Martin CHARRON

AUXILIUM : Consultant sécurité sénior

Intervention en tant que consultant expert sécurité ainsi que formateur en gestion de projet et sur le management de la sécurité des systèmes d’information, J’interviens sur les problématiques de sécurité au travers de conseil en architecture, d’audit de sécurité, de mise conformité, d’analyse et de gestion des risques opérationnels.

Élaboration de l’offre Auxilium sur la sécurisation du patrimoine informationnel et sur la gestion des problématiques de la donnée sensible et du records management.

LCH CLEARNET SA - 07/2010 au 04/2011
Analyste Sécurité
Revue documentaire des parties organisationnelles et fonctionnelles du système de management de la sécurité (SMSI) s’appuyant sur la norme ISO 27002. Rédaction des directives sécurité, procédures et des contrôles permanents de niveau 1 et 2 dans le cadre du contrôle de l’audit interne et de la commission bancaire.

ATOS WORLDLINE FINANCIAL MARKET (AWFM) 09/2009 au 07/2010
Adjoint au RSSI (CSO), Analyste Sécurité

Assistance au RSSI sur la mise en place du management de la sécurité des systèmes d’information pour Atos Worldline Financial Market: Maintient et diffusion de la Politique de sécurité au sein de AWFM, Indicateurs de gestion de la sécurité et tableau de bord sécurité, Newsletter sécurité mensuelle et accompagnement sécurité sur les projets AWFM.

Correspondant projet sécurité pour LCH Clearnet : Audit sécurité annuel basé sur la norme ISO 27002 dans le cadre de l’attente contractuelle, participation au comité de direction et de suivie sécurité, mise en place des indicateurs sécurité.

BUREAU VERITAS 05/2009 – 08/2009
Intérim RSSI (CSO)
Animer l'équipe de "Virtual security Team" et définition d’un macro bilan sécurité et proposition d’un schéma directeur à court et moyen terme.
Définition des processus de gestion de cellule de crise (Attaque virale, Hacking, etc.)

AXA IM – Consultant senior – Architecte sécurité
Participer aux projets de sécurité en fournissant des spécifications fonctionnelles de sécurité, contrôlant les coûts et les délais, validant les solutions techniques retenues. Validation de la conformité de solutions aux politiques et standards de sécurité.Expression des besoins de sécurité, identification et analyse des risques sécurité sur le système d’information. Participation aux revues et contrôles effectués dans le cadre du contrôle Sarbanes-Oxley ;

NATIXIS Manager des Risques Opérationnels

Dans le contexte de la règlementation Bâle II, mes responsabilités en tant que manager des risques opérationnels étaient la réalisation et le maintien de la cartographie des risques opérationnels, conduite avec les entités et lignes métiers de la DSI et SSI. La définition et la mise en place des indicateurs de risques sur l’activité du pôle Systèmes d’Information. Réalisation des cartographies des risques opérationnels conduite avec les entités / lignes métiers de la DSI et SSI. Définition de la récurrence des incidents et des pertes associés dans le cadre de la règlementation Bâle II.

CYBER-NETWORKS 10/2005 – 03/2007
CONSULTANT SENIOR SECURITE DES SYSTEMES D’INFORMATIONS

Intervention en clientèle comme consultant sécurité senior dans le cadre de l’offre RSSI on Help© ainsi que sur de nombreux projets touchant les périmètres d’audit sécurité (technique, fonctionnelle et organisationnelle) en fonction de référentiel, d’audit de certification ISO 27001, d’étude de spécifications de sécurité technique et organisationnelle, de test d’intrusion (gray box, white box), de mise en place de politique de sécurité, de définition de schéma directeur ainsi que l’analyse des règles d’exploitation (règles et procédures existantes) et l’identification des processus d’exploitation.

BANQUE DE FRANCE – 08/2006 – 02/2007
Etude des règles d’exploitation et identification des processus

SFR – 06/2006 – 07/2006
Etude du périmètre certification ISO27001:2005 et conformité en rapport à la norme

FIDEURAM WARGNY – 05/2006 – 06/2006
Auditeur sur projet de sécurisation de l’architecture système

XIRING – 04/2006 – 06/2006
Management de projet de refonte du système d’information

AXA GIE – 02/2006 – 04/2006
Projet SSO

LEXISNEXIS – 01/2006 – 12/2007
Intérim RSSI (chef de projet sécurité sur la mise en conformité)

ABN-AMRO – 12/2005 – 01/2006
Audit de sécurité des accès sur système de fichier et de procédures organisationnelles

SGAM (Société Général Asset Management) – 10/2005 – 12/2005
Chef de projet sécurité, Audit de sécurité

BANQUE DE FRANCE 08/2003 – 08/2005
CONSULTANT SENIOR SECURITE DES SYSTEMES D’INFORMATION

Assistance RSSI, Architecte sécurité, gestion de projet sécurité, pilotage et audit de conformité

Dans le cadre du projet de migration des 2500 serveurs et 15 000 postes de travail dans l’environnement Windows les responsabilités du chef de projet sécurité étaient de représenter le SSI (Service Sécurité Informatique) au sein de l’équipe projet Windows afin de les assistés sur la définition et la mise en place de l’architecture, le respect des procédures et des politiques de sécurité de la Banque de France et de la banque centrale européenne sur l’environnement cible.

