Votre navigateur est obsolète !

Pour une expériencenet et une sécurité optimale, mettez à jour votre navigateur. Mettre à jour maintenant

×

Mario ZANNOU

Consultant en Cybersécurité / RSSI

CISM, CRISC, ISO 27001
Cybersécurité - Gouvernance - Conformité et Risques SSI
Freelance Ouvert aux opportunités
Consultant senior en cybersécurité, certifié CISM (Certified Information Security Manager), CRISC (Certified in Risk and Information Systems Control), ISO 27001 Lead Implementer et PECB Trainer, j’interviens sur des missions de gouvernance, gestion des risques, conformité et projets SSI. J’accompagne également les organisations en tant que RSSI, renfort sur projets SSI, audits ISO 27001, intégration de la sécurité dans les projets (ISP) et analyse de risques, pour renforcer leur posture cybersécurité et conformité réglementaire.
Expériences
  • En tant que responsable cybersécurité de l’OpCo France, je suis chargé de piloter la stratégie locale de cybersécurité en alignement avec les cadres globaux de HEINEKEN, tels que le NIST et l’ISO 2700X. Mon rôle englobe la mise en œuvre de mesures pour maîtriser les risques de sécurité, notamment à travers l’analyse de sécurité des systèmes et processus, la gestion des risques, et l’élaboration de plans de continuité et de reprise d’activité (DRP). J’assure également la sensibilisation des collaborateurs pour renforcer la posture de sécurité de l’OpCo France tout en garantissant la conformité avec les exigences du groupe.
  • OPERATIONS DE SECURITE
    • Mise en œuvre des stratégies de sécurité globales pour maintenir la continuité des systèmes et mise à jour de ces stratégies en fonction des menaces locales
    • Veiller au respect des politiques internes et externes en matière de sécurité de l'information et de cybersécurité, examiner et évaluer les audits de sécurité de l'information.
    • Élaboration et gestion du plan d'action en matière de sécurité de l'information afin de remédier aux risques identifiés et aux cas de non-conformité.
    • Pilotage de la résolution des incidents de cybersécurité et traitement des vulnérabilités en matière de sécurité.
  • SENSIBILISATION A LA SECURITE
    • Gestion des campagnes de formation sur la sensibilisation à la cybersécurité conformément au programme global de sensibilisation à la sécurité et en fonction de la réalité locale de l'OpCo
    • Gestion et formation du personnel chargé de la cybersécurité.
  • STRATEGIE DE SECURITE
    • Identification des risques potentiels et recommandations sur la manière de prévenir et/ou d'éviter ces risques en vue de leur inclusion dans la stratégie globale de sécurité opérationnelle.
    • Collaboration avec les services régionaux pour comprendre et développer les contrôles et les processus nécessaires à l'amélioration de la sécurité de l'information.
  • CONTROLE DES PROCESSUS
    • Coordination de la gestion des incidents de sécurité.
    • Coordination de l'auto-évaluation des contrôles.
    • contribuer à l'examen et à la clôture des questions de sécurité de l'information
    • Examiner l'exécution des prestations de sécurité du PCD (conformité des correctifs, AV, sauvegardes, etc.).
    • Soutien aux communications de l'OpCo et au déploiement des normes de sécurité, des procédures, etc.
  • GESTION DES CHANGEMENTS (CAB) :
    • Coordination et supervision des changements technologiques et organisationnels ayant un impact sur la sécurité.
    • Participation aux comités de gestion des changements (CAB) pour évaluer et valider les modifications.
    • Assurance que tous les changements respectent les standards de sécurité et les exigences réglementaires.
  • En tant que consultant cybersécurité et référent SI & conformité, j’ai assuré des missions stratégiques et opérationnelles pour renforcer la posture sécurité du groupe SwissLife, en alignant les pratiques locales sur les standards internationaux et les exigences de conformité.
  • GOUVERNANCE ET CONFORMITÉ
    • Mise en œuvre et suivi des politiques de sécurité (ISO 2700X) pour garantir leur application dans les projets.
