributeurs.
    • Encadrement des équipes fonctionnelles.
    • Préparation du reporting pour les instances de pilotage.
    • Rédaction des spécifications fonctionnelles générales et détaillées.
    • Supervision du travail de l’intégrateur (volet fonctionnel) pour la mise en œuvre des solutions suivantes :
    - FIM 2010 (Forefront Identity Manager - IAM) de Microsoft.
    - Identity GRC (revue des comptes et conformité des habilitations) de la société Brainwave.
    - SSOX (SSO et authentification forte) de la société Avencis.
    • Modélisation de l’ensemble des processus (RBAC).
    • Formation des utilisateurs et accompagnement au changement.
    Objectifs
    Les enjeux de ce projet sont les suivants :
    • Contribuer à la stratégie du groupe, notamment :
    - Offrir des moyens plus efficaces pour l’ouverture du SI aux tiers (partenaires, clients).
    - Contribuer à la mise en œuvre de l’usine retraite (gestion des habilitations).
    - Traiter le volet SI de Solvency II (impact favorable sur le niveau de fonds propres).
    - Formaliser les principes d’urbanisation et la méthode de gestion des accès logiques à appliquer dans les projets.
    - Assurer la cohérence de différentes actions prévues dans le plan directeur du SI et propres aux accès logiques.
    • Maitriser l’accès au système d’information.
    • Traiter les risques, notamment :
    - Financiers.
    - Juridiques :
    - Loi Informatique et libertés et lois spécifiques à l’activité du groupe.
    - Loi HADOPI et LOPPSI.
    - Réglementation (référentiel de sécurité AGIRC-ARRCO, CNAM).
    - Vol de données.
    • Poursuivre la mise en œuvre de la politique de sécurité de l’information (conformité ISO 27001).

  • X - Elaboration de la stratégie de continuité d'activité

    2009 - 2009 • Stratégie de continuité d’activité : BIA, analyse des risques sur les trois sites de l’entreprise, recensement des besoins pour le fonctionnement des processus critiques, étude des solutions, analyse du PRAI (Plan de reprise de l’activité informatique) existant, élaboration de la stratégie de continuité d’activité.
    • Elaboration du PCA (Plan de continuité d’activité) « pandémie grippale » : constitution d’une cellule de veille et d’une cellule de crise, mise en œuvre des communications internes et externes, études des activités vitales, rédaction des procédures de fonctionnement en mode dégradé.

  • X - Coaching / Assistance RSSI

    2008 - 2012 • Coaching du RSSI :
    - Elaboration de la stratégie globale (fonctionnement du poste, objectifs à court, moyen et long termes).
    - Constitution d’un réseau opérationnel (environnement et relais internes, moyens nécessaires, relations avec les structures externes, organisation des actions et de la communication, plan d’action, etc.).
    - Préparation des communications institutionnelles et de direction.
    - Préparation des réunions stratégiques.
    - Définition des orientations et préparation des budgets et plans d’actions.
    - Mesures de conformité avec les attentes des instances de tutelle.
    - Définition des orientations conjoncturelles dans le cadre de diverses fusions.
    - Aide méthodologique sur divers sujets.

    • Assistance au RSSI portant notamment sur les sujets suivants :
    - Rédaction de la politique de sécurité de l’information (ISO 27001) et préparation de la certification ISO 27001.
    - Réalisation du tableau de bord sécurité.
    - Rédaction des conventions de service « sécurité » entre le GIE et ses membres.
    - Préparation d’une campagne de sensibilisation à la sécurité de l’information, destinée aux utilisateurs.
    - Rédaction et mise au point de diverses procédures.
    - Elaboration du PAS (Plan d’assurance sécurité), inséré dans la méthode de suivi et de développement des projets (questionnaire de pré-évaluation en phase d’étude d’opportunité, analyse des risques du système cible et classification en phase de rédaction du cahier des charges).
    - Elaboration du référentiel de traitement des risques pour le contrôle interne SI.

  • X - Expertise des procédures de sécurité du SI

    2007 - 2007 • Expertise des procédures de sauvegarde suite à un incident ayant entraîné la perte d’informations critiques.
    • Elaboration de la charte d’utilisation des ressources informatiques et du guide d’utilisation du poste de travail.
    • Elaboration des engagements de niveau de service (SLA) entre la DSI et les utilisateurs.

  • X - Assistance à maîtrise d’ouvrage sur un projet d'IAM

    2007 - 2009 Assistance à maîtrise d’ouvrage auprès de la Direction de la sécurité des systèmes d’information sur le projet de gestion des identités et des accès (IAM) : étude de faisabilité, cadrage, élaboration des processus, rédaction des procédures et des workflows (gestion des comptes, gestion des rôles et des profils, revues, etc.), assistance à la modélisation des habilitations (RBAC), gestion de la séparation des tâches et des pouvoirs (SOD), sensibilisation des acteurs, renforcement des mots de passe et SSO.