Etudes et spécifications dans le cadre du projet migration Windows (2500 serveurs, 15 000 poste de travail):
• Analyse et conseil sur l’architecture et de la sécurisation de l’annuaire LDAP (Active Directory) ;
• Elaboration et suivi des référentielles sécurités sur les configurations des serveurs d’infrastructure, serveur membre, bases de données, passerelles et postes de travail ;
• Expression des besoins de sécurité, identification et analyse des risques techniques, proposition de contre-mesures et recommandations, suivi de la couverture des risques ;
• Participation aux revues et contrôles effectués dans le cadre du contrôle permanent de niveau 2 ;
• Rédaction des guides de durcissement des serveurs d’infrastructure, applicatif et d’intégration applicative ;
• Mise à jour de la politique de sécurité de la Banque de France ;
• Membre actif de l’équipe projet de migration en représentation du SSI ;
• Définition des stratégies de déploiement de la sécurité par GPO des serveurs et stations de travail ;
• Assistance à l’élaboration des référentielles sécurités des serveurs de la BCE (Banque Centrale Européenne) ;
• Participation active aux comités de décision, validation et expertise technique (architecture système et gestion des accès et positionnement de la sécurité par GPO de Microsoft).

Audit conformité :
• Audit de sécurité et de conformité des plates-formes de développement, d’intégration et de production par rapport aux référentiels BDF et BCE ;
• Analyse des spécifications de mise en production ;

Groupe de travail :
• Membre actif des comités de décision, de suivi, de direction du projet Windows;
• Membre actif du comité de validation des règles de sécurités positionné par GPO.
• Membre actif du comité sur la lutte des virus informatiques.

AEA INTERNATIONAL 11/2001 - 06/2003
DIRECTEUR DES SYSTEMES D’INFORMATION

Mes responsabilités en tant que directeur des systèmes d’informatique en France et sur les entités suisses et Nigérienne étaient le management de l’équipe informatique constitué de dix personnes, la définition du schéma directeur, le maintien de la cohérence et de l'évolution du système d'information tant sur le plan technique, fonctionnel et organisationnel dans un contexte de haute disponibilité. La mise en place du service qualité client, de la politique de sécurité ainsi que la définition du budget du service informatique.

En parallèle, j’assumais la gestion de projet en maitrise d’ouvrage de l’évolution de l’application métier d’AEA de suivi des appels d’incidents par le centre d’assistance basé à Paris pour la région Japon, Europe et Afrique.

• Management et gestion organisationnelle et technique du SI
• Définition du schéma directeur
• Responsable de la cohérence et de l'évolution du système d'information dans un contexte de haute disponibilité
• Définition de plans d’action en coordination avec les différents sites AEA sous ma responsabilité
• Mise en place de la politique de sécurité et des règles de sécurité informatiques
• Définition et suivi du budget
• Gestion des relations avec les fournisseurs externes et prestataires de service
• Pilotage technique et fonctionnel du système d’information en Europe (France, Suisse) et Afrique (Nigeria)

MCI / EMC² 10/1998 - 10/2001
RESPONSABLE DES SYSTEMES D’INFORMATION

Mes responsabilités étaient la mise en place du service informatique de la société MCI en adéquation avec les besoins métier de MCI et des prérogatives du groupe EMC² principale actionnaire de MCI. Le maintien de la cohérence et de l'évolution du système d'information tant sur le plan technique que fonctionnel, l’établissement du plan directeur, le management de l’équipe informatique constitué de cinq personnes, la définition ainsi que la mise en place des plans d’actions en coordination avec les autres entités EMC², la définition des règles de gestion et la définition du budget.

En parallèle, j’assumais la qualification et réponse aux appels d’offres ainsi que la gestion des projets en maitrise d’ouvrage.

• Management et gestion organisationnelle et technique du SI ;
• Responsable de la cohérence et de l'évolution du système d'information sur le plan technique et fonctionnel ;
• Définition du schéma directeur,
• Définition de plans d’action en coordination avec les différents métiers ;
• Définition et suivi du budget
• Gestion de la relation fournisseurs et prestataires de service
• Spécification des règles de sécurité des ressources informatiques
• Analyse des besoins internes (MOA) et rédaction des cahiers des charges
• Conseil en architecture technique en réponse aux appels d’offres
• Suivi des projets en maîtrise d'œuvre.

CHEF DE PROJET SUR DEPLOIEMENT SYSTEME ET RESEAU
(MATREC – TRANSVICK, LAB INTERNATIONAL, ROULEMENT NATIONAL)

• Conception et gestion de l’évolution de l’architecture réseau LAN, WAN;
• Gestion des évolutions de l’architecture réseau globale
• Conception et suivi de l’architecture systèmes (Windows, SCO Unix et AIX) ;
• Mise en place d’une stratégie de sauvegarde
• Spécification des standards de configuration des serveurs et stations ;
• Rédaction de la documentation technique ;
• Spécification des règles de sécurité des ressources informatiques ;
• Gestion des relations avec les fournisseurs externes et prestataires de service ;
• Encadrement et supervision d’équipe ;
• Support technique de troisième niveau ;
• Transfert de compétences et sensibilisation