    • Définition et application des règles et normes de sécurité au travers des dossiers de sécurité pour assurer la conformité avec la gouvernance du groupe.
    • Organisation et animation mensuelle du COMSEC (Comité de Sécurité) pour présenter au management les indicateurs de sécurité et l’avancée des projets SSI.
    • Supervision des processus de conformité, en collaboration avec le CISO, pour garantir l’alignement des politiques avec les exigences réglementaires.
  • SUIVI OPÉRATIONNEL DE LA SÉCURITÉ
    • Pilotage des analyses de risques et des processus ISP (intégration de la sécurité dans les projets).
    • Mise en place et suivi des contrôles de premier niveau et des indicateurs opérationnels de sécurité.
    • Pilotage des revues périodiques des habilitations, incluant les couches basses et applicatives, pour garantir un contrôle strict des accès.
    • Coordination des tests d’intrusion et des scans de vulnérabilités, avec suivi rigoureux des plans de remédiation pour assurer une sécurité proactive.
  • GESTION DES PLANS DE CONTINUITÉ ET DE REPRISE D’ACTIVITÉ (PCI/PCA)
    • Pilotage des scénarios de tests annuels PCI/PCA, en collaboration avec les parties prenantes, pour garantir la résilience des systèmes critiques.
    • Organisation et coordination des exercices annuels PCI/PCA afin d’évaluer l’efficacité des processus de continuité et de reprise d’activité.
  • SENSIBILISATION ET FORMATION À LA SÉCURITÉ
    • Mise en place et gestion des campagnes de sensibilisation à la sécurité, incluant des exercices de phishing pour évaluer et améliorer la vigilance des collaborateurs.
    • Développement de programmes de sensibilisation sur les bonnes pratiques en cybersécurité, adaptés aux différents niveaux de l’organisation.
  • RÔLE DE RÉFÉRENT SÉCURITÉ
    • Interface entre la gouvernance sécurité et les équipes opérationnelles, en assurant un rôle de coordination pour l’application des politiques et processus du groupe.
    • Pilotage des initiatives stratégiques en sécurité de l’information pour renforcer la posture globale de SwissLife face aux menaces émergentes.
  • En tant que référent cybersécurité et manager IAM, j’ai joué un rôle stratégique au sein de l’équipe CISO de Crédit Agricole Assurances, en pilotant des projets complexes de sécurité des systèmes d’information (SI) et en optimisant la gestion des identités et des accès (IAM).
  • SÉCURITÉ DES PROJETS
    • Qualification et évaluation des projets nécessitant un accompagnement en cybersécurité, avec une approche axée sur la réduction des risques.
    • Conduite des analyses de risques (outil MESARI), identification des risques résiduels, et mise en œuvre de plans de sécurité adaptés.
    • Supervision des tests d’intrusion (boîte noire et grise), avec pilotage des actions de remédiation pour renforcer la posture de sécurité.
    • Pilotage de la gouvernance sécurité : définition des mesures stratégiques à intégrer dans les projets critiques pour répondre aux exigences du groupe.
  • MANAGEMENT DES IDENTITÉS ET DES ACCÈS (IAM)
    • Conseil stratégique et élaboration de plans projet IAM, incluant l’identification des applications critiques et l’intégration des processus de revues des habilitations métiers et hiérarchiques.
    • Mise en œuvre des recommandations issues des audits de l’Inspection Générale Groupe (IGL), avec un suivi rigoureux des résultats.
      Environnement technique : BrainWave.
  • AMÉLIORATION CONTINUE ET GOUVERNANCE IAM
    • Renforcement des processus de gestion des rôles, profils et droits associés pour une meilleure maîtrise des accès.
    • Optimisation des délais de désactivation des droits en cas de départ ou de mobilité, et mise en place de processus pour gérer les dérogations.
    • Supervision de la gestion des politiques de mots de passe et de la couverture des applications critiques dans les outils de contrôle.
  • PILOTAGE DES REVUES PÉRIODIQUES DES HABILITATIONS
    • Coordination des revues régulières des habilitations métiers et hiérarchiques pour assurer la conformité et minimiser les risques liés aux accès non autorisés.
