Mario ZANNOU

GOUVERNANCE ET CONFORMITÉ

• Mise en œuvre et suivi des politiques de sécurité (ISO 2700X) pour garantir leur application dans les projets.
  
• Définition et application des règles et normes de sécurité au travers des dossiers de sécurité pour assurer la conformité avec la gouvernance du groupe.
  
• Organisation et animation mensuelle du COMSEC (Comité de Sécurité) pour présenter au management les indicateurs de sécurité et l’avancée des projets SSI.
  
• Supervision des processus de conformité, en collaboration avec le CISO, pour garantir l’alignement des politiques avec les exigences réglementaires.
  

SUIVI OPÉRATIONNEL DE LA SÉCURITÉ

• Pilotage des analyses de risques et des processus ISP (intégration de la sécurité dans les projets).
  
• Mise en place et suivi des contrôles de premier niveau et des indicateurs opérationnels de sécurité.
  
• Pilotage des revues périodiques des habilitations, incluant les couches basses et applicatives, pour garantir un contrôle strict des accès.
  
• Coordination des tests d’intrusion et des scans de vulnérabilités, avec suivi rigoureux des plans de remédiation pour assurer une sécurité proactive.
  

GESTION DES PLANS DE CONTINUITÉ ET DE REPRISE D’ACTIVITÉ (PCI/PCA)

• Pilotage des scénarios de tests annuels PCI/PCA, en collaboration avec les parties prenantes, pour garantir la résilience des systèmes critiques.
  
• Organisation et coordination des exercices annuels PCI/PCA afin d’évaluer l’efficacité des processus de continuité et de reprise d’activité.
  

• Mise en place et gestion des campagnes de sensibilisation à la sécurité, incluant des exercices de phishing pour évaluer et améliorer la vigilance des collaborateurs.
  
• Développement de programmes de sensibilisation sur les bonnes pratiques en cybersécurité, adaptés aux différents niveaux de l’organisation.
  

• Interface entre la gouvernance sécurité et les équipes opérationnelles, en assurant un rôle de coordination pour l’application des politiques et processus du groupe.
  
• Pilotage des initiatives stratégiques en sécurité de l’information pour renforcer la posture globale de SwissLife face aux menaces émergentes.
  

SÉCURITÉ DES PROJETS

• Qualification et évaluation des projets nécessitant un accompagnement en cybersécurité, avec une approche axée sur la réduction des risques.
  
• Conduite des analyses de risques (outil MESARI), identification des risques résiduels, et mise en œuvre de plans de sécurité adaptés.
  
• Supervision des tests d’intrusion (boîte noire et grise), avec pilotage des actions de remédiation pour renforcer la posture de sécurité.
  
• Pilotage de la gouvernance sécurité : définition des mesures stratégiques à intégrer dans les projets critiques pour répondre aux exigences du groupe.
  

MANAGEMENT DES IDENTITÉS ET DES ACCÈS (IAM)

• Conseil stratégique et élaboration de plans projet IAM, incluant l’identification des applications critiques et l’intégration des processus de revues des habilitations métiers et hiérarchiques.
  
• Mise en œuvre des recommandations issues des audits de l’Inspection Générale Groupe (IGL), avec un suivi rigoureux des résultats.
  Environnement technique : BrainWave.
  

AMÉLIORATION CONTINUE ET GOUVERNANCE IAM

• Renforcement des processus de gestion des rôles, profils et droits associés pour une meilleure maîtrise des accès.
  
• Optimisation des délais de désactivation des droits en cas de départ ou de mobilité, et mise en place de processus pour gérer les dérogations.
  
• Supervision de la gestion des politiques de mots de passe et de la couverture des applications critiques dans les outils de contrôle.
  

PILOTAGE DES REVUES PÉRIODIQUES DES HABILITATIONS

• Coordination des revues régulières des habilitations métiers et hiérarchiques pour assurer la conformité et minimiser les risques liés aux accès non autorisés.
  

GOUVERNANCE ET STRATÉGIE SSI

• Élaboration de la stratégie SSI : Conception et mise en œuvre d’une stratégie de sécurité globale pour le groupe, intégrant les directives ISO 2700X, RGPD, RGS, et ANSSI, afin d’aligner les pratiques internes avec les standards internationaux.
  
• Plan d’Assurance Sécurité (PAS) : Définition et pilotage du PAS pour évaluer la sécurité des prestataires externes, garantir la conformité aux exigences de sécurité et rassurer les clients sur les contrôles en place au sein du groupe.
  
• Supervision des solutions techniques : Suivi des solutions de sécurité (antivirus, IDS, firewall, antispam) et proposition d’évolutions techniques pour répondre aux menaces émergentes.
  

GESTION DES RISQUES ET DES VULNÉRABILITÉS

• Analyses de risques : Réalisation d’analyses approfondies des risques internes et des filiales du groupe avec les méthodologies EBIOS RM et MEHARI, incluant l’identification des vulnérabilités, l’évaluation des menaces et la définition de plans de traitement.
  