  • X - Elaboration d'un plan d'assurance sécurité

    2007 - 2007 Elaboration du Plan d’assurance sécurité (PAS) pour un projet de développement applicatif et, sur cette base, du guide méthodologique de rédaction des PAS pour l’ensemble des développements. Le PAS décrit une démarche générique, applicable à tous les projets de développement et au maintien en conditions opérationnelles d’un système informatique. Il permet de s’assurer du respect des règles méthodologiques et organisationnelles relatives à la sécurité de l’information, dans les phases de production des systèmes informatiques.

  • X - Coaching / Assistance RSSI

    2007 - 2009 2007 - 2008 :
    • Coaching/assistance au RSSI pour la définition de la stratégie et du plan d’action « sécurité du SI ».
    • Aide méthodologique sur divers projets, notamment : analyse des risques liés au SI (phase opérationnelle), gestion des identités et des accès (phase de faisabilité) et tableau de bord.
    2009 :
    • Etude de l’existant en matière de gestion des accès logiques au système d’information (identifiants, habilitations, contrôle des accès, etc.).
    • Etude de faisabilité pour la mise en œuvre d’une solution de gestion des identités et des d’accès (IAM).

  • X - Mise en conformité avec la législation Sarbanes-Oxley sur le périmètre IT

    2006 - 2006 Mise en conformité avec la législation Sarbanes-Oxley Act (SOX) sur le périmètre IT :
    • Au niveau général du groupe : évaluation de la qualité du cadre de contrôle interne informatique (COBIT).
    • Au niveau des processus :
    - description des processus (narratif et schéma de flux) ;
    - identification des risques sur le périmètre SOX-IT ;
    - rédaction, documentation et évaluation des contrôles relatifs aux processus liés à l’information financière ;
    - collecte des éléments de preuve ;
    - rédaction des procédures manquantes ;
    - préparation des tests ;
    - organisation et animation des réunions de suivi de chantier (MOA et MOE) ;
    - mise à jour et suivi des plans d’action et de mise à niveau pour le service informatique et pour la maîtrise d’ouvrage ;
    - expertise sur le périmètre SOX-IT.

  • X - Audit de sécurité du SI

    2005 - 2006 • Audit de sécurité (conformité ISO 27001).
    • Préconisations pour mise en conformité.

  • X - Définition du plan d'archivage de données sensibles

    2005 - 2005 Mission d'expertise visant à élaborer la cartographie des données à archiver, issues de plusieurs logiciels de gestion. Le choix des informations à traiter devait tenir compte des contraintes techniques (la « source »), organisationnelles (les besoins « métier ») et juridiques (les contraintes réglementaires et juridiques, notamment en matière de traçabilité). Cette étude a abouti sur la production d’un rapport présentant différents scénarios pour faciliter le choix d’une solution par les utilisateurs.

  • X - AMOA pour la mise en oeuvre du système de gestion de la sécurité du SI

    2004 - 2005 Assistance à maîtrise d’ouvrage pour la mise en œuvre complète de la sécurité des systèmes d’information, des biens et des personnes, en conformité avec la norme ISO 27001. Assistance au RSSI pour définir l’organisation de sa fonction et les grands axes stratégiques, notamment vis-à-vis de la DSI.
    Principales étapes :
    • Audit de sécurité (ISO 27001).
    • Test d’intrusion.
    • Elaboration de la politique de sécurité et validation avec la Direction générale.
    • Elaboration de la grille d’analyse des risques.
    • Rédaction du plan d’action.

  • X - Mise en œuvre du système de gestion de la sécurité de l’information

    2004 - 2005 Mission d’assistance à maîtrise d’ouvrage pour la mise en œuvre du système de gestion de la sécurité de l’information, en conformité avec la norme ISO 27001 :
    • Audit de sécurité.
    • Elaboration de la politique de sécurité et validation avec la Direction générale.
    • Rédaction des guides et procédures traduisant concrètement la politique de sécurité.
    • Rédaction de la charte d’utilisation des ressources informatiques et d’une charte « sécurité » destinée aux prestataires et aux fournisseurs.
    • Elaboration du plan d’action détaillé sur 5 ans et du tableau de bord.
    • Rédaction du schéma directeur pour la sécurisation du réseau : modalités, notamment matérielles, de mise en œuvre de la solution sélectionnée.
    • Elaboration du cahier des charges pour la consultation des intégrateurs et du plan d’assurance qualité.
    • Aide au choix des solutions.
    • Aide à la recette : valider la conformité des fournitures et leur adéquation avec le cahier des charges.
    • Assistance au démarrage : soutien pédagogique et organisationnel, suivi du plan d’assurance qualité.

  • X - Audit de la politique de sécurité de l'information

    2003 - 2004 Mission d’audit réalisée pour le compte de la Direction de la sécurité des systèmes d’information « groupe ».
    - Audit de la politique de sécurité des systèmes d’information (directives et règles), de manière à identifier les divergences pouvant exister avec les recommandations de la norme ISO 27001.
    - Audit des questionnaires d’autoévaluation du niveau de sécurité ; élaboration de nouveaux questionnaires prenant en compte les critères de la norme ISO 17799 et le référentiel audité lors de l’étape précédente.

Formations

Pas de formation renseignée

Réseau

Annuaire des membres :