Ulrich Kamdem

Au sein d’ENGIE, la GBU (Global Business Unit) S&EM (Supply & Energy Management) en charge du pilotage de l’approvisionnement en énergie, la gestion des marchés et l’optimisation des flux énergétiques à l’échelle internationale s’articule autour de 4 équipes : Architecture, Infrastructure DevOps, Administration BD et l’équipe Transversal Risk Management à laquelle je suis rattaché. Elle est responsable de la gestion des risques Cyber dans le respect de la doctrine sécurité du Groupe ENGIE. Face à la forte fragmentation du paysage applicatif B2B, le programme stratégique BeeStone a été mis sur pied afin de rationaliser cet écosystème applicatif. BeeStone couvre 4 centres d’expertise (Finance, Operations, Sales, Supply Portfolio Management) à l’échelle de 12 pays, en s’inscrivant dans la continuité de GEMStone, programme initié pour harmoniser les outils de gestion des risques énergétiques.

Contexte

GIE AXA, siège mondial du Groupe AXA, travaille en toute autonomie avec la DSI du Groupe AXA sur les projets d'implémentation de la sécurité. Au sein du GIE AXA, la direction de la sécurité compte 4 périmètres : SMSI, BCM, RSSI et ISP. Le périmètre ISP auquel j'appartiens à la charge de maintenir le scope des applications et systèmes

d'AXA au niveau adéquat en conformité avec les standards du Groupe en matière de sécurité de l'information. Mon champ d'action est essentiellement (mais pas uniquement) focalisé sur les projets de sécurité porté par les Directions RH, Com & Media mais aussi sur l’évaluation sécurité des fournisseurs et la revue des clauses de sécurité des différents contrats passés avec les fournisseurs.

Responsabilités

➢ Local Opinion

• Contrôle de Diligence sur des applications partagées avec d’autres Direction et contextualisation des

données et des risques pour le métier du GIE AXA

• Réalisation d’un security scoping et identification des critères de sécurité DICP

• Élaboration des mesures de sécurité adaptées

• Évaluation des risques résiduels (fréquence + impacts) & proposition d’un plan de traitement

• Présentation au CSO pour validation au LIRC (Local Information Risk Committee)

➢ Vendor Security Due Diligence

• RFI et RFP pour un avis sécurité

• Réalisation d’un security scoping pour déterminer la criticité DICP du vendor

• Évaluation des risques fournisseurs et propositions d’un plan d’action

• Réalisation des Revues des clauses de sécurité des contrats avec les fournisseurs

➢ Cloud & API:

• Participation au projet d'atténuation de la sécurité sur les applications Core IT.

• Développement de mesures de sécurité des API basées

Environnement technique et fonctionnel

• Sylva, Confluence et Microsoft 365

Normes et méthodes

• ISO/CEI 27002 exigences de sécurité de l’information

• ISO/CEI 27005 Risk Manager & EBIOS Risk Manager

• Cloud Security Stands – CSA, Salt Security best practices & OWAPS API Security Top 10

Contexte :

Natixis CIB a défini une PSSI Groupe qu’il fallait déployer au sein des différentes entités et filiales (telles qu’Ostrum Asset Management qui fait partie de la branche Asset Management du pôle Financial Services ). En raison d’une réorganisation, il a été décidé de faire évoluer les pratiques de cybersécurité entre le Groupe et ses filiales, ce qui a entrainé des écarts entre la nouvelle PSSI et les pratiques terrain. En lien direct avec le RSSI et les Process Owners, mon rôle était notamment d’harmoniser les pratiques et de sensibiliser aux bonnes pratiques en matière de cybersécurité.

Responsabilités

➢ Risques et continuité :

• Création, revue et mise à jour des Business Impact sur chaque asset

➢ Intégration sécurité dans les projets :

• Initiation d’un ESP (éligibilité sécurité projet) pour définir le DICP

• Revue du questionnaire ESP et challenge du métier (Chef de projet)

• Définition des exigences de sécurité avec le RSSI (ISO 27002)

• Suivi des plans d’actions issus des exigences de sécurité avec le CdP

• Go/No Go pour la mise en production de l’application

➢ Réalisation et publication des contrôles techniques et organisationnels (trimestriels, semestriels, annuels) LoD2 : Continuité d’activité, IAM, Gouvernance, Sauvegardes & Archivage, Développement &

projets, Opérations IT

➢ Test d’intrusion & test de vulnérabilités :

• Suivi de la restitution des tests par les auditeurs / pentesters

• Animation des comités de suivi des correctifs des vulnérabilités détectées

➢ Conformité :

• Remontée les incohérences pour remédiation au process owner et au support de l’outil Archer GRC

• Suivi des plans de remédiation jusqu’à clôture avec évidences à l’appui

• Usage de l’outil Archer GRC pour la production des Dashboard

Environnement technique et fonctionnel

• Archer GRC

• Cockpit & THOR

Normes et méthodes

• ISO/CEI 27002 exigences de sécurité de l’information

• ISO/CEI 27005 Risk Manager & EBIOS Risk Manager