  • En tant que consultant senior en cybersécurité, j’ai occupé un rôle stratégique et opérationnel au sein de la DSI du groupe EGIS, avec pour mission de renforcer la sécurité des systèmes d’information, d’optimiser la gestion des risques et de garantir la conformité aux exigences réglementaires et normatives.
  • GOUVERNANCE ET STRATÉGIE SSI
    • Élaboration de la stratégie SSI : Conception et mise en œuvre d’une stratégie de sécurité globale pour le groupe, intégrant les directives ISO 2700X, RGPD, RGS, et ANSSI, afin d’aligner les pratiques internes avec les standards internationaux.
    • Plan d’Assurance Sécurité (PAS) : Définition et pilotage du PAS pour évaluer la sécurité des prestataires externes, garantir la conformité aux exigences de sécurité et rassurer les clients sur les contrôles en place au sein du groupe.
    • Supervision des solutions techniques : Suivi des solutions de sécurité (antivirus, IDS, firewall, antispam) et proposition d’évolutions techniques pour répondre aux menaces émergentes.
  • GESTION DES RISQUES ET DES VULNÉRABILITÉS
    • Analyses de risques : Réalisation d’analyses approfondies des risques internes et des filiales du groupe avec les méthodologies EBIOS RM et MEHARI, incluant l’identification des vulnérabilités, l’évaluation des menaces et la définition de plans de traitement.
    • Patch Management : Conception et pilotage d’un processus structuré de gestion des correctifs, assurant une réactivité rapide face aux vulnérabilités critiques et un maintien du SI à jour.
    • Veille SSI proactive : Mise en place d’un mécanisme de veille SSI pour surveiller en temps réel les menaces émergentes et garantir la prévention des risques.
    • Tests de sécurité : Coordination des tests d’intrusion et des scans de vulnérabilités pour évaluer l’efficacité des mesures en place, avec suivi des remédiations jusqu’à leur résolution complète.
  • IDENTITÉ ET GESTION DES HABILITATIONS (IAM)
    • Mise en place d’un projet IAM : Conception et déploiement d’une solution globale de gestion des identités et des accès, avec une structuration des rôles, profils et droits d’accès associés.
    • Gestion des habilitations : Supervision des processus d’accès liés aux arrivées, départs et mutations des collaborateurs, avec une gestion rigoureuse des dérogations pour éviter les accès non conformes.
    • Revues des habilitations : Organisation de revues périodiques des habilitations pour garantir que les droits d’accès soient en adéquation avec les besoins opérationnels et la politique de sécurité du groupe.
  • RÉSILIENCE ET CONTINUITÉ D’ACTIVITÉ
    • Tests des stratégies de secours : Conduite de revues et de tests réguliers des stratégies de continuité d’activité (PCA, PRA, PRI) pour garantir la disponibilité des systèmes critiques en cas d’incident majeur.
    • Mise à jour des processus documentaires : Actualisation des procédures associées aux stratégies de secours pour s’assurer de leur pertinence et efficacité opérationnelle.
  • GESTION DES INCIDENTS ET CONSEIL STRATÉGIQUE
    • Gestion des incidents : Animation d’un processus de gestion des incidents de sécurité, depuis la détection initiale jusqu’à la remédiation et l’analyse post-incident pour renforcer les mesures préventives.
    • Projets sensibles et confidentiels : Participation à des projets classés confidentiel défense, apportant un conseil stratégique et une supervision pour garantir la conformité avec les exigences de sécurité les plus strictes.
    • Accompagnement des équipes : Coordination avec les équipes projets pour intégrer les exigences de sécurité dès les premières phases des projets, garantissant une sécurité by design.
  • Membre auditeur IHEDN, car ayant suivi la formation sur "Sécurité économique et protection du patrimoine" de l'Institut des Hautes Études de Défense Nationale.
  • Accompagner aux risques d’intrusions provenant de puissances ou d’intérêts extérieurs, auxquels les acteurs peuvent être confrontés dans leur activité.
