Mario ZANNOU
Consultant en Cybersécurité / RSSI
CISM, CRISC, ISO 27001
Cybersécurité - Gouvernance - Conformité et Risques SSI
Freelance
Ouvert aux opportunités
Consultant senior en cybersécurité, certifié CISM (Certified Information Security Manager), CRISC (Certified in Risk and Information Systems Control), ISO 27001 Lead Implementer et PECB Trainer, j’interviens sur des missions de gouvernance, gestion des risques, conformité et projets SSI. J’accompagne également les organisations en tant que RSSI, renfort sur projets SSI, audits ISO 27001, intégration de la sécurité dans les projets (ISP) et analyse de risques, pour renforcer leur posture cybersécurité et conformité réglementaire.
Expériences
CONSULTANT EN CYBERSÉCURITÉ / RÉFÉRENT SSI & CONFORMITÉ
EGIS
Janvier 2019
à juillet 2020
Freelance
Guyancourt
France
- En tant que consultant senior en cybersécurité, j’ai occupé un rôle stratégique et opérationnel au sein de la DSI du groupe EGIS, avec pour mission de renforcer la sécurité des systèmes d’information, d’optimiser la gestion des risques et de garantir la conformité aux exigences réglementaires et normatives.
GOUVERNANCE ET STRATÉGIE SSI
- Élaboration de la stratégie SSI : Conception et mise en œuvre d’une stratégie de sécurité globale pour le groupe, intégrant les directives ISO 2700X, RGPD, RGS, et ANSSI, afin d’aligner les pratiques internes avec les standards internationaux.
- Plan d’Assurance Sécurité (PAS) : Définition et pilotage du PAS pour évaluer la sécurité des prestataires externes, garantir la conformité aux exigences de sécurité et rassurer les clients sur les contrôles en place au sein du groupe.
- Supervision des solutions techniques : Suivi des solutions de sécurité (antivirus, IDS, firewall, antispam) et proposition d’évolutions techniques pour répondre aux menaces émergentes.
- Élaboration de la stratégie SSI : Conception et mise en œuvre d’une stratégie de sécurité globale pour le groupe, intégrant les directives ISO 2700X, RGPD, RGS, et ANSSI, afin d’aligner les pratiques internes avec les standards internationaux.
GESTION DES RISQUES ET DES VULNÉRABILITÉS
- Analyses de risques : Réalisation d’analyses approfondies des risques internes et des filiales du groupe avec les méthodologies EBIOS RM et MEHARI, incluant l’identification des vulnérabilités, l’évaluation des menaces et la définition de plans de traitement.
- Patch Management : Conception et pilotage d’un processus structuré de gestion des correctifs, assurant une réactivité rapide face aux vulnérabilités critiques et un maintien du SI à jour.
- Veille SSI proactive : Mise en place d’un mécanisme de veille SSI pour surveiller en temps réel les menaces émergentes et garantir la prévention des risques.
- Tests de sécurité : Coordination des tests d’intrusion et des scans de vulnérabilités pour évaluer l’efficacité des mesures en place, avec suivi des remédiations jusqu’à leur résolution complète.
- Analyses de risques : Réalisation d’analyses approfondies des risques internes et des filiales du groupe avec les méthodologies EBIOS RM et MEHARI, incluant l’identification des vulnérabilités, l’évaluation des menaces et la définition de plans de traitement.
IDENTITÉ ET GESTION DES HABILITATIONS (IAM)
- Mise en place d’un projet IAM : Conception et déploiement d’une solution globale de gestion des identités et des accès, avec une structuration des rôles, profils et droits d’accès associés.
- Gestion des habilitations : Supervision des processus d’accès liés aux arrivées, départs et mutations des collaborateurs, avec une gestion rigoureuse des dérogations pour éviter les accès non conformes.
- Revues des habilitations : Organisation de revues périodiques des habilitations pour garantir que les droits d’accès soient en adéquation avec les besoins opérationnels et la politique de sécurité du groupe.
- Mise en place d’un projet IAM : Conception et déploiement d’une solution globale de gestion des identités et des accès, avec une structuration des rôles, profils et droits d’accès associés.
RÉSILIENCE ET CONTINUITÉ D’ACTIVITÉ
- Tests des stratégies de secours : Conduite de revues et de tests réguliers des stratégies de continuité d’activité (PCA, PRA, PRI) pour garantir la disponibilité des systèmes critiques en cas d’incident majeur.
- Mise à jour des processus documentaires : Actualisation des procédures associées aux stratégies de secours pour s’assurer de leur pertinence et efficacité opérationnelle.
- Tests des stratégies de secours : Conduite de revues et de tests réguliers des stratégies de continuité d’activité (PCA, PRA, PRI) pour garantir la disponibilité des systèmes critiques en cas d’incident majeur.
GESTION DES INCIDENTS ET CONSEIL STRATÉGIQUE
- Gestion des incidents : Animation d’un processus de gestion des incidents de sécurité, depuis la détection initiale jusqu’à la remédiation et l’analyse post-incident pour renforcer les mesures préventives.
- Projets sensibles et confidentiels : Participation à des projets classés confidentiel défense, apportant un conseil stratégique et une supervision pour garantir la conformité avec les exigences de sécurité les plus strictes.
- Accompagnement des équipes : Coordination avec les équipes projets pour intégrer les exigences de sécurité dès les premières phases des projets, garantissant une sécurité by design.
- Gestion des incidents : Animation d’un processus de gestion des incidents de sécurité, depuis la détection initiale jusqu’à la remédiation et l’analyse post-incident pour renforcer les mesures préventives.