Menu

Elie MABO

QUÉBEC

En résumé

Spécialiste dans le domaine des TI et Professionnel de la sécurité de l'information, j'ai des connaissances et compétences utiles à plusieurs niveaux de gestion de la sécurité de l'information au sein d'une organisation (stratégique, tactique et opérationnel). Je travaille avec les normes et bonnes pratiques suivantes: ISO/IEC 270XX, NIST, CObiT, CIS, SANS Top 20, OWASP Top 10, CWE/SANS Top 25 Most Dangerous Software Errors.

Doté d'une expérience professionnelle de plus 10 ans, mes activités quotidiennes consistent à:
- > identifier, analyser et évaluer les risques de sécurité de l'information
- > recommander les contrôles ou mesures de sécurité
- > s'assurer que les politiques, orientations et principes de sécurité sont respectés
- > analyser et évaluer les menaces et vulnérabilités de l'organisation;
- > accompagner et conseiller les équipes de projets en matière de sécurité de l'information;
- > collaborer avec les équipes technologiques pour concevoir des solutions technologiques sécuritaires;
- > participer à l'identification des stratégies pour améliorer la posture de sécurité de l'organisation;
- > développer des outils de gestion de risques de sécurité;
- > Rédiger les avis et positionnements de sécurité;
- > veiller à la sécurité des infrastrucures TI ( Serveurs, Routeurs, Commutateurs, Proxy, Firewall, etc,)
- > sensibiliser les utilisateurs et les gestionnaires aux risques de sécurité de l'information.

En cas de sollicitation, je pourrai étendre mes activités à:
- > l'audit sécurité des systèmes d'information;
- > l'élaboration des mesures de sécurité et recommandations visant à atténuer les risques;
- > l'amélioration des processus (contrôle d'accès, incidents, vulnérabilités, détection et prévention d'intrusion, continuité et reprise, etc.);
- > l'analyse et la formulation des besoins sécurité des utilisateurs;
- > l'assistance technique et aux conseils (choix des solutions, Intégration, Monitoring);
- > la conception et la mise en œuvre des architectures de sécurité d'entreprise;
- > la mise en place d'une organisation de la sécurité au sein des Systèmes d'Information d'entreprise.

Mes compétences :
Analyse des risques
Administration des réseaux et des systèmes
Formation et sensibilitation des utilisateurs
Organisation de la sécurité dans les SI
Contrôle d'accès
Conception des architectures des réseaux sécurisés
Administration des firewalls (PfSense, Netasq)
Sécurité des systèmes d'information
Security +
Test d'intrusions
Gestion des incidents de sécurité
CISSP
Cisco Certified Network Associate Security
Certified Information Systems Auditor
Audit des systèmes d'information
Élaboration des politiques, normes, guides et proc
Détection des intrusions

Entreprises

  • CAPTOSEC, Inc. - Co-Fondateur & CISO

    2018 - maintenant - Coordonner la formation des personnes en cybersécurité (surveillance et détection d'intrusion, test d'intrusion, réponse aux incidents et investigation)
    - Superviser les stages d'étudiants en informatique, et en cybersécurité
    - Conseiller les clients et les équipes de projets sur les menaces et les risques liés à la sécurité de l'information
    - Superviser ou réaliser des activités de test de pénétration d'applications Web pour certains clients
    - Coordonner certains projets d'innovation en cybersécurité et sécurité de l'information
    - Évaluation des risques de sécurité et recommander des solutions pertinentes pour l'atténuation

  • Centre de services partagés du Québec - CSPQ - Conseiller principal en sécurité de l'information et en Cybersécurité

