Daniel LINLAUD

- Organisme de retraite, prévoyance et assurance de personnes (2010) - Lyon
Direction de mission « Etude préalable IAM ».
1) Première étape : étude critique de l’existant incluant les processus de gestion des comptes et des habilitations, les aspects fonctionnels par macro-processus et par applicatifs, la gestion et la structure des identifiants et l’infrastructure technique (cartographie), et faisant ressortir les points forts et les points faibles.
2) Deuxième étape : étude des solutions possibles, coûts et faisabilité : description des processus cibles, gestion et structure des identifiants, architecture fonctionnelle et applicative, faisabilité technique (architecture technique), étude des solutions du marché, présentation et évaluation des scénarios possibles (description, avantages/inconvénients, stratégie et méthode, conditions de réalisation, impacts utilisateurs, cohérence avec le schéma directeur système d’information et sécurité de l’information, risques et points critiques, gains, budget ventilé outil – infrastructure – MOE et MOA en J/H – intégrateur - assistance, planning).
3) Troisième étape : présentation au Comité de direction pour arbitrage et prise de décisions (synthèse de l’étude).
4) Quatrième étape : rédaction du cahier des charges, assistance pour la consultation, dépouillement des offres et aide au choix d’un éditeur et d’un intégrateur, en vue de l’acquisition de la solution cible.
Ce programme est découpé en 12 projets :
* Processus de gestion des identités (workflow).
* Audit, revue et reporting (réconciliation).
* Gestion des espaces de stockage et d’échange (DLP).
* Constitution du référentiel des utilisateurs (annuaire LDAP et référentiel des identités).
* Constitution du référentiel des ressources.
* Solution de modélisation et de gestion des habilitations (RBAC).
* Inventaire des données et classification.
* Modélisation des habilitations (RBAC)
* Identification et authentification forte, accès aux ressources (SSO).
* Gestion technique des comptes et des habilitations (moteur de provisioning et connecteurs).
* Intégration des modalités de gestion des comptes et des droits dans le cycle de déroulement d’un projet.
* Revalidation des comptes et des droits existants.

- Industrie (2007 à 2010) – Paris
* Direction du projet de gestion des identités et des accès (IAM) en assistance à maîtrise d’ouvrage auprès de la Direction de la sécurité des systèmes d’information : étude de faisabilité, cadrage, élaboration des processus, rédaction des procédures et des workflows (gestion des comptes, gestion des rôles et des profils, revues, etc.), assistance à la définition des rôles et à la modélisation (RBAC étendu), gestion de la séparation des tâches et des pouvoirs (SOD), sensibilisation des acteurs, renforcement des mots de passe et SSO, aide à la réconciliation, etc.
* Rédaction du volet « gestion des accès logiques » de la politique de sécurité de l’information.

- GIE informatique dans le domaine de la retraite complémentaire (2010) – La Défense
* Gestion des accès logiques et modélisation rôles-profils selon la méthode RBAC : rédaction des procédures de gestion des comptes informatiques et des rôles (création et attribution), modélisation des rôles sur l’ensemble du périmètre (processus métiers et supports) en approche top-down ou bottom-up selon le niveau de description des processus. Rédaction des guides méthodologiques pour transfert de compétence au RSSI et au contrôle interne.
* Elaboration du PAS (Plan d’assurance sécurité), inséré dans la méthode de suivi et de développement des projets (questionnaire de pré-évaluation en phase d’étude d’opportunité, analyse des risques du système cible et classification en phase de rédaction du cahier des charges).
* Préparation de la certification ISO 27001 : audit de la situation actuelle et assistance pour la mise en conformité, l’objectif étant une certification ISO 27001 courant 2011.

- Organisme de retraite, prévoyance et assurance de personnes (2009) - Lyon
* Stratégie de continuité d’activité : BIA, choix des pro

CONSULTANT EXPERT EN SECURITE DES SYSTEMES D’INFORMATION

* Conduite de projets de sécurité, assistance à maîtrise d’ouvrage, accompagnement ou assistance au RSSI.
* Expertise ISO 27001 et ISO 27002 (ex-ISO 17799) ; mise en œuvre de ces normes, préparation à la certification, formation.
* Audits en sécurité de l’information (ISO 27001, MEHARI, EBIOS ou référentiels sectoriels).
* Analyse des risques (ISO 13335 - MEHARI, ISO 27005), classification des informations et des actifs.
* Elaboration du système de gestion de la sécurité de l’information (ISMS) : politiques de sécurité, guides d’exploitation, procédures, chartes, schémas directeurs, plans d’action, tableaux de bord, plans d’assurance sécurité (PAS), conventions ou contrats de service (SLA), etc.
* Stratégie de continuité d’activité - norme BS 25999, gestion des incidents, PCA (Plans de continuité de l’activité) et PRA (Plans de reprise de l’activité).
* Gestion des identités et des accès (IAM), modélisation des rôles (RBAC étendu), séparation des tâches (SOD), rédaction des procédures de gestion des rôles, des comptes et des habilitations.
* Mise en conformité avec la législation Sarbanes-Oxley Act (SOX) sur le périmètre IT.
* Animation de sessions de formation, de séminaires et de groupes de travail, actions de sensibilisation.