CV/Mission d'Analyste asset center freelance

Exemple de missions de Jérôme,
Analyste asset center habitant la Seine-et-Marne (77)

• Manager

  Natixis Corporate & Investment Banking Assistant RSSI & Risk
  Jan 2021 - Jan 2023

  Contexte :
  Natixis CIB a défini une PSSI Groupe qu’il fallait déployer au sein des différentes entités et filiales (telles
  qu’Ostrum Asset Management qui fait partie de la branche Asset Management du pôle Financial Services). En
  raison d’une réorganisation, il a été décidé de faire évoluer les pratiques de cybersécurité entre le Groupe et ses
  filiales, ce qui a entrainé des écarts entre la nouvelle PSSI et les pratiques terrain. En lien direct avec le RSSI et les
  Process Owners , mon rôle était notamment d’harmoniser les pratiques et de sensibiliser aux bonnes pratiques en
  matière de cybersécurité.
  Responsabilités
  Risques et continuité :
   Création, revue et mise à jour des Business Impact sur chaque asset
   Revue de la cartographie de risques cyber en prenant en compte les threats et les mitigations appropriées.
  Intégration sécurité dans les projets :
   Initiation d’un ESP (éligibilité sécurité projet) pour définir le DICP
   Revue du questionnaire ESP et challenge du métier (Chef de projet)
   Définition des exigences de sécurité avec le RSSI (ISO 27002)
   Suivi des plans d’actions issus des exigences de sécurité avec le CdP
   Go/No Go pour la mise en production de l’application
  Réalisation et publication des contrôles techniques et organisationnels (trimestriels, semestriels, annuels) LoD2 :
  Continuité d’activité, IAM, Gouvernance, Sauvegardes & Archivage, Développement & projets, Opérations IT
  Test d’intrusion & test de vulnérabilités :
   Définition du plan annuel des tests
   Mise en relation des parties prenantes pour les prérequis
   Pilotage de la réalisation des tests sur les assets selon le planning défini
   Suivi de la restitution des tests par les auditeurs / pentesters
   Animation des comités de suivi des correctifs des vulnérabilités détectées
  Conformité :
   Remontée les incohérences pour remédiation au process owner et au support de l’outil Archer GRC
   Agrégation des non-conformités issues des contrôles, des tests d’intrusion et de vulnérabilité.
   Suivi des plans de remédiation jusqu’à clôture avec évidences à l’appui
   Usage de l’outil Archer GRC pour la production des Dashboard
  Normes et méthodes
   ISO/CEI 27002 exigences de sécurité de l’information
   ISO/CEI 27005 Risk Manager
   EBIOS Risk Manager

  Environnement technique et fonctionnel  Archer GRC  Cockpit  THOR

• Groupe Société Générale (SGCIB) Operational Risk Manager & Contrôle interne
  Jan 2020 - Jan 2021

  Contexte
  La Société Générale dispose d’un Business Solution Center (BSC) qui est intégré à la Direction des Ressources et
  de l’Innovation. Le BSC centralise l’ensemble des projets sécurité sur le périmètre RESG/BSC. Au sein de cette
  entité se trouve l'équipe ORM de la sécurité, composée de 10 personnes et qui intervient sur les problématiques
  liées à la transformation du Groupe SG.
  Responsabilités
  Contrôle interne : Contrôle de niveau 1 et de Supervision Managériale :
   Accompagnement méthodologique du métier sur la réalisation des contrôles
   Réalisation des contrôles centraux sur les thématiques RH, Gouvernance...
   Re-certification des accès des managers aux applications
   Vérification de la conformité des contrôles pour la LoD3 (IGAD)
   Reporting sur les contrôles à destination du responsable sécurité (RSSI)
  Risk Management :
  Évaluation des risques et contrôles (RCSA)
   Participation aux exercices annuels d’auto-évaluation des risques et contrôles (RCSA)
   Échange avec les responsables de BU sur les risques identifiés
   Actualisation et mise à jour de la cartographie des risques par rapport à N-1
  Traitement des Acceptations du Risque (RAF)
   En cas de non-correction des vulnérabilités sur les applications par le métier
   Formalisation des procédures d’acceptation du risque
  Conformité :
   Gestion des dispositifs de Conformité avec le métier
   Initiation d’un registre de traitement en relation avec la responsable RGPD,
   Mise en place d’un PIA avec l’outil OneTrust
  Normes, exigences et logiciels
   Normes: RGPD, ISO 27002, ISO 27005 Risk Manager, EBIOS Risk Manager
  