    2017 - maintenant - Évaluer la sécurité de l'information dans les services d'affaires et technologiques (Ex. Dotation, Mobilité, etc.);
    - Déterminer, en collaboration avec les responsables des services, la portée de l'évaluation de la sécurité;
    - Identifier et analyser des écarts de pratiques dans les services par rapport à la norme ISO/IEC 27002-2013;
    - Identifier et analyse des enjeux, menaces et vulnérabilités des actifs informationnels;
    - Contribuer à l'exercice de catégorisation des actifs informationnels;
    - Améliorer des gabarits (questionnaires, rapports, etc.) et autres outils de travail;
    - Analyser et évaluer des risques (ISO/IEC 27005) de sécurité découlant des écarts de pratique dans les services;
    - Évaluer la conformité des services par rapport à la norme ISO/IEC 27001-2, et selon le niveau de maturité cible;
    - Sensibiliser les intervenants dans les services à la sécurité de l'information (dépositaires, pilotes, personnel TI, etc.);
    - Mettre à jour les registres de risques;
    - Analyser les rapports de balayage de vulnérabilités et de tests d'intrusion sur les infrastructures technologiques;
    - Proposer des mesures d'atténuation (redressement) de risques;
    - Élaborer des plans de redressement;
    - Rédiger des rapports d'évaluation de la sécurité dans les services;
    - Participer aux rencontres hebdomadaires d'équipe;
    - Assurer la qualité de certains biens livrables;
    - Communiquer et collaborer avec les responsables et les répondants des services;
    - Planifier et animer des rencontres (suivi, interviews, présentations, etc.) avec les parties prenantes.

  • Société de l'Assurance Automobile du Québec (SAAQ) - Gouvernement du Québec - Conseiller en Architecture de la sécurité de l'information

    2016 - 2017 - Analyser et évaluer les risques (menaces, vulnérabilités, impacts)
    - Catégoriser les actifs informationnels et technologiques
    - Recommander des contrôles de sécurité pour protéger les actifs et atténuer les risques
    - Identifier, analyser et présenter des risques de sécurité à la gestion
    - Développer, documenter et promouvoir une vision architecturale de la sécurité de l'information
    - Participer à l'amélioration de la posture de sécurité
    - Accompagner les lignes d'affaire, les équipes de projet, et le service de la conformité
    - Valider et approuver les livrables
    - Concevoir et développer les tableaux de bord en sécurité de l'information
    - Rédiger des avis de sécurité
    - Coordonner les tests de pénétration des applications Web en définissant la portée, en planifiant les activités, en partageant les vulnérabilités découvertes et en veillant à ce que le plan d'action d'atténuation soit mis en œuvre

  • Client: Société de l'Assurance Automobile du Québec (SAAQ) - Gouvernement du Québec - Analyste en Cybersécurité

    2015 - 2016 - Utiliser et optimiser la solution IDS pour détecter et réagir rapidement aux menaces et incidents
    - Analyser des événements et journaux de sécurité générés par les composants critiques
    - Surveiller les menaces avancées et les vulnérabilités, et et alerter les parties prenantes
    - Évaluation des bulletins de sécurité de différents fournisseurs
    - Dépannage des appareils et solutions de sécurité, en collaboration avec les équipes TI (réseaux, systèmes, applications, Fournisseurs)
    - Identifier, analyser et rapporter les risques de sécurité, à la gestion
    - Identifier et assurer le suivi des vulnérabilités de l'infrastructure informatique
    - Effectuer des audits et tests d'intrusion sur les actifs informatiques critiques
    - Effectuer l'analyse et l'investigation des logiciels, noms de domaine, URL et IP malveillants
    - Contribuer à la conception et la mise en œuvre des solutions de sécurité
    - Recommander des contrôles de sécurité pour protéger les actifs et atténuer les risques