  • Présenter les réponses défensives et offensives prévues au niveau gouvernemental pour contrer ces menaces au sein des organisations et entreprises.
  • Sensibiliser à l'importance d'une politique de Sécurité des systèmes d'information (SSI) et à sa mise en œuvre.
  • En tant que chargé de mission et chef de projets sécurité SI au sein de la filiale VIIA du groupe SNCF, j’ai conduit des initiatives stratégiques en cybersécurité, piloté des projets complexes, et renforcé la gouvernance et la protection des systèmes d’information. Mon rôle incluait également l’accompagnement des équipes pour intégrer les exigences de sécurité dans les processus métiers et garantir la conformité réglementaire.
  • GOUVERNANCE ET POLITIQUES DE SÉCURITÉ
    • Élaboration des politiques SSI : Rédaction et déploiement des documents clés, tels que la PSSI, la Charte informatique et le Plan d’Assurance Sécurité (PAS), pour structurer et harmoniser la gouvernance SSI.
    • Gestion des habilitations (IAM) : Mise en œuvre d’un projet global de gestion des identités et des accès, couvrant la ré-certification des comptes critiques, la gestion des processus d’entrée-sortie, et la supervision des droits d’accès.
    • Convergence internationale : Harmonisation des processus et outils de sécurité entre les succursales françaises et étrangères pour garantir une approche cohérente.
  • GESTION DES RISQUES ET CONFORMITÉ
    • Analyse des risques SSI : Réalisation de cartographies et analyses approfondies des risques avec les méthodes EBIOS et ISO 27005, permettant une maîtrise proactive des vulnérabilités.
    • Conformité réglementaire : Accompagnement à la conformité RGPD (protection des données personnelles) et à la certification ISO 27001 grâce à la mise en œuvre d’un SMSI (Système de Management de la Sécurité de l’Information).
  • CONTINUITÉ D’ACTIVITÉ ET RÉSILIENCE
    • Stratégies de secours : Élaboration, test et suivi des plans de continuité et de reprise d’activité (PCA, PRI, PRA) pour garantir la disponibilité des systèmes critiques en cas d’incident.
    • Documentation des processus : Mise à jour et optimisation des processus documentaires associés aux stratégies de secours pour assurer leur pertinence et efficacité.
  • GESTION DES PROJETS SSI
    • Qualification des projets : Analyse des besoins métiers et SI, évaluation des risques, et recommandation de solutions technologiques et méthodologiques adaptées.
    • Intégration de la sécurité dans les projets : Supervision de l’intégration des exigences de sécurité dès la phase de conception, garantissant une approche by design.
    • Pilotage des projets : Rédaction des cahiers des charges, gestion des prestataires et suivi des livrables pour assurer la réalisation des projets dans les délais et le respect des budgets.
  • FORMATION ET ACCOMPAGNEMENT**
    • Accompagnement des équipes : Assistance aux équipes métiers et techniques dans l’adoption des politiques de sécurité et des outils SSI, renforçant ainsi leur autonomie et la protection des actifs du groupe.
    • Formation sur la sécurité SI : Animation de formations sur les outils ERP métiers et sensibilisation des collaborateurs et prestataires aux bonnes pratiques de cybersécurité.
  • Pilotage et gestion projets web - Développement de plateforme web multilingue et multi-thèmes (international)
  • Etude et analyse des fonctionnalités en relation avec les utilisateurs, rédaction expression de besoins et cahier de charges.
  • Définition, coordination et réalisation des activités d’accompagnement du Changement lors des phases de déploiement.
  • Réalisation de la recette utilisateurs et rédaction du cahier de recette.
  • Intégration d’outils BI (QlikSense/QlikView) et CRM (Dimelo, Eptica…) et développement d’une application web
  • Support technique et fonctionnel sur les outils métiers.
  • Assistant projets SI
  • Suivi plateforme projet web cours à distance
  • Rédaction cahier de charges et processus SI
EXÉCUTIVE MASTER OF BUSINESS ADMINISTRATION (EMBA)
IAE PARIS - SORBONNE BUSINESS SCHOOL (MBA) – 2023
IFG EXECUTIVE EDUCATION (EXECUTIVE MBA) - 2023