  _OneTrust, MyRCSA, GPS & Ariane

• Jan 2019 - Jan 2020

  Contexte
  Pierre & Vacances (P&V) souhaite réaliser une série d’analyses d’impact relative à la protection des données à
  caractère personnel (DPIA) concernant plusieurs de leurs applications et traitements. Ce DPIA concerne un projet
  ayant pour objectif de faire évoluer le processus de gestion de consentements de P&V via un outil de gestion
  automatisé du consentement. L’enjeu de ce projet est de faciliter la structuration des données, leur analyse
  opérationnelle et leur transformation pour pouvoir ensuite élaborer des applications métiers à forte valeur ajoutée
  en assurant la conformité, au regard des exigences réglementaires en matière de protection et de sécurité des
  données à caractère personnel. Le but de ce DPIA est de maintenir la culture du Privacy By Design au sein de
  l’organisation.
  Responsabilités
  Réunion de cadrage avec les parties prenantes (RSSI, DPO et le métier)
   Définition des objectifs, précision du contexte et délimitation du périmètre
   Définition de la finalité, des enjeux et la durée de conservation de données
   Description de la portée des traitements de données
   Identification des moyens supports de traitement (réseaux, matériels...)
  Identification des risques sur les applications concernées avec l’appui du RSSI
   Usage de la norme ISO/27005 Risk Manager
   Usage de la méthodologie EBIOS Risk Manager
   Identification des potentielles menaces, sources de menaces (internes/externes)
   Réalisation des scénarii de risques
   Élaboration de la cartographie des risques inhérents ou bruts
  Analyser des mesures de sécurité adaptées
   Définition et mise en place des mitigations face aux menaces
   Définition et mise en place des mesures de correction des vulnérabilités
   Élaboration d’une cartographie de risques résiduels
   Élaboration des recommandations de sécurité et de conformité RGPD
   Réalisation d’un rapport avec signature du DPO et du RSSI
  Normes et méthodes
   ISO/CEI 27005 Risk Manager
   ISO/CEI 27002 exigences de sécurité de l’information
   EBIOS Risk Manager
   RGPG
   Guide la sécurité des données personnelles – CNIL

• SOCIETE GENERALE Directeur de Projet Cyber Sécurité
  Jan 2018 - aujourd'hui

  Objectif : Piloter des projets de cybersécurité à dimension technique et humaine complexe. En parallèle,
  accompagner le management dans la conduite du changement de l’activité et initier le MSSP à la culture projet.
  Donner une trajectoire aux ambitions fixées par le management:
   Etudier le marché et consulter les éditeurs susceptibles de répondre aux besoins
   Initier et superviser une phase de POC avec les éditeurs sélectionnés
  Apprécier l’opportunité de lancer un projet basé sur l’extrapolation de données préliminaires:
  Les bénéfices attendus et la marge qui peut être récupérée à travers divers KPI
  Les coûts divers
  Les risques
  Le capacity planning
  La roadmap existante de l’activité
   Préparer et soutenir le Business Case devant l’instance décisionnelles
   Piloter le projet et tenir le P&L à jour pour vérifier si la marge est conforme à celle calculée
   Adhérer les ressources humaines du MSSP à la restructuration de l’activité:
   Elaborer des plans de communication ciblés à destination des différents acteurs
   Etablir une feuille de route pour implémenter les nouveaux procédures et processus
   Anticiper les perturbations pouvant être crées par le changement
  Durant toute la phase de transformation:
  Identifier les règles transgressées et co-construire avec les ressources des règles congruentes
  Identifier les zones d’incertitudes pour les réduire et recréer un équilibre
  Converger vers un rapport de force maitrisé entre les acteurs et le management
  Aligner le comportement des ressources sur la nouvelle stratégie du management
  Finance, Management et Livrables:
   Gestion de projets de 800K à 1 000K€ : CAPEX, OPEX et coût ETP cumulés
   Management de 2 chefs de projets, 4 ressources Run et différents éditeurs
   Cadrage et pilotage de trois projets majeurs, à criticité élevée:
  Stabilisation du SIEM (Security Information and Event Management)
  UEBA (User Behaviour Analysis)
  APT (Advanced Persistent Threat)

  Environnement : GTS/ SEC/ SOC – Security Operation Center

• Directeur de Programme Infrastructure et Cyber Sécurité

  BNP PARIBAS PARTNERS FOR INNOVATION
  Jan 2017 - Jan 2018

  Objectif : Dans un contexte international, échanges exclusivement en anglais, piloter les portefeuilles projets cybersécurité, infrastructure et business pour le compte du client BNL et Findomestic, basés respectivement à Rome etFlorence.
  Consolider et synthétiser l’activité « projets »:
   Bâtir et gérer un plan unifié et cohérent des projets de BP²I pour le compte du client
   Offrir une vision consolidée de l’avancement et de la performance de ce plan de projets
   Agréger la capacité requise pour la réussite du plan
   Rapporter à la direction sur l’impact financier et budgétaire de l’activité issue du plan Gérer,
  suivre et contrôler le Plan projets :
   Préparer les dossiers à présenter aux instances décisionnel...