• Patch Management : Conception et pilotage d’un processus structuré de gestion des correctifs, assurant une réactivité rapide face aux vulnérabilités critiques et un maintien du SI à jour.
  
• Veille SSI proactive : Mise en place d’un mécanisme de veille SSI pour surveiller en temps réel les menaces émergentes et garantir la prévention des risques.
  
• Tests de sécurité : Coordination des tests d’intrusion et des scans de vulnérabilités pour évaluer l’efficacité des mesures en place, avec suivi des remédiations jusqu’à leur résolution complète.
  

IDENTITÉ ET GESTION DES HABILITATIONS (IAM)

• Mise en place d’un projet IAM : Conception et déploiement d’une solution globale de gestion des identités et des accès, avec une structuration des rôles, profils et droits d’accès associés.
  
• Gestion des habilitations : Supervision des processus d’accès liés aux arrivées, départs et mutations des collaborateurs, avec une gestion rigoureuse des dérogations pour éviter les accès non conformes.
  
• Revues des habilitations : Organisation de revues périodiques des habilitations pour garantir que les droits d’accès soient en adéquation avec les besoins opérationnels et la politique de sécurité du groupe.
  

RÉSILIENCE ET CONTINUITÉ D’ACTIVITÉ

• Tests des stratégies de secours : Conduite de revues et de tests réguliers des stratégies de continuité d’activité (PCA, PRA, PRI) pour garantir la disponibilité des systèmes critiques en cas d’incident majeur.
  
• Mise à jour des processus documentaires : Actualisation des procédures associées aux stratégies de secours pour s’assurer de leur pertinence et efficacité opérationnelle.
  

GESTION DES INCIDENTS ET CONSEIL STRATÉGIQUE

• Gestion des incidents : Animation d’un processus de gestion des incidents de sécurité, depuis la détection initiale jusqu’à la remédiation et l’analyse post-incident pour renforcer les mesures préventives.
  
• Projets sensibles et confidentiels : Participation à des projets classés confidentiel défense, apportant un conseil stratégique et une supervision pour garantir la conformité avec les exigences de sécurité les plus strictes.
  
• Accompagnement des équipes : Coordination avec les équipes projets pour intégrer les exigences de sécurité dès les premières phases des projets, garantissant une sécurité by design.
  

GOUVERNANCE ET POLITIQUES DE SÉCURITÉ

• Élaboration des politiques SSI : Rédaction et déploiement des documents clés, tels que la PSSI, la Charte informatique et le Plan d’Assurance Sécurité (PAS), pour structurer et harmoniser la gouvernance SSI.
  
• Gestion des habilitations (IAM) : Mise en œuvre d’un projet global de gestion des identités et des accès, couvrant la ré-certification des comptes critiques, la gestion des processus d’entrée-sortie, et la supervision des droits d’accès.
  
• Convergence internationale : Harmonisation des processus et outils de sécurité entre les succursales françaises et étrangères pour garantir une approche cohérente.
  

GESTION DES RISQUES ET CONFORMITÉ

• Analyse des risques SSI : Réalisation de cartographies et analyses approfondies des risques avec les méthodes EBIOS et ISO 27005, permettant une maîtrise proactive des vulnérabilités.
  
• Conformité réglementaire : Accompagnement à la conformité RGPD (protection des données personnelles) et à la certification ISO 27001 grâce à la mise en œuvre d’un SMSI (Système de Management de la Sécurité de l’Information).
  

CONTINUITÉ D’ACTIVITÉ ET RÉSILIENCE

• Stratégies de secours : Élaboration, test et suivi des plans de continuité et de reprise d’activité (PCA, PRI, PRA) pour garantir la disponibilité des systèmes critiques en cas d’incident.
  
• Documentation des processus : Mise à jour et optimisation des processus documentaires associés aux stratégies de secours pour assurer leur pertinence et efficacité.
  

GESTION DES PROJETS SSI

• Qualification des projets : Analyse des besoins métiers et SI, évaluation des risques, et recommandation de solutions technologiques et méthodologiques adaptées.
  
• Intégration de la sécurité dans les projets : Supervision de l’intégration des exigences de sécurité dès la phase de conception, garantissant une approche by design.
  
• Pilotage des projets : Rédaction des cahiers des charges, gestion des prestataires et suivi des livrables pour assurer la réalisation des projets dans les délais et le respect des budgets.
  

FORMATION ET ACCOMPAGNEMENT**

• Accompagnement des équipes : Assistance aux équipes métiers et techniques dans l’adoption des politiques de sécurité et des outils SSI, renforçant ainsi leur autonomie et la protection des actifs du groupe.
  
• Formation sur la sécurité SI : Animation de formations sur les outils ERP métiers et sensibilisation des collaborateurs et prestataires aux bonnes pratiques de cybersécurité.