INGÉNIEUR RÉSEAUX ET TÉLÉCOMMUNICATIONS
  • ECOLE D’INGÉNIEUR SUP GALILÉE - UNIVERSITÉ
    PARIS 13 - Paris FRANCE - Juin 2015

MASTER OF SCIENCE EN DATAMINING (PROGRAMME ERASMUS)
UNIVERSITY OF DEBRECEN
Debrecen HONGRIE – Février 2015

LICENCE PROFESSIONNELLE RÉSEAUX INFORMATIQUES
UNIVERSITÉ AFRICAINE DE TECHNOLOGIES ET DE MANAGEMENT BÉNIN – Juin 2011

DUT TÉLÉCOMMUNICATIONS
ECOLE SUPÉRIEURE DES TÉLÉCOMMUNICATIONS DE DAKAR
Dakar SÉNÉGAL – Juin 2010
  • ISO 27001 Lead Implementer (#ISLI1030127)
  • CISM (Certified Information Security Manager)
  • CRISC (Certified in Risk and Information Systems Control)
  • PECB Trainer
  • SÉCURITÉ ÉCONOMIQUE ET PROTECTION DU PATRIMOINE
    INSTITUT DES HAUTES ÉTUDES DE DÉFENSE NATIONALE (IHEDN) – 2019 (Promotion N° 322)
    Lien : IHEDN Formation
  • GESTION DE PROJETS
    Formation spécialisée dans le cadre de missions en cybersécurité et IT.
  • CISSP, ISO 27005 Risk Manager, ITIL, RGPD
Compétences Clés

Cybersécurité

    • Pilotage des SMSI: Expertise dans la conception, l’implémentation et la gestion de Systèmes de Management de la Sécurité de l’Information (ISO 2700X), avec un alignement stratégique sur les cadres internationaux (ISO, NIST) et réglementations (RGPD, ANSSI).
    • Gestion des vulnérabilités et des correctifs : Mise en place de processus avancés pour identifier, analyser et corriger les vulnérabilités, garantissant une posture de sécurité optimale.
    • Management des risques : Réalisation d’analyses d’impact métier (BIA), identification des menaces, évaluation approfondie des risques, et définition de stratégies de traitement adaptées.
    • Sécurité applicative : Expertise en intégration des contrôles de sécurité dans le développement applicatif (OWASP) pour protéger les systèmes critiques.
    • Gestion des incidents de sécurité : Conduite de bout en bout des processus de détection, réponse, atténuation, remédiation, et analyse post-incident pour garantir une amélioration continue.
    • Plans de continuité et de reprise d’activité(BCP/DRP) : Élaboration et gestion de PCA et PRA robustes pour minimiser l’impact des interruptions et garantir la résilience des opérations.
    • Rédaction de politiques de sécurité : Développement de PSSI, PAS, PRI et DRP alignés sur les meilleures pratiques pour une gouvernance efficace de la sécurité.
    • Gestion des identités et des accès (IAM): Mise en œuvre de solutions avancées pour sécuriser et gérer les droits d’accès dans des environnements complexes.
    • Veille stratégique en cybersécurité : Maintien d’une expertise à jour grâce à une veille constante et l’application des meilleures pratiques pour anticiper les évolutions des menaces.

Gestion de projets

    • Pilotage stratégique de projets Cybersécurité et SSI: Gestion complète de projets complexes, depuis la définition des besoins jusqu’à la livraison, en assurant l’alignement avec les objectifs métiers et les exigences de sécurité.
    • Maîtrise des méthodologies Agile et Scrum: Expertise dans la mise en œuvre de frameworks agiles pour favoriser la collaboration, accélérer les cycles de développement et garantir la qualité des livrables.
    • Gestion des risques et planification avancée : Identification proactive des risques, mise en place de plans d’atténuation, pilotage précis des plannings et suivi rigoureux des budgets.
    • Facturation et gestion financière: Supervision des aspects financiers des projets, y compris le suivi de la facturation, le contrôle des coûts et l’optimisation des ressources.
    • Gestion des relations client/fournisseur: Négociation et gestion des contrats, coordination avec les fournisseurs et externalisation de services via des Centres de Services pour maximiser l’efficacité et la satisfaction des clients.
    • Approche orientée résultats: Capacité à conduire des projets dans des environnements complexes et exigeants, en garantissant la qualité, le respect des délais et des coûts.