  • CGI - Consultant en sécurité de l'information

    Casablanca 2013 - 2015 Depuis janvier 2013, j'ai réalisé plusieurs mandats à plusieurs niveaux de gestion (Stratégique, Tactique et Opérationnel), et ce, pour le compte de plusieurs organisations des secteurs public et privé. Les activités ci-après m'ont permis de monter en compétence, au point d'être capable aujourd'hui, d'apporter des conseils et des solutions aux organisations de toute taille:
    - Élaborer des politiques et des normes de sécurité de l'information;
    - Élaborer des guides et des procédures;
    - Auditer des systèmes d'information;
    - Élaborer et/ou évaluer des plans de continuité d'affaire et de reprise TI;
    - Participer à la conception des architectures de sécurité d'entreprise;
    - Élaborer et/ou contribuer à l'élaboration des processus de gestion des incidents de sécurité;
    - Accompagner des projets d'un point de vue sécurité;
    - Réaliser des tests d'intrusion et des balayages de vulnérabilités;
    - Assurer la fonction de détection d'intrusion;
    - Assurer la veille technologique et sécurité;
    - Etc.

  • LIX-CNRS Ecole Polytechnique - Ingénieur Réseaux et Sécurité

    2011 - 2013 - Assistance (conseil, support) aux utilisateurs
    - Déploiment des nouveaux serveurs (physiques) et migration des services vers les serveurs virtuels
    - Déploiement des correctifs de sécurité (patch management) sur les serveurs et stations de travail
    - Administration des firewalls, Serveurs et Stations de travail
    - Administration des services d'infrastructure (DNS, DHCP, MAIL, etc.)
    - Participation au projet de déménagement du Système d'Information vers le nouveau Bâtiment Digitéo 1, (Responsable de la partie réseau et sécurité)
    - Rédaction des documents techniques et des guides de bonnes pratiques de sécurité

  • BNP Paribas, Sécurité Groupe - Consultant sécurité junior

    2009 - 2009 - Etude et Analyse des demandes d'ouverture de flux sur les infrastructures du groupe à l'échelle internationale
    - Analyse du concept de défense en profondeur et des ses grands principes
    - Proposition d'une démarche méthodologique d'application des grands principes de défense en profondeur aux systèmes d'information.

  • LSPM-CNRS - Responsable du Service Informatique LSPM-CNRS et Correspondant Sécurité des SI

    TOULOUSE 2009 - 2011 - Déploiement d'un système de messagerie basé sur Zimbra
    - Refonte de l'architecture globale du réseau et intégration des zones de sécurité
    - Conception et mise en place d'un intranet et des services associés
    - Gestion du projet de fusion informatique des laboratoires LIMHP et LPMTM
    - Elaboration de la politique de sécurité du réseau du laboratoire
    - Elaboration du corpus documentaire du système d'information
    - Mise à plat des règles de flux sur le firewall principal

  • Université de Douala - Responsable du service Réseaux et Internet

    Douala 2002 - 2006 - Administration des serveurs (Windows et Linux) et services Internet,
    - Administration des équipements de sécurité et de routage (Firewall Linux, Routeurs Cisco),
    - Support aux utilisateurs,
    - Chef du projet d'extension du réseau local du Campus 1,
    - Etude et déploiement d'une solution d'interconnexion des campus de l'université par liaison Wi-Fi,
    - Participation à l'élaboration du schéma directeur d'informatisation
    - ...

Formations

  • Université Rouen

    Mont Saint Aignan 2007 - 2009 Sécurité des Systèmes Informatiques

  • IUT-FV De Bandjoun (Bandjoun)

    Bandjoun 1999 - 2002 Licence de Technologie, Spécialité: Concepteur et développeur réseaux et internet

    RESEAUX ET TELECOMMUNICATIONS - - Notions fondamentales des réseaux (Adressage, Protocoles, types de media, Modèles OSI et TCP/IP, etc…)
    - Conception des architectures réseaux (Redondance, Sécurité, Extensibilité, Subnetting, etc.)
    - Analyse des besoins en matière de services internet
    - Etude des fonctionnalités et mise en oeuvre des services internet classiques (Web, Mail, DNS, FTP, etc…)
    - Cond

Réseau

Annuaire des membres :